画册设计说明怎么写_企业建立自己的网站_关键词排名客服_深圳网络营销策划有限公司

一、限制容器之间的网络流量

vim  /etc/docker/daemon.json
添加以下内容到 daemon.json 文件中：

{
    "icc": false
}
 
 
 

sudo service docker restart

docker restart apollo-configservice 
docker restart apollo-portal
docker restart  apollo-adminservice

docker restart  ctg-eureka 
docker restart  nginx
systemctl start docker

二、限制容器的内存使用量

docker stats {container_id/container_name}
docker stats  apollo-portal
docker stats apollo-configservice 
docker stats apollo-adminservice

docker stats ctg-eureka
docker stats nginx
 

docker update --memory 5GiB --memory-swap -1 apollo-portal
docker update --memory 5GiB --memory-swap -1 apollo-configservice 
docker update --memory 5GiB --memory-swap -1 apollo-adminservice

docker update --memory 15GiB --memory-swap -1 ctg-eureka
docker update --memory 15GiB --memory-swap -1 nginx

三、为Docker启用内容信任

 vim  /etc/profile

export DOCKER_CONTENT_TRUST=1

source  /etc/profile

四 、将容器的根文件系统挂载为只读

docker run --interactive --tty --read-only --volume <writable-volume> <Container Image Name or ID> 

docker run --interactive --tty --read-only --volume  /home/docker/apps/eureka/ ctg-eureka

docker run --interactive --tty --read-only --volume  /home/docker/apps/nginx/ nginx

例子：

docker run  --interactive --tty --read-only --volume /tmp --name ctg-eureka -d -p 8761:8761 ctg-eureka
 --interactive --tty --read-only --volume /tmp
 
 docker run -v /home/docker/apps/eureka:/var/lib/docker  --read-only ctg-eureka  

五、审核Docker文件和目录

在/etc/audit/audit.rules与/etc/audit/rules.d/audit.rules文件中添加以下行：

vim  /etc/audit/audit.rules
vim  /etc/audit/rules.d/audit.rules

-w /var/lib/docker -k docker
-w /etc/docker -k docker
-w /usr/lib/systemd/system/docker.service -k docker
-w /usr/lib/systemd/system/docker.socket -k docker
-w /usr/bin/docker-containerd -k docker
-w /usr/bin/docker-runc -k docker

service auditd restart

一、限制容器之间的网络流量vim  /etc/docker/daemon.json
添加以下内容到 daemon.json 文件中：{"icc": false
}sudo service docker restartdocker restart apollo-configservice 
docker restart apollo-portal
docker restart  apollo-adminservicedocker restart  ctg-eureka 
docker restart  nginx
systemctl start docker二、限制容器的内存使用量docker stats {container_id/container_name}
docker stats  apollo-portal
docker stats apollo-configservice 
docker stats apollo-adminservicedocker stats ctg-eureka
docker stats nginxdocker update --memory 5GiB --memory-swap -1 apollo-portal
docker update --memory 5GiB --memory-swap -1 apollo-configservice 
docker update --memory 5GiB --memory-swap -1 apollo-adminservicedocker update --memory 15GiB --memory-swap -1 ctg-eureka
docker update --memory 15GiB --memory-swap -1 nginx三、为Docker启用内容信任vim  /etc/profileexport DOCKER_CONTENT_TRUST=1source  /etc/profile四 、将容器的根文件系统挂载为只读docker run --interactive --tty --read-only --volume <writable-volume> <Container Image Name or ID> docker run --interactive --tty --read-only --volume  /home/docker/apps/eureka/ ctg-eurekadocker run --interactive --tty --read-only --volume  /home/docker/apps/nginx/ nginx例子：docker run  --interactive --tty --read-only --volume /tmp --name ctg-eureka -d -p 8761:8761 ctg-eureka--interactive --tty --read-only --volume /tmpdocker run -v /home/docker/apps/eureka:/var/lib/docker  --read-only ctg-eureka  五、审核Docker文件和目录在/etc/audit/audit.rules与/etc/audit/rules.d/audit.rules文件中添加以下行：vim  /etc/audit/audit.rules
vim  /etc/audit/rules.d/audit.rules-w /var/lib/docker -k docker
-w /etc/docker -k docker
-w /usr/lib/systemd/system/docker.service -k docker
-w /usr/lib/systemd/system/docker.socket -k docker
-w /usr/bin/docker-containerd -k docker
-w /usr/bin/docker-runc -k dockerservice auditd restart