亚洲激情专区-91九色丨porny丨老师-久久久久久久女国产乱让韩-国产精品午夜小视频观看

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

docker怎么從鏡像創建容器

發布時間:2021-09-07 10:17:33 來源:億速云 閱讀:211 作者:chen 欄目:建站服務器

本篇內容主要講解“docker怎么從鏡像創建容器”,感興趣的朋友不妨來看看。本文介紹的方法操作簡單快捷,實用性強。下面就讓小編來帶大家學習“docker怎么從鏡像創建容器”吧!

Image 鏡像文件,對比PC端的概念,我們可以把它理解為服務器端的可執行軟件包。Dockerfile 用于創建image鏡像的模板文件,出于管理和安全的考慮,docker官方建議所有的鏡像文件應該由dockerfile來創建。

docker容器的生命周期,就是一個鏡像文件從產生、運行到停止的過程。可將docker生命周期拆為兩個大階段,非生產環境階段和生產環境階段,非生產環境中保證鏡像安全可信,生產環境中保證鏡像正確的運行。保證非生產環境中的鏡像安全應遵循以下方面:

容器使用非root用戶運行

為了防止容器逃逸而獲得宿主機的權限,容器內應用以非root用戶身份運行,如果用戶已經在容器鏡像中定義,則默認情況下容器將作為該用戶運行,且不需要特定的用戶命名空間重新映射。可以在Dockerfile中添加用戶:

RUN useradd -d / home /username -m -s / bin / bash username USER username

使用安全的基礎鏡像

如果基礎鏡像存在安全問題,那整個鏡像文件的安全性也無從談起,用戶可根據自身需求定制基礎鏡像,并強制要求組織內使用認可的基礎鏡像;也可使用第三方安全的鏡像,這里推薦使用Alpine-linux,docker所有的官方鏡像都使用其作為基礎鏡像,docker也會對其維護更新,所以安全性有保證。

刪除鏡像中的setuid和setgid權限

setuid和setgid權限可用于提權。雖然有時候必須要使用到,但如果被濫用,可能會導致非法的提升權限。可以在鏡像中限制這些權限的使用。具體做法可參考:在構建鏡像時通過在Dockerfile中添加以下命令來刪除這些權限,一般在Dockerfile的末尾添加:RUN find / -perm +6000-type f-exec chmod a-s {} \;|| true

啟用Docker的內容信任

內容信任允許當用戶使用遠程Docker倉庫進行操作時,以執行鏡像標記的客戶端簽名和驗證。內容信任提供了對從Docker倉庫發送和接收的數據使用數字簽名的能力。這些簽名允許客戶端驗證特定鏡像標簽的完整性。

對鏡像進行安全漏洞掃描

鏡像中包含了很多的插件及軟件包,需要對這些軟件包進行漏洞掃描,并根據結果安裝補丁或更新軟件,Coreos提供了一款開源docker鏡像安全掃描器-Clair,Clair可對鏡像文件進行靜態的安全掃描,并結合CVE給出漏洞掃描結果。

到此,相信大家對“docker怎么從鏡像創建容器”有了更深的了解,不妨來實際操作一番吧!這里是億速云網站,更多相關內容可以進入相關頻道進行查詢,關注我們,繼續學習!

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

德江县| 柳江县| 西乌珠穆沁旗| 永清县| 宝坻区| 庆阳市| 汶川县| 册亨县| 县级市| 中江县| 什邡市| 贵溪市| 荆州市| 镇赉县| 内丘县| 凉山| 怀化市| 公主岭市| 阿巴嘎旗| 灵川县| 偃师市| 蛟河市| 易门县| 穆棱市| 黔南| 齐齐哈尔市| 泾源县| 巍山| 长岭县| 株洲市| 沂南县| 汉寿县| 光泽县| 德昌县| 丰顺县| 砀山县| 平和县| 陈巴尔虎旗| 吐鲁番市| 库车县| 新泰市|