Docker安全簡介

好的安全性是基于分層隔離的，而 Docker 恰好有很多分層。Docker 支持所有主流 Linux 安全機制，同時 Docker 自身還提供了很多簡單的并且易于配置的安全技術(shù)。

接下來主要介紹一些 Docker 中保障容器安全運行的一些技術(shù)。

安全本質(zhì)就是分層!通俗地講，擁有更多的安全層，就能擁有更多的安全性。而 Docker 提供了很多安全層。下圖展示了一部分安全技術(shù)。

Linux Docker 利用了大部分 Linux 通用的安全技術(shù)。這些技術(shù)包括了命名空間(Namespace)、控制組(CGroup)、系統(tǒng)權(quán)限(Capability)，強制訪問控制(MAC)系統(tǒng)以及安全計算(Seccomp)。

對于上述每種技術(shù)，Docker 都設(shè)置合理的默認值，實現(xiàn)了流暢的并且適度安全的開箱即用體驗。同時，Docker 也允許用戶根據(jù)特定需求自定義調(diào)整每項安全配置。

Docker 平臺本身也提供了一些非常棒的原生安全技術(shù)。并且重要的是，這些技術(shù)使用起來都很簡單!

⒈ Docker Swarm 模式

默認是開啟安全功能的。無須任何配置，就可以獲得加密節(jié)點 ID、雙向認證、自動化 CA 配置、自動證書更新、加密集群存儲、加密網(wǎng)絡(luò)等安全功能。

⒉ Docker 內(nèi)容信任(Docker Content Trust, DCT)

允許用戶對鏡像簽名，并且對拉取的鏡像的完整度和發(fā)布者進行驗證。

⒊ Docker 安全掃描(Docker Security Scanning)

分析 Docker 鏡像，檢查已知缺陷，并提供對應(yīng)的詳細報告。

⒋ Docker 密鑰

使安全成為 Docker 生態(tài)系統(tǒng)中重要的一環(huán)。Docker 密鑰存儲在加密集群存儲中，在容器傳輸過程中實時解密，使用時保存在內(nèi)存文件系統(tǒng)，并運行了一個最小權(quán)限模型。

重要的是，要知道 Docker 在使用主流 Linux 安全技術(shù)的同時，還提供了額外的擴展以及一些新的安全技術(shù)。Linux 安全技術(shù)看起來可能略為復(fù)雜，但是 Docker 平臺的安全技術(shù)卻非常簡單。

大家都知道安全是非常重要的。同時，安全又很復(fù)雜并且枯燥無味。

在最初決定向平臺中添加安全功能時，就選擇了簡單易用的方式。Docker 知道如果安全相關(guān)配置特別復(fù)雜，那么就沒有人會去使用。所以，Docker 平臺提供的絕大部分安全功能使用起來都很簡單。

并且大部分的安全設(shè)置都配有默認值，意味著用戶無須任何配置，就能得到一個相當安全的平臺。當然，默認配置不一定是最合適的，但至少在最開始能夠保障一定的安全性。如果默認配置與用戶需求不符，那么用戶也可以進行自定義配置。