简单说一下k8s集群内外网络如何互通的
要在 Kubernetes(k8s)集群内外建立网络互通,可以采取以下措施:
使用service: 使用Service类型为NodePort或LoadBalancer的Kubernetes服务。这可以使服务具有一个公共IP地址或端口,以便在集群内或外部访问该服务。
使用Ingress: 配置Kubernetes Ingress资源。Ingres...
上一篇写了Docker特权模式取消改造 → Docker特权权限与安全性实践,这篇主要写 Nvidia GPU 在 Docker 容器中使用及调用验证。首先需要了解下 Nvidia Container Runtime 架构,即GPU是怎么在容器内调用使用的。
NVIDIA Container Runtime 架构:基本原理是用钩子把宿主机显卡驱动映射到容器内使用。
The...
Continue reading >>本文通过 Google 翻译 Docker Breakout – Linux Privilege Escalation 这篇文章所产生,本人仅是对机器翻译中部分表达别扭的字词进行了校正及个别注释补充。
sudo apt remove docker docker-engine docker-ce docker.io
sudo apt update && apt install -y apt-transp...Continue reading >>
最近在推进生产环境Docker容器应用权限收敛控制,由于早期公司业务快速迭代容器是放开特权模式跑的,现在需要取消特权权限,按需放开应用所需权限,提高Docker生产环境安全性,参考 → Linux 提权-Docker 容器。
权限收敛调整影响涉及面很大,需要提前测试验证,保证各系统应用使用都不受影响,大体上去除特权模式后待测试功能点如下:
1、应用启动脚本及调用的第三方库功能验证
2、容器内其它工具命令...
Continue reading >>原文来自:由浅入深吃透 Docker
OverlayFS 的发展分为两个阶段。2014 年,OverlayFS 第一个版本被合并到 Linux 内核 3.18 版本中,此时的 OverlayFS 在 Docker 中被称为overlay文件驱动。由于第一版的overlay文件系统存在很多弊端(例如运行一段时间后Docker 会报 “too many links problem” 的错误), Linu...
Continue reading >>