Please enable JavaScript.
Coggle requires JavaScript to display documents.
DevOps - Coggle Diagram
DevOps
SEC
Сетевой режим хоста - не рекомендуется
Защита демона dockerd
Контроль группы docker
контроль доступа постредством sudo
TLS если демон доступен по сети
Запуск процессов в контейнере из-под юзера run -u
Доступ к корневой файловой системе только на чтение run --read-only
Ограничение возможностей --cap-drop ALL
Безопасность образов (подпись)
Контейнеры
Docker
Поддержка ядра
Пространство имен (каталог proc/ns). Изоляция на уровне net, pid, user, utc
docker exec, unshare, nsenter
Контрольные группы (cgroups) ограничивают ресурсы
Функциональные возможности
Образы
Для образов используется типовая файловая структура Linux UnionFS
Спец ОС для образов Alpine Linux
Образ является шаблоном для контейнера
GIT
CI/CD
Kuber