我在2GO digitalOcean服务器上使用docker组合来部署我的应用程序,但我注意到postgresql容器正在使用所有可用的ram !这是不正常的,我想知道如何解决这个问题…?所以我去容器的日志(docker日志postgres),我发现这个:
postgresql日志
我没想到在"数据库已准备好接受连接"之后会有日志,日志就像我没有在容器中安装包一样,但我正在使用官方图像,所以我认为它应该工作…
帮你帮我哈哈:
my docker-compose file:
version: "3"
services:
monapp:
image: registry.gitlab.com/touretchar/workhouse-api-bdd/master:latest
container_name: monapp
depends_on:
- postgres
ports:
- "3000:3000"
command: "npm run builded-test"
restart: always
deploy:
resources:
limits:
cpus: 0.25
memory: 500M
reservations:
memory: 150M
postgres:
image: postgres:13.1
container_name: postgres
environment:
- POSTGRES_HOST_AUTH_METHOD=trust
- POSTGRES_USER=postgres
- POSTGRES_PASSWORD=postgres
volumes:
- postgres_datas:/var/lib/postgresql/data/
- postgres_dumps:/home/dumps/test
ports:
- "5432:5432"
restart: always
deploy:
resources:
limits:
cpus: 0.25
memory: 500M
reservations:
memory: 150M
volumes:
postgres_datas:
driver: local
driver_opts:
type: none
device: $PWD/util/databases/pgDatas
o: bind
postgres_dumps:
driver: local
driver_opts:
type: none
device: $PWD/util/databases/test
o: bind
和docker的输出:
输入图片描述
如果你有想法!提前谢谢:)
我终于找到了一个解决方案,这是因为我的容器被破坏了!
事实上,我的postgres容器在5432上有一个开放的端口到互联网,所以每个人都可以使用digitalocean水滴ip和端口(:port)连接到它,我认为有人在攻击我的容器,并使用我所有的Ram/cpu允许容器!
我确信这是因为为了纠正这个问题,我通过添加带有iptables的防火墙规则(您应该在链DOCKER-USER中添加规则)阻止了从我的水滴外部访问容器,并且由于我添加了规则,容器的ram消耗恢复正常,并且我不再有我在我的问题中发布的奇怪日志了!
结论:当Docker容器在web上运行时,要小心它们的安全性!
谢谢,希望它能帮助到别人:)