2 天前 / ???米?开?朗?基?杨???
大家好,我是杨玉玺,2011 年至今一直从事底层网络研发,先后就职于阿里云、金山云从事 VPC 虚拟化网络研发,对高性能网络优化,复杂网络问题排查有非常丰富的经验。目前就职腾讯云 TKE 团队,专注 K8S 底层网络。 本文主要讲述了借助 ebpf 工具 skbtracer 分析了容器网桥模式下出现 dup 包问题的根本原因, skbtracer 工具的使用使得原本比较复杂的分析过程变得非常高效且流程化。目前,skbtracer 工具正在不断打磨发展,后续会越来越傻瓜化智能化,希望能够借本次分享推广此分析方法及思路,让更多的人了解、使用 skbtracer 工具。 背 景 云计......
12 天前 / kafeidou
容器数据磁盘被写满造成的危害: 不能创建 Pod (一直 ContainerCreating) 不能删除 Pod (一直 Terminating) 判断是否被写满: 容器数据目录大多会单独挂数据盘,路径一般是/var/lib/docker,也可能是/data/docker或/opt/docker,取决于节点被添加时的配置: 可通过docker info确定: $ docker info...Docker Root Dir: /var/lib/docker...如果没有单独挂数据盘,则会使用系统盘存储。判断是否被写满: $ dfFilesystem 1K-blocks Used Available Use% Mounted on.../dev/vda1 51474044 4619112 44233548 10% /.../dev......
12 天前 / ???米?开?朗?基?杨???
福利 文末留言送 5 本由浙大SEL实验室硕士杜军大佬撰写的《Kubernetes 网络权威指南:基础、原理与实践》,希望大家点击文末的留言小程序积极留言,每个人都有机会。 前言 当检查你的 Kubernetes 集群的节点时,在节点上执行 docker ps 命令,你可能会注意到一些被称为“暂停”(pause)的容器,例如: → docker ps CONTAINER ID IMAGE COMMAND ... 3b45e983c859 gcr.io/google_containers/pause-amd64:3.1 “/pause” dbfc35b00062 gcr.io/google_containers/pause-amd64:3.1 “/pause” c4e998ec4d5d gcr.io/goog......
24 天前 / 涯之叶
文中所称Docker中的特权容器是指有host主机中root权限的容器,此类容器允许普通容器中无法访问的资源。特权容器的一个例子就是在Docker container中运行的Docker daemon,另一个例子是需要直接硬件访问的容器。最初,Docker-in-Docker的引入就是为了Docker的开发。但目前有很多运行特权容器的不同用例,比如在开源自动化服务器Jenkins中的自动持续集成(Continuous Integration)和交付(CI/CD)任务。但运行特权容器并不能保证其安全性。下面介绍下攻击者如何运行特权不安全的容器来获取后门。 特权容器的问题 一般只有在运行现有容器时同时需......
37 天前 / 姬野
一、攻击Docker容器-场景在上一篇文章中攻击和审计Docker容器01,介绍了Docker容器的基础知识,在本篇文章中,我们将介绍通过攻击容器从而访问主机的系统,数据和资源。 主要有以下几种攻击场景: 1、攻击容器的Capabilities(Capability 能力限制) 2、攻击不安全的数据卷挂载 3、攻击运行环境的错误配置 4、利用docker secrets 错误配置 什么是Docker Escape?通过利用Docker漏洞,弱点使攻击者能够绕过容器运行时的各种限制获取主机的权限、数据和资源。 如果攻击者能够在容器内执行任意命令,并且能够在主机上访问资源或执行命令,而不......
42 天前 / Fundebug
Docker是目前最具代表性的容器技术之一,对云计算及虚拟化技术产生了颠覆性的影响。本文对Docker容器在应用中可能面临的安全问题和风险进行了研究,并将Docker容器应用环境中的安全机制与相关解决方案分为容器虚拟化安全、容器安全管理、容器网络安全三部分进行分析。 一、从虚拟化安全到容器安全1、传统虚拟化技术虚拟化技术是实现硬件基础设施资源的充分利用、合理分配和有效调度的重要技术手段。例如,在基于OpenStack的典型IaaS服务中,云服务提供商可通过搭建设备集群建立资源池,并将服务器、存储和网络等底层资源进行弹性虚拟化提供给租户......
57 天前 / 美团技术团队
总第372篇 2019年 第50篇 提单页在美团外卖交易链路中非常重要,但随着业务不断发展,提单页模块越来越多,逻辑的耦合也越来越重。为了解决这一问题,需要实现提单页的动态化,而动态化是需要基于容器来实现,所以,美团外卖技术团队提出了提单页的容器化方案。希望本文对同样深受此问题困扰的同学有所帮助,有所启迪。背景提单页的位置提单页是美团外卖交易链路中非常关键的一个页面。外卖下单的所有入口,包括首页商家列表、订单列表页再来一单、二级频道页的今日推荐等,最终都会进入提单页,在确认各项信息之后,点击提交订单按钮,......
65 天前 / 携程技术中心
作者简介 李剑,携程系统研发部技术专家,负责Redis和Mongodb的容器化和服务化工作,喜欢深入分析系统疑难杂症。 周昕毅,携程系统研发部云平台高级研发经理。现负责携程容器云平台运维,Cloud Storage及Cloud Network基础设施研发及运维。 本文为容器偶发性超时问题案例分析的第二篇,第一篇点这里。 前言 随着内核升级到4.14.67,看上去延迟的问题彻底解决了,然而并没有,只是出现的更加缓慢。几周后,超时报障又找了过来,我们用perf来分析,发现了一些异常。 如图1所示是一个空负载的宿主机升级内核后8天的perf的数据......
67 天前 / 涯之叶
35C3 CTF是在第35届混沌通讯大会期间,由知名CTF战队Eat, Sleep, Pwn, Repeat于德国莱比锡举办的一场CTF比赛。比赛中有一道基于Linux命名空间机制的沙盒逃逸题目。赛后,获得第三名的波兰强队Dragon Sector发现该题目所设沙盒在原理上与docker exec命令所依赖的runc(一种容器运行时)十分相似,遂基于题目经验对runc进行漏洞挖掘,成功发现一个能够覆盖宿主机runc程序的容器逃逸漏洞。该漏洞于2019年2月11日通过邮件列表披露,分配编号CVE-2019-5736。 本文将对该CTF题目和CVE-2019-5736作完整分析,将整个过程串联起来,以期形成对容器底层技术......
75 天前 / 1点25
“Tomcat是一个Servlet容器”,这句话对于2019年的程序员应该是耳熟能详的。 单纯的思考一下这句话,我们可以抽象出来这么一段代码: class Tomcat { List sers;} 如果Tomcat就长这样,那么它肯定是不能工作的,所以,Tomcat其实是这样: class Tomcat { Connectorconnector;//连接处理器 Listsers;} 我们这里先不考虑Connector的底层实现,我们只需知道Connector是负责处理请求的。 我们还是来想想容器。 Context顾名思义,Servlet容器就是用来装载存储Servlet的。 一个Servlet表示一个运行在服务端的程序(servle......
75 天前 / cultus
GC停顿经常超过100ms现象有同事反馈说, 最近开始试用公司的k8s, 部署在docker里的go进程有问题, 接口耗时很长, 而且还有超时. 逻辑很简单, 只是调用了kv存储, kv存储一般响应时间12->6 MB, 11 MB goal, 76 P gc 112 @97.798s 1%: 0.040+93+0.14 ms clock, 3.0+0.55/7.1/0+10 ms cpu, 10->11->5 MB, 12 MB goal, 76 P gc 113 @99.294s 1%: 0.041+298+100 ms clock, 3.1+0.34/181/0+7605 ms cpu, 10->13->6 MB, 11 MB goal, 76 P gc 114 @100.892s 1%: 99+200+99 ms clock, 7597+0/5.6/0+7553 ms cpu, 11->13->6 MB, 13 MB goal, 76 P 在一台......
88 天前 / 宜信技术学院
一、背景 为了快速适应和满足市场需求,小而快的应用越来越多,“这些零碎的应用如何部署、管理?”成为让大家头疼的问题。若全部上虚拟机,资源消耗太大。这时,将应用容器化,显然是一个非常不错的选择,但很多公司又都面临着一个同样的问题,那就是容器化推行难。容器化推行的过程中,研发、运维学习及使用成本都非常高,那有没有一款简单易用的平台呢?开普勒云平台是 宜人金科-财富技术部 开源的一款基于Kubernetes的应用管理解决方案。致力于解决公司的上容器难、上Kubernetes难、运维成本高等问题。应用只需要加一个非常简单的Dockerfile......