Docker Daemon參數(shù)怎么使用

這篇文章主要講解了“Docker Daemon參數(shù)怎么使用”，文中的講解內(nèi)容簡(jiǎn)單清晰，易于學(xué)習(xí)與理解，下面請(qǐng)大家跟著小編的思路慢慢深入，一起來(lái)研究和學(xué)習(xí)“Docker Daemon參數(shù)怎么使用”吧！

Docker Daemon為Docker的守護(hù)進(jìn)程，大致可以分為Docker Server、Engine和Job三部分。Docker Daemon可以認(rèn)為是通過(guò)Docker Server模塊接受Docker Client的請(qǐng)求，并在Engine中處理請(qǐng)求，然后根據(jù)請(qǐng)求類(lèi)型，創(chuàng)建出指定的Job并運(yùn)行。

以下為Docker Daemon的架構(gòu)示意圖：

Docker Daemon參數(shù)

從上圖不難看出Docker Daemon的核心地位，所以它的配置也尤為重要，下文會(huì)從安全、性能方面入手，下面具體講講該怎么配置Docker Daemon參數(shù)：

• 限制容器之間網(wǎng)絡(luò)通信：在同一臺(tái)主機(jī)上若不限制容器之間通信，容器之間就會(huì)暴露些隱私的信息，所以推薦關(guān)閉，設(shè)置參數(shù)如：docker daemon--icc=false;

• 日志級(jí)別設(shè)置為info：這樣除了debug信息外，可以捕獲所有的信息，設(shè)置參數(shù)如：  docker daemon --log-level="info";

• 允許Docker Daemon修改iptables：這樣可以自動(dòng)避開(kāi)錯(cuò)誤的網(wǎng)絡(luò)配置導(dǎo)致的容器和外部的訪(fǎng)問(wèn)問(wèn)題，設(shè)置參數(shù)如：docker daemon--iptables=true;

• 使用安全模式訪(fǎng)問(wèn)鏡像倉(cāng)庫(kù)：Docker Daemon支持安全模式（默認(rèn)）和非安全模式（--insecure-registry）訪(fǎng)問(wèn)鏡像倉(cāng)庫(kù)，推薦鏡像倉(cāng)庫(kù)配置CA證書(shū)，Docker Daemon配置安全訪(fǎng)問(wèn)模式，采用TLS安全傳輸協(xié)議；

• 推薦使用Overlayfs作為Docker的存儲(chǔ)驅(qū)動(dòng)：Docker支持很多種儲(chǔ)存驅(qū)動(dòng)，CentOS默認(rèn)的Docker存儲(chǔ)驅(qū)動(dòng)為devicemapper，Ubuntu默認(rèn)的Docker存儲(chǔ)驅(qū)動(dòng)為aufs，那Docker儲(chǔ)存驅(qū)動(dòng)該怎么選擇呢，可以參考下圖的對(duì)比分析：

• 推薦為Docker Daemon配置TLS認(rèn)證：推薦指定Docker Daemon的監(jiān)聽(tīng)I(yíng)P、端口及unix socket，并配置TLS認(rèn)證，通過(guò)Docker Daemon的IP+端口訪(fǎng)問(wèn)，設(shè)置參數(shù)如：'--tlsverify' 、'--tlscacert' 、'--tlscert'、'--tlskey' ；

• 推薦為Docker Daemon開(kāi)啟用戶(hù)空間支持：Docker Daemon支持Linux內(nèi)核的user namespace，為Docker宿主機(jī)提供了額外的安全，容器使用有root權(quán)限的用戶(hù)，則這個(gè)用戶(hù)亦擁有其宿主機(jī)的root權(quán)限，外部可以通過(guò)容器反向來(lái)操控宿主機(jī)，設(shè)置參數(shù)如：docker daemon --userns-remap=default；

• 推薦為Docker Daemon配置默認(rèn)的CGroup：某個(gè)程序可能會(huì)出現(xiàn)占用主機(jī)上所有的資源，導(dǎo)致其他程序無(wú)法正常運(yùn)行，或者造成系統(tǒng)假死無(wú)法維護(hù)，這時(shí)候用 cgroups 就可以很好地控制進(jìn)程的資源占用，設(shè)置參數(shù)如：docker daemon--cgroup-parent=/foobar;

• 推薦為Docker配置集中的遠(yuǎn)程日志收集系統(tǒng)：Docker支持很多種日志驅(qū)動(dòng)，配置集中的遠(yuǎn)程日志系統(tǒng)用來(lái)存儲(chǔ)Docker日志是非常有必要的，設(shè)置參數(shù)如：docker run--log-driver=syslog --log-opt syslog-address=tcp://ip;

• 推薦使用Docker Registry v2版本：v2版本在性能與安全性方面比v1都增強(qiáng)了很多，如安全性上的鏡像簽名，可設(shè)置參數(shù)如：docker daemon--disable-legacy-registry;

Docker Daemon權(quán)限

Docker Daemon相關(guān)文件和目錄的屬性及其權(quán)限關(guān)系到整個(gè)Docker運(yùn)行時(shí)的安全，從運(yùn)維角度來(lái)看，合理的規(guī)劃好屬性及其權(quán)限尤為重要，下面具體講講該怎么配置Docker Daemon權(quán)限。

1、設(shè)置Docker Daemon一些相關(guān)配置文件的屬性及其權(quán)限

2、設(shè)置Docker Daemon一些相關(guān)目錄的屬性及其權(quán)限

/etc/docker目錄保存的是容器認(rèn)證及key信息, 設(shè)置目錄的屬性為root:root，權(quán)限為755；

/etc/docker/certs.d/目錄保存的是registry證書(shū)相關(guān)的文件，設(shè)置目錄的屬性為root:root，權(quán)限為444。

感謝各位的閱讀，以上就是“Docker Daemon參數(shù)怎么使用”的內(nèi)容了，經(jīng)過(guò)本文的學(xué)習(xí)后，相信大家對(duì)Docker Daemon參數(shù)怎么使用這一問(wèn)題有了更深刻的體會(huì)，具體使用情況還需要大家實(shí)踐驗(yàn)證。這里是億速云，小編將為大家推送更多相關(guān)知識(shí)點(diǎn)的文章，歡迎關(guān)注！