32 天前 / 涯之叶
随着云计算的发展,容器的使用越来越广泛,尤其是近两年,越来越多企业机构都开始采用容器作为新的 IT 基础设施。回顾一下历史,其实容器在上世纪的 70 年代末就已经出现了雏形。Jails,Zones,VPS,VM 和容器都是为了隔离和资源控制,但每种技术是通过不同的方式实现它,每种方式都有其局限性和优势。 1979 年:Unix V7 在那个计算资源匮乏年代,想要通过快速销毁和重建基础设施来解决测试环境污染问题几乎不可能。为了隔离出来可供软件进行构建和测试的环境,chroot(change root)系统调用程序横空出现。
41 天前 / 姬野
近年来,容器技术持续升温,全球范围内各行各业都在这一轻量级虚拟化方案上进行着积极而富有成效的探索,使其能够迅速落地并赋能产业,大大提高了资源利用效率和生产力。随着容器化的重要甚至核心业务越来越多,容器安全的重要性也在不断提高。作为一项依然处于发展阶段的新技术,容器的安全性在不断地提高,也在不断地受到挑战。与其他虚拟化技术类似,在其面临的所有安全问题当中,「逃逸问题」最为严重——它直接影响到了承载容器的底层基础设施的保密性、完整性和可用性。
76 天前 / ???米?开?朗?基?杨???
大家好,我是杨玉玺,2011 年至今一直从事底层网络研发,先后就职于阿里云、金山云从事 VPC 虚拟化网络研发,对高性能网络优化,复杂网络问题排查有非常丰富的经验。目前就职腾讯云 TKE 团队,专注 K8S 底层网络。 本文主要讲述了借助 ebpf 工具 skbtracer 分析了容器网桥模式下出现 dup 包问题的根本原因, skbtracer 工具的使用使得原本比较复杂的分析过程变得非常高效且流程化。目前,skbtracer 工具正在不断打磨发展,后续会越来越傻瓜化智能化,希望能够借本次分享推广此分析方法及思路,让更多的人了解、使用 skbtracer 工具。
86 天前 / kafeidou
容器数据磁盘被写满造成的危害: 不能创建 Pod (一直 ContainerCreating) 不能删除 Pod (一直 Terminating) 判断是否被写满: 容器数据目录大多会单独挂数据盘,路径一般是/var/lib/docker,也可能是/data/docker或/opt/docker,取决于节点被添加时的配置: 可通过docker info确定: $ docker info...Docker Root Dir: /var/lib/docker...如果没有单独挂数据盘,则会使用系统盘存储。判断是否被写满: $ dfFilesystem 1K-blocks Used Available Use% Mounted on.../dev/vda1 51474044 4619112 44233548 10% /.../dev/vdb ...
86 天前 / ???米?开?朗?基?杨???
福利 文末留言送 5 本由浙大SEL实验室硕士杜军大佬撰写的《Kubernetes 网络权威指南:基础、原理与实践》,希望大家点击文末的留言小程序积极留言,每个人都有机会。 前言 当检查你的 Kubernetes 集群的节点时,在节点上执行 docker ps 命令,你可能会注意到一些被称为“暂停”(pause)的容器,例如: → docker ps CONTAINER ID IMAGE COMMAND ... 3b45e983c859 gcr.io/google_containers/pause-amd64:3.1 “/pause” dbfc35b00062 gcr.io/google_containers/pause-amd64:3.1 “/pause” c4e998ec4d5d gcr.io/google_cont...
97 天前 / 涯之叶
文中所称Docker中的特权容器是指有host主机中root权限的容器,此类容器允许普通容器中无法访问的资源。特权容器的一个例子就是在Docker container中运行的Docker daemon,另一个例子是需要直接硬件访问的容器。最初,Docker-in-Docker的引入就是为了Docker的开发。但目前有很多运行特权容器的不同用例,比如在开源自动化服务器Jenkins中的自动持续集成(Continuous Integration)和交付(CI/CD)任务。但运行特权容器并不能保证其安全性。下面介绍下攻击者如何运行特权不安全的容器来获取后门。
111 天前 / 姬野
一、攻击Docker容器-场景在上一篇文章中攻击和审计Docker容器01,介绍了Docker容器的基础知识,在本篇文章中,我们将介绍通过攻击容器从而访问主机的系统,数据和资源。 主要有以下几种攻击场景: 1、攻击容器的Capabilities(Capability 能力限制) 2、攻击不安全的数据卷挂载 3、攻击运行环境的错误配置 4、利用docker secrets 错误配置 什么是Docker Escape?通过利用Docker漏洞,弱点使攻击者能够绕过容器运行时的各种限制获取主机的权限、数据和资源。
116 天前 / Fundebug
Docker是目前最具代表性的容器技术之一,对云计算及虚拟化技术产生了颠覆性的影响。本文对Docker容器在应用中可能面临的安全问题和风险进行了研究,并将Docker容器应用环境中的安全机制与相关解决方案分为容器虚拟化安全、容器安全管理、容器网络安全三部分进行分析。 一、从虚拟化安全到容器安全1、传统虚拟化技术虚拟化技术是实现硬件基础设施资源的充分利用、合理分配和有效调度的重要技术手段。例如,在基于OpenStack的典型IaaS服务中,云服务提供商可通过搭建设备集群建立资源池,并将服务器、存储和网络等底层资源进行弹性虚拟化提供给租户。
131 天前 / 美团技术团队
总第372篇 2019年 第50篇 提单页在美团外卖交易链路中非常重要,但随着业务不断发展,提单页模块越来越多,逻辑的耦合也越来越重。为了解决这一问题,需要实现提单页的动态化,而动态化是需要基于容器来实现,所以,美团外卖技术团队提出了提单页的容器化方案。希望本文对同样深受此问题困扰的同学有所帮助,有所启迪。背景提单页的位置提单页是美团外卖交易链路中非常关键的一个页面。
138 天前 / 携程技术中心
作者简介 李剑,携程系统研发部技术专家,负责Redis和Mongodb的容器化和服务化工作,喜欢深入分析系统疑难杂症。 周昕毅,携程系统研发部云平台高级研发经理。现负责携程容器云平台运维,Cloud Storage及Cloud Network基础设施研发及运维。 本文为容器偶发性超时问题案例分析的第二篇,第一篇点这里。 前言 随着内核升级到4.14.67,看上去延迟的问题彻底解决了,然而并没有,只是出现的更加缓慢。几周后,超时报障又找了过来,我们用perf来分析,发现了一些异常。
140 天前 / 涯之叶
35C3 CTF是在第35届混沌通讯大会期间,由知名CTF战队Eat, Sleep, Pwn, Repeat于德国莱比锡举办的一场CTF比赛。比赛中有一道基于Linux命名空间机制的沙盒逃逸题目。赛后,获得第三名的波兰强队Dragon Sector发现该题目所设沙盒在原理上与docker exec命令所依赖的runc(一种容器运行时)十分相似,遂基于题目经验对runc进行漏洞挖掘,成功发现一个能够覆盖宿主机runc程序的容器逃逸漏洞。该漏洞于2019年2月11日通过邮件列表披露,分配编号CVE-2019-5736。
142 天前 / cultus
Go 使用 Docker部署的意义(优势)在哪?由于 go 最终是编译为一个二进制可执行文件,没有运行时依赖,也不需要管理库,丢到服务器上就可以直接运行。所以,如果你有一个二进制文件,那么在容器中打包二进制文件的要点是什么?如果使用 docker 的话,还得在服务器上装 docker,那么把最终程序打包成 docker 有什么好处呢? 我想有这么几个好处: 依赖打包如果你的应用程序(二进制文件)依赖配置文件或一些静态文件,那使用docker就很方便的把这些文件一起打包进容器里。