共計 1330 個字符，預計需要花費 4 分鐘才能閱讀完成。

本篇內容主要講解“基于 Docker 私有云安全管控的方法是什么”，感興趣的朋友不妨來看看。本文介紹的方法操作簡單快捷，實用性強。下面就讓丸趣 TV 小編來帶大家學習“基于 Docker 私有云安全管控的方法是什么”吧!

（一）IDC 機房安全防護

       IDC 機房防火墻可預防所有常見的攻擊。我們在給客戶部署我們容器云產品時，會遞交一份產品網絡規劃說明。說明書上詳細說明的產品的網絡拓撲圖、使用的端口號等等。我們建議客戶只開啟說明書中提到的端口號。在我們的實踐中，對于需要外網訪問的用戶。我們只需要開啟 80 端口。

        部署容器云產品的每臺物理機器會開啟防火墻。

              1. 控制授信機器之間可以互相訪問。

  2. 禁用 icmp 協議。

      使用 vpn 遠程訪問容器服務平臺跳板機器。由跳板機器登錄容器服務平臺所在機器進行日常運維。

（二）Docker daemon 安全

       Docker daemon 的安全更多是出現在 docker engine API 的防護上。我們在 docker daemon 做如下配置

       1. 配置 tls 方式訪問 docker daemon

       2. http remote api 綁定 IP 地址（只用戶內網調度系統訪問）

       3. 使用非 root 用戶運行 docker daemon。例如：創建 docker:docker 用戶與用戶組。

（三）鏡像安全

        我們的私有容器云服務鏡像來源于兩個地方：客戶自行構建的鏡像與我們的公有云鏡像中心。

       1. 客戶自行構建的鏡像

            客戶自行構建的鏡像有兩種方式，一種是通過我們容器云平臺定制的模板來構建。這種方式下，基礎鏡像由平臺提供，安全最有保證。另外一種由用戶編寫 Dockerfile 自行構建的鏡像。此類鏡像我們通過兩種手段來保障容器的安全：人工審核與在線安全掃描。我們會不定期通知用戶更新我們的鏡像安全掃描特征庫來保證鏡像的安全。

       2. 我們的共有云鏡像中心

            目前，公有云鏡像中心中的鏡像全部由我們研發團隊與安全管控團隊制作，幾乎不會存在安全問題的。公有云鏡像中心，主要是提供工具類相關的鏡像，譬如：緩存、redis、mongodb、微服務架構等等。

（四）容器安全

        我們主要從以下幾個部分管控容器安全。

        1. 網絡安全

            不同用戶之間容器網絡隔離。默認，不同用戶的容器與容器之間不能互相訪問；同一用戶的所有容器可以互相訪問。

            容器與宿主機網絡隔離。默認，容器是不能網絡內網環境下任何一臺宿主機。

       2. 數據安全

            宿主機掛在目錄。用戶通過統一運維管理平臺，只能將固定目錄掛在到容器中。

            不同容器之間文件共享。用戶通過統一運維管理平臺，可以將自己的數據分享給指定的容器（或者其他用戶）。

              分布式文件系統。用戶通過統一運維管理平臺申請數據文件。通過 apikey/secrekey 訪問平臺提供的分布式文件存儲。

        3. 進程安全

              采用 docker 默認隔離策略。

到此，相信大家對“基于 Docker 私有云安全管控的方法是什么”有了更深的了解，不妨來實際操作一番吧！這里是丸趣 TV 網站，更多相關內容可以進入相關頻道進行查詢，關注我們，繼續學習！