Docker作为最重视安全的容器技术之一,在很多方面都提供了强安全性的默认配置,其中包括:容器root用户的Capability能力限制、Seccomp系统调用过滤、Apparmor的 MAC 访问控制、ulimit限制、pid-limits的支持,镜像签名机制等。
Docker 容器和 LXC 容器很相似,所提供的安全特性也差不多。当用 docker run 启动一个容器时,在后台 Docker 为容器创建了一个独立的名字空间和控制组集合。
….[阅读全文]
下面是一个跟 Docker 网络相关的命令列表。
其中有些命令选项只有在 Docker 服务启动的时候才能配置,而且不能马上生效。
….[阅读全文]
Docker自己的网络方案比较简单,就是每个宿主机上会跑一个非常纯粹的Linux Bridge,这个Bridge可以认为是一个二层的交换机,但它的能力有限,只能做一些简单的学习和转发。
容器中可以运行一些网络应用,要让外部也可以访问这些应用,可以通过 -P 或 -p 参数来指定端口映射。
当使用 -P 标记时,Docker 会随机映射一个 49000~49900 的端口到内部容器开放的网络端口。
使用 docker ps 可以看到,本地主机的 49155 被映射到了容器的 5000 端口。此时访问本机的 49155 端口即可访问容器内 web 应用提供的界面。
….[阅读全文]
Docker的镜像是由一系列的只读层组合而来的,这个设计使得Docker可以提高镜像构建、存储和分发的效率,节省了时间和存储空间,然而也存在如下问题: 不能在宿主机上很方便地对容器中的文件进行访问;多个容器之间的数据无法共享;当删除容器时容器产生的数据将丢失。为了解决这些问题,Docker引人了数据卷(volume)机制。volume是存在于一个或多个容器中的特定文件或文件夹,这个目录以独立于联合文件系统的形式在宿主机中存在。
….[阅读全文]
Docker 容器是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的Linux机器上,也可以实现虚拟化。容器是完全使用沙箱机制,相互之间不会有任何接口(类似 iPhone 的 app)。几乎没有性能开销,可以很容易地在机器和数据中心中运行。最重要的是,他们不依赖于任何语言、框架包括系统。
….[阅读全文]
在 Docker 的术语里,一个只读层被称为镜像,一个镜像是永久不会变的。
由于 Docker 使用一个统一文件系统,Docker 进程认为整个文件系统是以读写方式挂载的。 但是所有的变更都发生顶层的可写层,而下层的原始的只读镜像文件并未变化。由于镜像不 可写,所以镜像是无状态的。
….[阅读全文]
1、工作在网络7层之上(PS:也可工作在网络4层但需要安装插件),可针对http应用做一些分流的策略,如针对域名、目录结构,它的正规规则比HAProxy更为强大和灵活,所以,目前为止广泛流行。
2、Nginx对网络稳定性的依赖非常小,理论上能ping通就能进行负载功能。
3、Nginx安装与配置比较简单,测试也比较方便,基本能把错误日志打印出来。
4、可以承担高负载压力且稳定,硬件不差的情况下一般能支撑几万次的并发量,负载度比LVS小。 ….[阅读全文]
我们在使用mariadb/mysql的时候发现有时候根本不能启动,在使用过程中mariadb/mysql占用的内存很大,在这里学习下mariadb/mysql与内存相关的配置项,对mariadb/mysql进行调优。
使用以下命令可以知道mariadb/mysql的配置使用多少 RAM
….[阅读全文]
为了监控各大VPS主机商不同地方机房的网络线路情况,我们可以使用免费开源网络性能监控工具可视化主/从部署Smokeping,Smokeping强大直观的绘图可以帮助我们了解一定时间段内IDC机房的网络状况。
但是,如果我们还要详细了解服务器的CPU、内存、磁盘IO、SQL数据、硬盘容量、网页加载速度、系统负载等资源使用情况,我们就需要一个像zabbix一样的强大服务器性能监控工具,zabbix几乎可以监控到服务器所有的硬件资源。
Zabbix 是由 Alexei Vladishev 开发的一种网络监视、管理系统,在Linux、Windows系统安装 Zabbix Agent 之后,可监视 CPU Load、网络使用状况、硬盘容量等各种状态。如果没有安装Agent ,也可以通过SNMP、TCP、ICMP等方式进行监控。
….[阅读全文]