摘要:
openshift版本:openshift v3.6.173.0.5 使用oc(同kubectl)命令访问apiserver资源的时候,会使用到/root/.kube/config文件中使用的配置。 使用user访问apiserver oc命令使用config中定义的user和证书(公钥和私钥)访问 阅读全文
摘要:
注:本文省略了部分开发协议才涉及到的内容,如字段类型的定义以及字段长度的运算,主要聚焦理解tls协议的运作方式,用于问题定位 tls协议包含2层协议:TLS Record 协议和TLS Handshake协议,底层采用可靠传输协议(如TCP),TLS Record协议通过如下方式实现数据的安全传输: 阅读全文
摘要:
环境:openshift v3.6.173.0.5 openshift上devicemapper与官方文档中的描述略有不同,在官方文档的描述中,容器使用的lvm文件系统挂载在/var/lib/devicemapper下,因此可以在/var/lib/devicemapper/metadata中找到容器 阅读全文
摘要:
协议链接 本协议描述了如何使用TLS来对Internet上的HTTP进行安全加固。 2.1. Connection Initiation(链接初始化) HTTP client同时也作为TLS client(后续统一称为client)。在建立链接的时候,由client初始化TCP链接,并发出TLS C 阅读全文
摘要:
起因: 最近新部署了openshift集群,由于使用了自签证书,浏览器访问集群的https服务会报告警(如下图),在使用浏览器(特别是IE)访问openshift master暴露的服务时,选择继续访问时,出现了尝试很多次才能登陆成功的情况。 问题排查: 访问流程如下,client(浏览器)会直接访 阅读全文
摘要:
openshift封装了k8s,在网络上结合ovs实现了多租户隔离,对外提供服务时报文需要经过ovs的tun0接口。下面就如何通过tun0访问pod(172.30.0.0/16)进行解析(下图来自理解OpenShift(3):网络之 SDN,删除了原图的IP) openshift版本如下: 首先在查 阅读全文
摘要:
本需求来自于一道面试题😂(本环境使用centos 7) 最好使用阿里云ec2服务器安装minikube,若使用本地pc的vmware可能会出现网络方面的问题。 使用如下命令安装minikube,参见install minikube # curl -Lo minikube https://stora 阅读全文
摘要:
由于容器运行在主机上,且与主机共用一套内核,因此在容器的安全使用上会涉及到容器本身以及主机的安全加固,如针对系统调用,系统资源,远程访问等都需要进行安全方面的考量。 docker官网给出了简单的一些建议,如使用命名空间进行用户隔离,使用cgroup限制容器使用的资源上限,使用apparmor限制容器 阅读全文
摘要:
## [docker storage driver](https://www.cnblogs.com/charlieroro/p/10176598.html) docker默认有2种方式用于持久化数据,`volumes`和`bind mounts`,也可以使用`tmpfs`,其中使用`volume` 阅读全文
摘要:
运行上述镜像,在对于的容器进程目录下可以看到该进程打开个4个文件,其中fd为10的即是运行的shell 脚本, 执行docker logs -f CONTAINER_ID 跟踪容器输出,fd为1的文件为docker logs记录的输出,可以直接导入一个自定义的字符串,如echo ”你好“ > 1,可 阅读全文