Docker 守护进程配置之使用默认的 cgroup

描述

查看 --cgroup-parent 选项允许设置用于所有容器的默认 cgroup parent。建议如果没有特定用例,则应该保留默认值。

安全出发点

系统管理员可定义容器运行的 cgroup。若系统管理员没有明确定义 cgroup,容器也会在 docker cgroup 下运行。应该监测和确认 cgroup
 的使用情况。通过加到与默认不同的 cgroup,导致不合理地共享资源,从而可能会导致主机的资源被耗尽。

审计方法

ps -ef | grep dockerd

结果判定

确保 ' cgroup-parent ' 参数未设置或者设置为适当的非默认 cgroup。

修复措施

默认设置够用的话,可保留。如果要特别设置非默认的 cgroup,在启动时将 --cgroup-parent 参数传递给 docker 守护进程。
例如:dockerd --cgroup-parent = /basketball

影响

默认值

docker 守护进程使用 docker for fs cgroup driver 和 system.slice for systemd cgroup 驱动程序来启动

你可能感兴趣的:(Docker)