teach/virli
1
0
Fork 0
Code Issues Pull requests Releases Activity

tuto1: orthograf

Browse source
This commit is contained in:
nemunaire 2021-09-20 00:19:49 +02:00
commit dfbca22549
20 changed files with 133 additions and 76 deletions
Download patch file Download diff file Expand all files Collapse all files

20
tutorial/docker-advanced/security.md
View file

@ -1,4 +1,7 @@
## Limiter les ressources
\newpage
Limiter les ressources
======================
Lorsque l'on gère un environnement de production, on souhaite bien
évidemment éviter tout déni de service autant que possible. Ou
@ -31,11 +34,10 @@ Ainsi, lorsque la machine n'est pas chargée, que le processeur n'a pas
constamment du travail à effectuer, l'ordonnanceur ne va pas empêcher
une tâche très consommatrice en puissance de calcul de s'exécuter.
Par contre, sous une forte charge, si l'on défini que notre conteneur
exécutant un cpuburn ne peut pas utiliser plus de 50% des ressources
de la machine, ce pourcentage ne pourra effectivement pas être
dépassé, l'ordonnanceur privilégiant alors les autres processus du
système.
Par contre, sous une forte charge, si l'on définit que notre conteneur
exécutant un cpuburn ne peut pas utiliser plus de 50% des ressources de la
machine, ce pourcentage ne pourra effectivement pas être dépassé,
l'ordonnanceur privilégiant alors les autres processus du système.
Par défaut, le taux maximal (1024 = 100%) d'utilisation CPU est donné
aux nouveaux conteneurs, on peut le réduire en utilisant l'option
@ -46,7 +48,7 @@ aux nouveaux conteneurs, on peut le réduire en utilisant l'option
En plus des dénis de service, on peut également vouloir se protéger
contre des attaques provenant des conteneurs eux-mêmes. On n'est pas à
l'abri d'une vulnérabilité dans un des services exécuté dans un
l'abri d'une vulnérabilité dans un des services exécutés dans un
conteneur. Plusieurs mécanismes sont mis en place pour accroître la
difficulté du rebond.
@ -66,12 +68,12 @@ capabilities.
### seccomp
Si les capabilities sont un regroupement grossiers de fonctionnalités
Si les capabilities sont un regroupement grossier de fonctionnalités
du noyau, seccomp est un filtre que l'on peut définir pour chaque
appel système. Liste blanche, liste noire, tout est possible.
Docker filtre notamment tous les appels systèmes qui pourraient
débordés à l'extérieur du conteneur : il n'est par exemple pas
déborder à l'extérieur du conteneur : il n'est par exemple pas
possible de changer l'heure dans un conteneur, car il n'y a
aujourd'hui aucun mécanisme pour isoler les visions des dates d'un
conteneur à l'autre.