内容简介:错过了 DockerCon 奥斯丁站?别慌,还有欧洲站等着你!|航海日志 Vol.15
汇总 一周容器圈热点资讯 ,让开发者了解 最 in 的容器技术 ,让企业熟知最实时的 国内外容器行业动态 。
DockerCon 欧洲站日程介绍
DockerCon 是为下一代分布式应用程序的制造商和运营商举办的社区和容器行业会议。会议时间为 2017 年 10 月 16 日至 19 日,是与 Docker 实践者, hands-on 实验室, Docker 生态系统创新者博览会和与其他虚拟容器爱好者分享经验的绝佳机会。 DockerCon week 是有趣又忙碌的一周,在此期间您需要吸收大量的知识。下图是快速的议程总结,以确保您了解和合理计划您的日程。了解更多有关 DockerCon 欧洲站的精彩内容,请关注 Docker 官网。
在 LinuxKit 上,使用容器运行容器
DockerCon 2017 奥斯丁站发布了一条令人振奋的消息:Docker 重磅发布了全新操作系统 LinuxKit 。这个灵活的、可扩展的操作系统可以让系统服务在容器内运行以便于迁移,甚至包括 Docker 运行时守护进程本身。本文的作者简单地带您看看 LinuxKit 在这其中进行的改变,它是如何通过不断尝试来对容器进行优化的。
Docker for AWS 和 Azure:由默认容器平台守护安全
Docker for AWS 和 Docker for Azure 不仅是在云上安装 Docker 的捷径, 事实上,它们还默认提供了安全性的基础设施,为您提供一个安全的平台,以便在云上构建,运输和运行 Docker 应用程序。 可以在 Community Edition 中免费使用,并且作为企业版中的支持和集成管理订阅, Docker for AWS 和 Docker for Azure 可让您为当前的应用程序使用预配置的安全功能,而无需必须成为云基础架构专家。
如何使您的 Docker 镜像启用加密
集成到 Docker 群集中,Docker secrets 提供了一种完整和安全的方式来管理容器共享的敏感数据。下图描述了如何应用 Docker 集群模式架构将一个新类型的对象安全地传递到容器中,即加密对象。
在 Docker 中,任何一组数据,例如密码, SSH 私钥, TLS证书,或其他本质上敏感的数据都是秘密。 当您向群集添加这个秘密(通过运行 docker secret create)时, Docker 通过相互验证的 TLS 连接将秘密发送给群组管理器,利用内置的证书颁发机构,在引导新群组时自动创建。
Docker基础技术: LINUX NAMESPACE (上)
Linux Namespace 是 Linux 提供的一种内核级别环境隔离的方法。不知道你是否还记得很早以前的 Unix 有一个叫 chroot 的系统调用(通过修改根目录把用户jail到一个特定目录下), chroot 提供了一种简单的隔离模式: chroot 内部的文件系统无法访问外部的内容。Linux Namespace 在此基础上,提供了对 UTS 、 IPC 、 mount 、 PID 、network 、 User 等的隔离机制。 举个例子,我们都知道,Linux 下的超级父亲进程的 PID 是1,所以,同 chroot 一样,如果我们可以把用户的进程空间 jail 到某个进程分支下,并像 chroot 那样让其下面的进程 看到的那个超级父进程的 PID 为 1 ,于是就可以达到资源隔离的效果了(不同的 PID namespace 中的进程无法看到彼此) Linux Namespace 有如下种类,官方文档在这里 《Namespace in Operation》 !
你可能会问, PID 为 1 有什么用?我们知道,在传统的 UNIX 系统中, PID 为 1 的进程是 init ,地位非常特殊。他作为所有进程的父进程,有很多特权(比如:屏蔽信号等),另外,其还会为检查所有进程的状态,我们知道,如果某个子进程脱离了父进程(父进程没有 wait 它),那么 init 就会负责回收资源并结束这个子进程。所以,要做到进程空间的隔离,首先要创建出 PID 为 1 的进程,最好就像 chroot 那样,把子进程的 PID 在容器内变成 1 。
但是,我们会发现,在子进程的 shell 里输入 ps , top 等命令,我们还是可以看得到所有进程。说明并没有完全隔离。这是因为,像 ps , top 这些命令会去读 /proc 文件系统,所以,因为 /proc 文件系统在父进程和子进程都是一样的,所以这些命令显示的东西都是一样的。 所以,我们同时还需要对文件系统进行隔离。
这一期的『航海日志』就到这里,下期再浪~
参考链接
- https://europe-2017.dockercon.com/
- https://blog.docker.com/2017/06/docker-for-aws-azure-security/
- https://xinity.github.io/How-to-make-your-docker-images-secrets-enabled/
- http://coolshell.cn/articles/17010.html
- https://www.linux.com/blog/learn/sysadmin/2017/6/containers-running-containers-linuxkit
作者介绍
杨雪颖 Misha:DaoCloud 技术顾问,能文能撸码の通用型选手,兼 Labs 吉祥物。
以上所述就是小编给大家介绍的《错过了 DockerCon 奥斯丁站?别慌,还有欧洲站等着你!|航海日志 Vol.15》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:- 聚焦新趋势,贝斯特电子布局智能航海时代
- Docker 宣布提供学生开发套件和校园大使程序|航海日志 Vol.14
- 不可错过的实用前端工具
- Vim最全常用命令,错过血亏
- 你可能错过了这些公众号
- 你不能错过的XSS指引
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
逆向工程核心原理
[韩] 李承远 / 武传海 / 人民邮电出版社 / 2014-4-25 / 109.00元
本书十分详尽地介绍了代码逆向分析的核心原理。作者在Ahnlab 研究所工作多年,书中不仅包括其以此经验为基础亲自编写的大量代码,还包含了逆向工程研究人员必须了解的各种技术和技巧。彻底理解并切实掌握逆向工程这门技术,就能在众多IT 相关领域进行拓展运用,这本书就是通向逆向工程大门的捷径。 想成为逆向工程研究员的读者或正在从事逆向开发工作的开发人员一定会通过本书获得很大帮助。同时,想成为安全领域......一起来看看 《逆向工程核心原理》 这本书的介绍吧!