Docker 之 资源

Docker 资源隔离技术涉及linux八个命名空间的使用

同时docker还提供了一些选项让我们能够对mem, cpu, devices 进行分配。

怎么判断一个镜像的默认用户呢？

1. docker run --rm --entrypoint “” busybox:latest whoami
2. docker run --rm --entrypoint “” busybox:latest id

whoani 和 id 都是linux自带的命令, 所以我们放心使用。

为什么要确定镜像的默认user， 请看下图？

如果一个镜像的默认用户存在过高权限，会存在黑客攻击的威胁，那么怎么避免折中情况呢, 当我们创建运行容器时可以指定容器的用户。

1. 查看镜像中所支持的用户

   docker run --rm busybox:latest awk -F: ‘$0=$1’ /etc/passwd

2. 设置容器运行时用户

   docker run -u nobody --rm busybox:latest id

有些人可能会问，为什么使用默认的root 用户可能会存在安全隐患，那是因为Docker 和 宿主机共用了user命名空间。下面分享一个例子来证明：

1. echo “e=mc^2” > garbage
2. chmod 600 garbage
3. sudo chown root:root garbage
4. docker run --rm -u nobody -v “$(pwd)”/garbage:/test/garbage ubunut:latest cat /test/garbage
   
5. docker run --rm -v “$(pwd)”/garbage:/test/garbage ubunut:latest cat /test/garbage
   
   从上述例子中我们可以看到，使用nobody 用户访问宿主机中的测试文件提示权限不足，但使用root用户则可以访问。
   值得注意的是无论是容器还是宿主机的root 用户user id 都为 0.

为了更好的控制用户和资源挂载，这里推荐使用user id: user group的方式来设置容器的用户访问, 例子如下：
docker run -u 2000:2000 ubuntu:latest echo “hello world”