《基于Kubernetes的容器云平台实战》_了解最新技术前沿_3.4.5 操作系统镜像制作过程

【摘要】 本书摘自《基于Kubernetes的容器云平台实战》一书中第3章，第4节，由陆平、左奇、付光和张晗等编著。

3.4.5 操作系统镜像制作过程

基于RHEL7.4(3.10.0-693.el7.86 64)虚拟机操作系统和统一yum 源，自定义基础 rpm 包后通过 makeImageForRedhat.sh 脚本可自动完成操作系统基础镜像的制作过程。

■yum 源配置说明

基础镜像/etc/yum.repos.d/rhel 7 rmps.repo 已配置 yum 源，这样后续应用层制作容器 时可直接使用yum 命令安装需要的rpm 包。

■制作过程

1)重新安装或利用现有RHEL7.4(3.10.0-693.el7.86 64)操作系统的主机。

2)根据宿主机操作系统的安装要求进行相关的参数配置，如文件句柄数等。

3)在该主机上安装 Docker, 原因是使用 docker import生成镜像时需要 Docker。

4)在该机器根目录下创建tmp 目录，将需要复制到镜像的原始文件复制到此目录下。 5 ) 在tmp 目录下建立临时目录。

6)读取 rpm 包列表，使用yum 命令在tmp 目录安装文件系统和软件包。

7 ) 将 tmp 目 录 tar 打包并通过 docker import导入本地镜像文件后上传到镜像仓库。 8)清理 tmp 临时目录。

其中第6、7两步可以通过执行 makeImageForRedhat.sh 脚本完成。

■ 制作脚本 makelmageForRedhat.sh

下载地址： https://pan.baidu.com/s/13tm-xRJz8LjHV3KtRxPVKw, 密码： jgwh。

3.4.6 系统资源限制配置说明

通过修改/etc/security/limit.conf文件可限制用户同一时刻打开文件数和开启进程数等。 容器技术进行资源限制的方法有两种：

1)修改/usr/lib/systemd/system/docker.service文件可实现全局性控制， docker deamon 控制下的容器都是按照配置来限制资源。

2)docker run提供了--ulimit 参数，可针对每个容器使用的资源进行差异化限制。

但是，通常情况下用户都不会使用上述两种方法进行资源限制，因为根据容器系统启 动加载的原理， bootfs 仅会加载宿主机/etc/security/limit.conf配置，而非容器内的limit. conf文件来限制资源的使用，因此只需要正确配置宿主机 limit.conf 即可，镜像中的 limit. conf文件不起作用。

3.5 容器镜像安全加固

Docker容器通过namespace 进行进程间的隔离，通过CGroup 限制资源的使用，这只 能做到进程及文件的安全隔离，同虚拟机操作系统级别的安全隔离尚有差距，正是因为这 方面的原因，容器轻量快速的特性才能发挥出来。

研发应用软件时，开发人员编写代码并提交到配置库，触发持续集成流程，经测试人 员进行测试，测试通过后由运维人员部署到生产环境，因此容器安全加固涉及容器的全生 命周期，包括开发阶段及生产阶段。容器安全加固就是在开发测试环境中保证容器镜像构 建、存储安全可信，在生产环境中保证容器启动、运行、停止正确即可。

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们 18664393530@aliyun.com 处理，核实后本网站将在24小时内删除侵权内容。