在生产环境中，强化Docker容器的一种方法就是使它们不可变，也就是只读。安全地运行容器的其他方法还包括最小化受攻击面和应用Linux安全过程，标准Linux安全过程和针对容器环境的特定过程都要应用。

在启动容器时传入--read-only标记就可以 在只读模式下运行 它。这可以防止任何进程写入文件系统。任何试图写入的动作都会导致错误。 运行这种不可变的基础设施 也与其他软件部署流水线的最佳实践相吻合。

尽管不可变性可以阻止任何恶意脚本的执行，可以禁止通过在容器里运行的其他软件暴露出来的漏洞而引起的改动。但是在现实生产环境中，这种模式又是不是适用于应用程序呢？比如，要产生的日志文件和要使用数据库的应用程序就需要可写性。

写日志的一个可能的解决方案可以是使用一个集中的日志系统，比如Elasticsearch/Logstash/Kibana（ELK），这样所有的日志都被收集在一个中心节点，可能是在另一个容器中，就不是用户可以直接访问的了。另一种替代的方案是在启动容器时，通过使用--log-driver标记将日志导出到容器之外。对于那些需要对/tmp之类的临时目录有写入权限的应用程序，一种解决办法是在容器里为这些目录 加载一个临时的文件系统 。

终端用户不能直接访问数据库，所以风险较低。然而，这并不排除受到攻击的可能，除非面对用户的应用程序得到了强化。

在不可避免地要有一个可写的文件系统的情况下，Docker提供了审计和变化的回滚功能。在Docker容器里的文件系统是作为一系列层的堆叠。当创建一个新容器时，将在顶部添加一个新层，该层可以写入。Docker存储驱动程序隐藏了这些细节，并将它作为一个普通的文件系统交付给用户。对正在运行的容器的写入将写入此新层。这通常被称为写时拷贝（Copy-On-Write，COW）。

在Docker容器里很容易检测到配置漂移或预期的配置变更。“docker diff”命令可以显示对文件系统的更改——无论更改操作是文件添加、删除还是修改。

除了在可能的情况下运行一个只读容器，我们 还 提出以下 建议 ，以确保在生产环境中容器的安全：

• 运行一个 Alpine Linux 之类的最小的镜像，Alpine Linux是基于安全思想而设计的。它的内核上打了一个grsecurity的非官方移植的补丁。 Grsecurity 是一套对Linux内核的安全增强方法，它包括权限控制以及消除基于漏洞的内存崩溃的可能，具体方法是将那些使系统可能被攻击的方法减少到最少。
• 限制对CPU、RAM等资源的使用，以防止DoS攻击。
• 在操作系统中配置线程和进程限制。
• 采用sysctl之类标准的Linux内核强化程序。
• 每个容器中只运行一个应用程序。建议这么做，是因为它减小了受攻击面，即对于一个给定的容器，可能的漏洞数量就只取决于在该容器上运行的应用程序了。

# docker  # 运行容器  # 生产环境  # 查看docker中运行的JVM参数问题及解决方法  # docker 查看jvm内存占用方式  # 记一次Docker生产环境搭建的方法  # docker生产环境jvm性能优化方式  # 文件系统  # 应用程序  # 是在  # 容器里  # 情况下  # 又是  # 都要  # 将在  # 要有  # 打了  # 适用于  # 很容易  # 以防止  # 可以直接  # 被称为  # 镜像  # 因为它  # 较低  # 不可避免  # 这么做 

相关栏目： 【 网站优化151355 】 【 网络推广146373 】 【 网络技术251813 】 【 AI营销90571 】

相关推荐： laravel怎么在请求结束后执行任务（Terminable Middleware）_laravel Terminable Middleware请求结束任务执行方法  百度输入法ai组件怎么删除 百度输入法ai组件移除工具  Win11搜索不到蓝牙耳机怎么办 Win11蓝牙驱动更新修复【详解】  悟空识字如何进行跟读录音_悟空识字开启麦克风权限与录音  音乐网站服务器如何优化API响应速度？  网站制作大概多少钱一个,做一个平台网站大概多少钱？  如何在IIS服务器上快速部署高效网站？  Laravel路由Route怎么设置_Laravel基础路由定义与参数传递规则【详解】  Bootstrap整体框架之JavaScript插件架构  Laravel如何使用Gate和Policy进行授权？（权限控制）  如何在Windows服务器上快速搭建网站？  Laravel怎么多语言本地化设置_Laravel语言包翻译与Locale动态切换【手册】  学生网站制作软件,一个12岁的学生写小说，应该去什么样的网站？  宙斯浏览器视频悬浮窗怎么开启 边看视频边操作其他应用教程  Laravel如何创建自定义中间件？（Middleware代码示例）  Laravel Pest测试框架怎么用_从PHPUnit转向Pest的Laravel测试教程  怎么用AI帮你为初创公司进行市场定位分析？  如何用PHP快速搭建CMS系统？  手机钓鱼网站怎么制作视频,怎样拦截钓鱼网站。怎么办？  原生JS实现图片轮播切换效果  Laravel如何使用Guzzle调用外部接口_Laravel发起HTTP请求与JSON数据解析【详解】  如何挑选最适合建站的高性能VPS主机？  Internet Explorer官网直接进入 IE浏览器在线体验版网址  Laravel如何为API编写文档_Laravel API文档生成与维护方法  如何快速上传自定义模板至建站之星？  武汉网站设计制作公司,武汉有哪些比较大的同城网站或论坛，就是里面都是武汉人的？  图册素材网站设计制作软件,图册的导出方式有几种？  阿里云网站搭建费用解析：服务器价格与建站成本优化指南  JavaScript如何操作视频_媒体API怎么控制播放  网站制作公司哪里好做,成都网站制作公司哪家做得比较好，更正规？  php打包exe后无法访问网络共享_共享权限设置方法【教程】  Laravel怎么配置.env环境变量_Laravel生产环境敏感数据保护与读取【方法】  Laravel怎么写单元测试_PHPUnit在Laravel项目中的基础测试入门  Laravel的HTTP客户端怎么用_Laravel HTTP Client发起API请求教程  长沙做网站要多少钱,长沙国安网络怎么样？  网站图片在线制作软件,怎么在图片上做链接？  Midjourney怎么调整光影效果_Midjourney光影调整方法【指南】  Laravel怎么集成Log日志记录_Laravel单文件与每日日志配置及自定义通道【详解】  如何在云主机上快速搭建多站点网站？  详解Nginx + Tomcat 反向代理 负载均衡 集群 部署指南  如何用PHP快速搭建高效网站？分步指南  Linux系统命令中screen命令详解  如何在景安云服务器上绑定域名并配置虚拟主机？  瓜子二手车官方网站在线入口 瓜子二手车网页版官网通道入口  JS中对数组元素进行增删改移的方法总结  如何使用 jQuery 正确渲染 Instagram 风格的标签列表  Google浏览器为什么这么卡 Google浏览器提速优化设置步骤【方法】  如何在橙子建站中快速调整背景颜色？  logo在线制作免费网站在线制作好吗,DW网页制作时，如何在网页标题前加上logo？  如何做网站制作流程,*游戏网站怎么搭建？