基于Docker技術的容器隔離性分析

中國聯(lián)合網(wǎng)絡通信有限公司軟件研究院 蔡志強

基于Docker技術的容器隔離性分析

中國聯(lián)合網(wǎng)絡通信有限公司軟件研究院 蔡志強

Docker技術是一種基于Linux操作系統(tǒng)內核的虛擬化技術，其主要在于借助對LXC（Linux Container）的擴展而達到一種虛擬化的解決方案。其能夠保障每一個容器中服務的運行環(huán)境是保持隔離的，這主要是通過內核命名空間的特性來完成。由于Docker隔離機制的獨特性，運行資源的開銷較低，能夠很好地保障虛擬化的密度。文章基于Docker的工作原理展開研究，對Docker的虛擬化隔離技術及容器隔離方案做出了詳盡的分析與討論。

Docker技術；隔離性；虛擬化

Docker是一個基于LXC的高級應用容器引擎，其進一步優(yōu)化了容器的使用體驗，提供了容器管理的一些功能，如容器的版本管理、容器發(fā)布、容器移植等，讓使用者更方便的使用容器。Docker具備簡化配置的優(yōu)點，其能夠讓開發(fā)者把應用程序以及程序所依靠的運行環(huán)境和配置文件一同打包，達到“Build Once, Run Everywhere”的目標，具備資源安全訪問的特質，能夠完成系統(tǒng)的隔離，具備輕量虛擬化的特質，與傳統(tǒng)虛擬化對比，其具有啟動速度更快、占用的資源較少的優(yōu)點。Docker最重要的特點在于其支持由任何編程語言和框架開發(fā)的應用程序，使得Docker在互聯(lián)網(wǎng)領域被廣泛使用。

1. Docker技術原理

用戶使用Docker客戶端與Docker Daemon建立通訊，Docker Daemon提供Server的功能使其可以接受Docker客戶端的請求；Engine以任務的形式處理Docker的內部工作，如從鏡像倉庫下載鏡像并以Graph形式保存、建立Docker容器網(wǎng)絡，限制Docker資源配額及執(zhí)行用戶指令等；Libcontainer是一項獨立的容器管理包，實現(xiàn)對容器的具體操作。Docker 客戶端與Docker Daemon能夠通過REST-ful或socket接口通訊。其結構模式詳見圖1。

圖1 Docker結構

2. Docker與虛機機的比較

目前流行的完全虛擬化就是使用了Hypervisor軟件將底層硬件進行了抽象模擬，其的好處在于可以支持針對物理硬件設計的操作系統(tǒng)及軟件，且支持多個異構的GuestOS，提供了較好的GuestOS的獨立性，但是其缺點是會損失部分的系統(tǒng)性能。

容器是基于Linux內核的虛擬化技術，其依賴內核的相關特性實現(xiàn)隔離，與完全虛擬化的虛擬機不同，它不需要Hypervisor實現(xiàn)虛擬化宿主機的物理硬件，而是直接使用實際的物理硬件資源，更像是一個應用程序與宿主機之間的交互。此外，容器使用宿主機的內核，省略了內核加載的步驟，啟動更加快速。

3. 隔離性

由于每個虛擬機都有自己的GuestOS，從而保證了虛擬機之間的隔離，進而達到同一宿主機上不同虛擬機間互不干擾的目的。Docker容器則是借助系統(tǒng)內核來進行安全性隔離，即通過namespace進行隔離、cgroup進行資源限制、capability進行權限限制。但同一臺宿主機的系統(tǒng)內核卻是共享的，多個容器的系統(tǒng)調用均是通過宿主機的內核處理，這為容器留下了一定的安全隱患。因此，我們應該認識到容器并不是全封閉隔離的。

3.1 用戶命名空間隔離

Docker容器使用了Linux內核中提供的6種命名空間隔離：

1）UTS 命名空間負責主機名和域名的隔離，使得容器都擁有自己的主機名和域名，可以被看作為一個獨立的網(wǎng)絡節(jié)點。

2）IPC命名空間負責信號量、消息隊列和共享內存的隔離，其包含了系統(tǒng)IPC標示符以及實現(xiàn)POSIX消息隊列的文件系統(tǒng)，使得同一個IPC命名空間下的進程彼此可見，不同的則相互不可見；

3）PID命名空間負責進程PID編號的隔離，不同的PID命名空間下的進程可以有相同的PID，每個PID命名空間都有獨立的計數(shù)程序。

4）Network命名空間負責網(wǎng)絡資源的隔離，這里的隔離并非真正意義的網(wǎng)絡隔離，而是把容器的網(wǎng)絡獨立出來，如同一個獨立的網(wǎng)絡實體來與外部通信。

5）Mount命名空間負責掛載點的隔離，不同Mount命名空間下的文件夠發(fā)生變化互不影響。

6）User命名空間負責安全相關的標示符和屬性的隔離，包括用戶ID、用戶組ID、root目錄、密鑰key以及特殊權限等，該命名空間技術支持進程在容器內外可以擁有不同級別的權限。

3.2 cgroup資源限制

Docker容器通過cgroup來實現(xiàn)組進程并管理它們的資源總消耗，分享可用的硬件資源到容器并限制容器的內存和CPU的使用，cgroup提供了以下4大功能：

1）資源限制：對任務使用的資源總量進行限制，如應用在運行時超過上限配額就會給與提示；

2）優(yōu)先級分配：通過分配的CPU時間片數(shù)量及磁盤IO帶寬大小，實際上就相當于控制了任務的優(yōu)先級；

3）資源統(tǒng)計：可以統(tǒng)計系統(tǒng)的資源使用量，如CPU、內存等使用情況；

4）任務控制：可以對任務進行掛起、恢復等操作。

3.3 capability權限限制

從Linux內核2.2版本開始，Linux支持把超級用戶不同單元的權限分離，可以單獨的開啟和禁止，即capability的概念。可以將capability賦給普通的進程，使其可以做root用戶可以做的事情。內核在驗證進程是否具有某項權限時，不再驗證該進程的是特權進程(有效用戶ID為0)和非特權進程(有效用戶ID非0)，而是驗證該進程是否具有其進行該操作的capability。不合理的禁止capability，會導致應用崩潰。目前Docker默認啟用一個嚴格capability限制權限，同時支持開發(fā)者通過命令行來改變其默認設置，保障可用性的同時又可以確保其安全。

4. 結束語

Docker技術通過LXC來實現(xiàn)輕量級的虛擬化，通過namespace進行隔離、cgroup進行資源限制、capability進行權限限制，以滿足容器的安全隔離。然而由于Docker容器是共享Linux內核的，所以我們應該認識到容器并非嚴格全封閉，使用Docker容器一定需要注意保證內核的安全和穩(wěn)定，并配合必要的監(jiān)控和容錯。

[1]劉思堯,李強,李斌.基于Docker技術的容器隔離性研究[J].軟件,2015,(04):110-113.

[2]馬越,黃剛.基于Docker的應用軟件虛擬化研究[J].軟件,2015,(03): 10-14.

[3]楊莎莎,鄒華.托管Paas平臺安全容器的設計與實現(xiàn)[J].軟件,2012, 33(12):15.