Docker Daemon參數怎么使用

這篇文章主要講解了“Docker Daemon參數怎么使用”，文中的講解內容簡單清晰，易于學習與理解，下面請大家跟著小編的思路慢慢深入，一起來研究和學習“Docker Daemon參數怎么使用”吧！

Docker Daemon為Docker的守護進程，大致可以分為Docker Server、Engine和Job三部分。Docker Daemon可以認為是通過Docker Server模塊接受Docker Client的請求，并在Engine中處理請求，然后根據請求類型，創建出指定的Job并運行。

以下為Docker Daemon的架構示意圖：

Docker Daemon參數

從上圖不難看出Docker Daemon的核心地位，所以它的配置也尤為重要，下文會從安全、性能方面入手，下面具體講講該怎么配置Docker Daemon參數：

• 限制容器之間網絡通信：在同一臺主機上若不限制容器之間通信，容器之間就會暴露些隱私的信息，所以推薦關閉，設置參數如：docker daemon--icc=false;

• 日志級別設置為info：這樣除了debug信息外，可以捕獲所有的信息，設置參數如：  docker daemon --log-level="info";

• 允許Docker Daemon修改iptables：這樣可以自動避開錯誤的網絡配置導致的容器和外部的訪問問題，設置參數如：docker daemon--iptables=true;

• 使用安全模式訪問鏡像倉庫：Docker Daemon支持安全模式（默認）和非安全模式（--insecure-registry）訪問鏡像倉庫，推薦鏡像倉庫配置CA證書，Docker Daemon配置安全訪問模式，采用TLS安全傳輸協議；

• 推薦使用Overlayfs作為Docker的存儲驅動：Docker支持很多種儲存驅動，CentOS默認的Docker存儲驅動為devicemapper，Ubuntu默認的Docker存儲驅動為aufs，那Docker儲存驅動該怎么選擇呢，可以參考下圖的對比分析：

• 推薦為Docker Daemon配置TLS認證：推薦指定Docker Daemon的監聽IP、端口及unix socket，并配置TLS認證，通過Docker Daemon的IP+端口訪問，設置參數如：'--tlsverify' 、'--tlscacert' 、'--tlscert'、'--tlskey' ；

• 推薦為Docker Daemon開啟用戶空間支持：Docker Daemon支持Linux內核的user namespace，為Docker宿主機提供了額外的安全，容器使用有root權限的用戶，則這個用戶亦擁有其宿主機的root權限，外部可以通過容器反向來操控宿主機，設置參數如：docker daemon --userns-remap=default；

• 推薦為Docker Daemon配置默認的CGroup：某個程序可能會出現占用主機上所有的資源，導致其他程序無法正常運行，或者造成系統假死無法維護，這時候用 cgroups 就可以很好地控制進程的資源占用，設置參數如：docker daemon--cgroup-parent=/foobar;

• 推薦為Docker配置集中的遠程日志收集系統：Docker支持很多種日志驅動，配置集中的遠程日志系統用來存儲Docker日志是非常有必要的，設置參數如：docker run--log-driver=syslog --log-opt syslog-address=tcp://ip;

• 推薦使用Docker Registry v2版本：v2版本在性能與安全性方面比v1都增強了很多，如安全性上的鏡像簽名，可設置參數如：docker daemon--disable-legacy-registry;

Docker Daemon權限

Docker Daemon相關文件和目錄的屬性及其權限關系到整個Docker運行時的安全，從運維角度來看，合理的規劃好屬性及其權限尤為重要，下面具體講講該怎么配置Docker Daemon權限。

1、設置Docker Daemon一些相關配置文件的屬性及其權限

2、設置Docker Daemon一些相關目錄的屬性及其權限

/etc/docker目錄保存的是容器認證及key信息, 設置目錄的屬性為root:root，權限為755；

/etc/docker/certs.d/目錄保存的是registry證書相關的文件，設置目錄的屬性為root:root，權限為444。

感謝各位的閱讀，以上就是“Docker Daemon參數怎么使用”的內容了，經過本文的學習后，相信大家對Docker Daemon參數怎么使用這一問題有了更深刻的體會，具體使用情況還需要大家實踐驗證。這里是億速云，小編將為大家推送更多相關知識點的文章，歡迎關注！