本篇內(nèi)容主要講解“基于Docker私有云安全管控的方法是什么”，感興趣的朋友不妨來(lái)看看。本文介紹的方法操作簡(jiǎn)單快捷，實(shí)用性強(qiáng)。下面就讓小編來(lái)帶大家學(xué)習(xí)“基于Docker私有云安全管控的方法是什么”吧!

創(chuàng)新互聯(lián)公司專注于裕華網(wǎng)站建設(shè)服務(wù)及定制，我們擁有豐富的企業(yè)做網(wǎng)站經(jīng)驗(yàn)。 熱誠(chéng)為您提供裕華營(yíng)銷(xiāo)型網(wǎng)站建設(shè)，裕華網(wǎng)站制作、裕華網(wǎng)頁(yè)設(shè)計(jì)、裕華網(wǎng)站官網(wǎng)定制、小程序開(kāi)發(fā)服務(wù)，打造裕華網(wǎng)絡(luò)公司原創(chuàng)品牌,更為您提供裕華網(wǎng)站排名全網(wǎng)營(yíng)銷(xiāo)落地服務(wù)。

（一） IDC機(jī)房安全防護(hù)

       IDC機(jī)房防火墻可預(yù)防所有常見(jiàn)的攻擊。我們?cè)诮o客戶部署我們?nèi)萜髟飘a(chǎn)品時(shí)，會(huì)遞交一份產(chǎn)品網(wǎng)絡(luò)規(guī)劃說(shuō)明。說(shuō)明書(shū)上詳細(xì)說(shuō)明的產(chǎn)品的網(wǎng)絡(luò)拓?fù)鋱D、使用的端口號(hào)等等。我們建議客戶只開(kāi)啟說(shuō)明書(shū)中提到的端口號(hào)。在我們的實(shí)踐中，對(duì)于需要外網(wǎng)訪問(wèn)的用戶。我們只需要開(kāi)啟80端口。

       部署容器云產(chǎn)品的每臺(tái)物理機(jī)器會(huì)開(kāi)啟防火墻。

              1. 控制授信機(jī)器之間可以互相訪問(wèn)。

              2. 禁用icmp協(xié)議。

      使用vpn遠(yuǎn)程訪問(wèn)容器服務(wù)平臺(tái)跳板機(jī)器。由跳板機(jī)器登錄容器服務(wù)平臺(tái)所在機(jī)器進(jìn)行日常運(yùn)維。

（二） Docker daemon 安全

       Docker daemon的安全更多是出現(xiàn)在docker engine API的防護(hù)上。我們?cè)赿ocker daemon做如下配置

       1. 配置tls方式訪問(wèn)docker daemon

       2. http remote api 綁定IP地址（只用戶內(nèi)網(wǎng)調(diào)度系統(tǒng)訪問(wèn)）

       3. 使用非root用戶運(yùn)行docker daemon。例如：創(chuàng)建docker:docker 用戶與用戶組。

（三） 鏡像安全

       我們的私有容器云服務(wù)鏡像來(lái)源于兩個(gè)地方：客戶自行構(gòu)建的鏡像與我們的公有云鏡像中心。

       1. 客戶自行構(gòu)建的鏡像

           客戶自行構(gòu)建的鏡像有兩種方式，一種是通過(guò)我們?nèi)萜髟破脚_(tái)定制的模板來(lái)構(gòu)建。這種方式下，基礎(chǔ)鏡像由平臺(tái)提供，安全最有保證。另外一種由用戶編寫(xiě)Dockerfile自行構(gòu)建的鏡像。此類(lèi)鏡像我們通過(guò)兩種手段來(lái)保障容器的安全：人工審核與在線安全掃描。我們會(huì)不定期通知用戶更新我們的鏡像安全掃描特征庫(kù)來(lái)保證鏡像的安全。

       2. 我們的共有云鏡像中心

            目前，公有云鏡像中心中的鏡像全部由我們研發(fā)團(tuán)隊(duì)與安全管控團(tuán)隊(duì)制作，幾乎不會(huì)存在安全問(wèn)題的。公有云鏡像中心，主要是提供工具類(lèi)相關(guān)的鏡像，譬如：緩存、redis、MongoDB、微服務(wù)架構(gòu)等等。

（四） 容器安全

       我們主要從以下幾個(gè)部分管控容器安全。

        1. 網(wǎng)絡(luò)安全

            不同用戶之間容器網(wǎng)絡(luò)隔離。默認(rèn)，不同用戶的容器與容器之間不能互相訪問(wèn)；同一用戶的所有容器可以互相訪問(wèn)。

            容器與宿主機(jī)網(wǎng)絡(luò)隔離。默認(rèn)，容器是不能網(wǎng)絡(luò)內(nèi)網(wǎng)環(huán)境下任何一臺(tái)宿主機(jī)。

       2. 數(shù)據(jù)安全

            宿主機(jī)掛在目錄。用戶通過(guò)統(tǒng)一運(yùn)維管理平臺(tái)，只能將固定目錄掛在到容器中。

            不同容器之間文件共享。用戶通過(guò)統(tǒng)一運(yùn)維管理平臺(tái)，可以將自己的數(shù)據(jù)分享給指定的容器（或者其他用戶）。

             分布式文件系統(tǒng)。用戶通過(guò)統(tǒng)一運(yùn)維管理平臺(tái)申請(qǐng)數(shù)據(jù)文件。通過(guò)apikey/secrekey訪問(wèn)平臺(tái)提供的分布式文件存儲(chǔ)。

        3. 進(jìn)程安全

              采用docker 默認(rèn)隔離策略。

到此，相信大家對(duì)“基于Docker私有云安全管控的方法是什么”有了更深的了解，不妨來(lái)實(shí)際操作一番吧！這里是創(chuàng)新互聯(lián)網(wǎng)站，更多相關(guān)內(nèi)容可以進(jìn)入相關(guān)頻道進(jìn)行查詢，關(guān)注我們，繼續(xù)學(xué)習(xí)！