如何优化Docker 镜像安全性
前言 当你是刚开始使用 Docker 的新手时,你很可能会创建不安全的 Docker 镜像,使攻击者很容易借此接管容器,甚至可能接管整个主机,然后渗透到你公司的其他基础设施中。 可以被滥用来接管你的系统的攻击向量有很多,例如: 启动的应用程序(在你 Docke … 阅读全文
docker exec容器报错su: must be suid to work properly
问题 通过docker exct 容器ID /bin/bash 是以非root用户连接,在执行 su - 时报错 解决办法: 使用root身份进入docker容器,执行命令格式
Docker build 使用说明
Docker 可以通过读取 Dockerfile 中的指令自动构建镜像。Dockerfile 是一个文本文档,其中包含了用户创建镜像的所有命令和说明。 一、 变量变量用 $variable_name 或者 ${variable_name}& … 阅读全文
Helm 安装istio
部署 istio 1.添加 istio 官方的 helm 仓库 2.是否添加成功 3.创建 istio-system 命名空间 kubectl create ns istio-system 4.创建 istio 所需的 crd 文件 helm install … 阅读全文
Docker logs 的高级用法
1. 显示所有 log # 显示某个容器的所有log $ docker logs [OPTIONS] <CONTAINER> # 显示 docker-compose 启动的所有容器的log $ docker-compose logs 2. 显示实时 … 阅读全文
K8s 日志系统设计和实践
需求驱动架构设计 技术架构,是将产品需求转变为技术实现的过程。对于所有的架构师而言,能够将产品需求分析透彻是非常基本也是非常重要的一点。很多系统刚建成没多久就要被推翻,最根本的原因还是没有解决好产品真正的需求。 我所在的日志服务团队在日志这块有近10年的经验, … 阅读全文
阿里云两台ECS主机flanneld配置
概述 阿里云上有两台主机(interface和vpc-test1)没有安装k8s集群,只起了docker服务,要实现两台云主机上的docker容器内网互通,拟通过flanneld和etcd来配置实现。 配置步骤 环境说明: 主机 IP地址 部署服务 inter … 阅读全文
Flannel配置详解
1、Flannel简介 Flannel是一种基于overlay网络的跨主机容器网络解决方案,也就是将TCP数据包封装在另一种网络包里面进行路由转发和通信。 Flannel配合etcd可以实现不同宿主机上的docker容器内网IP的互通。 Flannel是Cor … 阅读全文
Docker 容器动态增加映射端口
在对已经运行的docker容器动态添加端口映射(expose 端口) 增加宿主机10051->容器20022的端口映射。
K8S名词解释之Secret
Secret Secret解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。Secret可以以Volume或者环境变量的方式使用。 Secret有三种类型: Service Account:用来访问Kub … 阅读全文
K8S名称解释之Deployment
简述 Deployment为Pod和ReplicaSet提供了一个声明式定义(declarative)方法,用来替代以前的ReplicationController来方便的管理应用。典型的应用场景包括: 定义Deployment来创建Pod和Re … 阅读全文
K8S 名词解释之Volumes
容器中的磁盘的生命周期是短暂的,这就带来了一系列的问题,第一,当一个容器损坏之后,kubelet 会重启这个容器,但是文件会丢失-这个容器会是一个全新的状态,第二,当很多容器在同一Pod中运行的时候,很多时候需要数据文件的共享。Kubernete Volume … 阅读全文
K8S 名词解释之Services
Overview(概述) Kubernetes Pod是平凡的,它门会被创建,也会死掉(生老病死),并且他们是不可复活的。 ReplicationControllers动态的创建和销毁Pods(比如规模扩大或者缩小,或者执行动态更新)。每个pod都由自己的ip … 阅读全文
K8S 名词解释之Replication Controller
什么是Replication Controller Replication Controller 保证了在所有时间内,都有特定数量的Pod副本正在运行,如果太多了,Replication Controller就杀死几个,如果太少了,Replication Co … 阅读全文
K8S 名词解释之Labels
标签 标签其实就一对 key/value ,被关联到对象上,比如Pod,标签的使用我们倾向于能够标示对象的特殊特点,并且对用户而言是有意义的(就是一眼就看出了这个Pod是尼玛数据库),但是标签对内核系统是没有直接意义的。标签可以用来划分特定组的对象(比如,所有 … 阅读全文
K8S 名词解释之Pods
在Kubernetes中,最小的管理元素不是一个个独立的容器,而是Pod,Pod是最小的,管理,创建,计划的最小单元. 什么是Pod 一个Pod(就像一群鲸鱼,或者一个豌豆夹)相当于一个共享context的配 … 阅读全文
Services in Kubernetes介绍
概述 kubernetes中pods是平凡的,可创建可销毁而且不可再生。 ReplicationControllers可以动态的创建&销毁pods(如扩容 or 缩容 or 更新)。虽然pods有他们单独的ip,但是他们的ip并不能得到稳 … 阅读全文
docker私有仓库repository搭建:Harbor
我们在上一篇文章中介绍了使用registry来创建企业私有仓库用于存储镜像,但是由于只有CUI的操作,一般拿来还要加工处理一下。 在以前曾经介绍过的Harbor其实也是基于Registry的这样一个企业级Registry的创建,在本文中将会介绍一下如 … 阅读全文
Kubernetes 1.5:支撑生产环境工作负载
今天我们很高兴地宣布Kubernetes 1.5发布了。这次发布紧随KubeCon/CloudNativeCon之后。大会上用户云集,对他们如何在Kubernetes上运行应用做了精彩的分享。你们很多人曾表达过在容器中运行有状态应用的兴趣,和最终让所有应用运行 … 阅读全文
Kubernetes部署的最佳安全实践
Kubernetes,并且明确部署的安全需求。此处我们强调的最佳实践指的是容器的生命周期管理:构建,打包和运行,并且特指Kubernetes的部署。我们在我们自己的SaaS部署(http://t.cn/RIcMXd7)中采用了这些最佳实践,它是运行 … 阅读全文