Notice: Constant WP_DEBUG already defined in /var/www/html/wordpress/wp-content/plugins/changyan/sohuchangyan.php on line 12

Notice: Constant WP_DEBUG_LOG already defined in /var/www/html/wordpress/wp-content/plugins/changyan/sohuchangyan.php on line 13

Notice: Constant WP_DEBUG_DISPLAY already defined in /var/www/html/wordpress/wp-content/plugins/changyan/sohuchangyan.php on line 14
错过了 DockerCon 奥斯丁站?别慌,还有欧洲站等着你!|航海日志 Vol.15【zoues.com】 – zoues

LOADING

Follow me

错过了 DockerCon 奥斯丁站?别慌,还有欧洲站等着你!|航海日志 Vol.15【zoues.com】
六月 12, 2017|DockerPaaS

错过了 DockerCon 奥斯丁站?别慌,还有欧洲站等着你!|航海日志 Vol.15【zoues.com】

错过了 DockerCon 奥斯丁站?别慌,还有欧洲站等着你!|航海日志 Vol.15【zoues.com】

 

 

汇总一周容器圈热点资讯,让开发者了解最 in 的容器技术,让企业熟知最实时的国内外容器行业动态

错过了 DockerCon 奥斯丁站?别慌,还有欧洲站等着你!|航海日志 Vol.15

DockerCon 欧洲站日程介绍

DockerCon 是为下一代分布式应用程序的制造商和运营商举办的社区和容器行业会议。会议时间为 2017 年 10 月 16 日至 19 日,是与 Docker 实践者, hands-on 实验室, Docker 生态系统创新者博览会和与其他虚拟容器爱好者分享经验的绝佳机会。 DockerCon week 是有趣又忙碌的一周,在此期间您需要吸收大量的知识。下图是快速的议程总结,以确保您了解和合理计划您的日程。了解更多有关 DockerCon 欧洲站的精彩内容,请关注 Docker 官网。

错过了 DockerCon 奥斯丁站?别慌,还有欧洲站等着你!|航海日志 Vol.15

在 LinuxKit 上,使用容器运行容器

错过了 DockerCon 奥斯丁站?别慌,还有欧洲站等着你!|航海日志 Vol.15

DockerCon 2017 奥斯丁站发布了一条令人振奋的消息:Docker 重磅发布了全新操作系统 LinuxKit 。这个灵活的、可扩展的操作系统可以让系统服务在容器内运行以便于迁移,甚至包括 Docker 运行时守护进程本身。本文的作者简单地带您看看 LinuxKit 在这其中进行的改变,它是如何通过不断尝试来对容器进行优化的。

Docker for AWS 和 Azure:由默认容器平台守护安全

错过了 DockerCon 奥斯丁站?别慌,还有欧洲站等着你!|航海日志 Vol.15

Docker for AWS 和 Docker for Azure 不仅是在云上安装 Docker 的捷径, 事实上,它们还默认提供了安全性的基础设施,为您提供一个安全的平台,以便在云上构建,运输和运行 Docker 应用程序。 可以在 Community Edition 中免费使用,并且作为企业版中的支持和集成管理订阅, Docker for AWS 和 Docker for Azure 可让您为当前的应用程序使用预配置的安全功能,而无需必须成为云基础架构专家。

如何使您的 Docker 镜像启用加密

错过了 DockerCon 奥斯丁站?别慌,还有欧洲站等着你!|航海日志 Vol.15

集成到 Docker 群集中,Docker secrets 提供了一种完整和安全的方式来管理容器共享的敏感数据。下图描述了如何应用 Docker 集群模式架构将一个新类型的对象安全地传递到容器中,即加密对象。

在 Docker 中,任何一组数据,例如密码, SSH 私钥, TLS证书,或其他本质上敏感的数据都是秘密。 当您向群集添加这个秘密(通过运行 docker secret create)时, Docker 通过相互验证的 TLS 连接将秘密发送给群组管理器,利用内置的证书颁发机构,在引导新群组时自动创建。

Docker 基础技术: LINUX NAMESPACE (上)

Linux Namespace 是 Linux 提供的一种内核级别环境隔离的方法。不知道你是否还记得很早以前的 Unix 有一个叫 chroot 的系统调用(通过修改根目录把用户jail到一个特定目录下), chroot 提供了一种简单的隔离模式: chroot 内部的文件系统无法访问外部的内容。Linux Namespace 在此基础上,提供了对 UTS 、 IPC 、 mount 、 PID 、network 、 User 等的隔离机制。 举个例子,我们都知道,Linux 下的超级父亲进程的 PID 是1,所以,同 chroot 一样,如果我们可以把用户的进程空间 jail 到某个进程分支下,并像 chroot 那样让其下面的进程 看到的那个超级父进程的 PID 为 1 ,于是就可以达到资源隔离的效果了(不同的 PID namespace 中的进程无法看到彼此) Linux Namespace 有如下种类,官方文档在这里 《Namespace in Operation》 !

错过了 DockerCon 奥斯丁站?别慌,还有欧洲站等着你!|航海日志 Vol.15

你可能会问, PID 为 1 有什么用?我们知道,在传统的 UNIX 系统中, PID 为 1 的进程是 init ,地位非常特殊。他作为所有进程的父进程,有很多特权(比如:屏蔽信号等),另外,其还会为检查所有进程的状态,我们知道,如果某个子进程脱离了父进程(父进程没有 wait 它),那么 init 就会负责回收资源并结束这个子进程。所以,要做到进程空间的隔离,首先要创建出 PID 为 1 的进程,最好就像 chroot 那样,把子进程的 PID 在容器内变成 1 。

但是,我们会发现,在子进程的 shell 里输入 ps , top 等命令,我们还是可以看得到所有进程。说明并没有完全隔离。这是因为,像 ps ,  top 这些命令会去读 /proc 文件系统,所以,因为 /proc 文件系统在父进程和子进程都是一样的,所以这些命令显示的东西都是一样的。 所以,我们同时还需要对文件系统进行隔离。

这一期的『航海日志』就到这里,下期再浪~

参考链接

  • https://europe-2017.dockercon.com/
  • https://blog.docker.com/2017/06/docker-for-aws-azure-security/
  • https://xinity.github.io/How-to-make-your-docker-images-secrets-enabled/
  • http://coolshell.cn/articles/17010.html
  • https://www.linux.com/blog/learn/sysadmin/2017/6/containers-running-containers-linuxkit

作者介绍

杨雪颖 Misha:DaoCloud 技术顾问,能文能撸码の通用型选手,兼 Labs 吉祥物。

no comments
Share