የተለመደው የዶከር እና የኩበርኔትስ ጭነቶች (የጎደለ) ደህንነትን መመርመር

በአይቲ ውስጥ ከ20 ዓመታት በላይ እየሰራሁ ቆይቻለሁ፣ ግን በሆነ መንገድ ወደ ኮንቴይነሮች ቀርቤ አላውቅም። በንድፈ ሀሳብ, እንዴት እንደተዋቀሩ እና እንዴት እንደሚሰሩ ተረድቻለሁ. ነገር ግን በተግባር አጋጥሟቸው ስለማላውቅ፣ ከኮፈናቸው ስር ያሉት ጊርስ በትክክል እንዴት እንደሚዞር እና እንደሚዞር እርግጠኛ አልነበርኩም።

ከዚህ በተጨማሪ ደህንነታቸው እንዴት እንደሆነ አላውቅም ነበር። ግን እንደገና ፣ ንድፈ ሀሳቡ ጥሩ ይመስላል ፣ እና የድሮው ዘፈን “ደህንነት ሲጨምር ፣ ተጠቃሚነቱ ይቀንሳል” ጭንቅላቴ ውስጥ ተጣብቋል። ስለዚህ ሁሉም ነገር ከመያዣዎች ጋር ለመስራት በጣም ቀላል ስለሆነ ከዚያ እዚያ ያለው ደህንነት ከደረጃ በታች ነው ብዬ አሰብኩ ። እንደ ተለወጠ, ልክ ነበርኩ.

በፍጥነት ለመጀመር፣ ለኮርሶች ተመዝግቤያለሁ ጥቁር ኮፍያ 2020 በሚል ርዕስከጨርቃ ጨርቅ እስከ ሀብት፡ የዶከር ስዋርም እና የኩበርኔትስ አካባቢዎችን ዘልቆ መግባት እና መከላከል».

በሼይላ ኤ. በርታ እና ሶል ኦዛን ያስተማረው ኮርሱ ወዲያውኑ የዶከር ኮንቴይነሮች እንዴት እንደሚሠሩ እና ወደ ኩበርኔትስ ሲዘዋወሩ የሚወስዱትን ጉዞ በመግለጽ ተጀመረ። ይህ ሙሉ በሙሉ እጅ ላይ የዋለ ክፍል ነበር - ተማሪዎች ከክፍል በፊት Docker እና microk8s በማሽኖቻቸው ላይ መጫን ነበረባቸው - መሳሪያዎቹ እርስ በእርስ እንዴት እንደሚገናኙ ለማየት ፣ ደካማ ነጥቦችን ለማግኘት እና ከሁሉም በላይ ደግሞ እነሱን ለማገድ ይሞክሩ ።

እንደ አለመታደል ሆኖ, ኮርሶቹ ከሁለት ቀናት በኋላ "ልዑል" ለመሆን ቃል ቢገቡም, ሁሉም ነገር ገና እንደጀመረ ተሰማኝ, እና አሁንም ብዙ መማር ነበረብኝ.

ወደ ከፍተኛ ምልከታዎቼ ከመግባቴ በፊት፣ መያዣ ምን እንደሆነ ማብራራት አስፈላጊ ነው። በእድገት አለም በግል ማሽንዎ ላይ የተፃፈው ኮድ በትክክል መስራቱ እንደ መደበኛ ይቆጠራል ነገር ግን በሆነ ቦታ በአገልጋይ ላይ ለማስኬድ ሲሞክሩ በቀላሉ አይሰራም። ኮንቴይነሮች ሁል ጊዜ እንደሚሰሩ አውቀው ከአንዱ አገልጋይ ወደ ሌላው በቀላሉ ሊዘዋወሩ የሚችሉ እራሳቸውን የቻሉ ማሽኖችን በማቅረብ ችግሩን ለማሸነፍ ይሞክራሉ። ስሙ እንደሚያመለክተው፣ ሥራውን ለማከናወን የሚያስፈልጉትን ኮድ፣ ቤተ መጻሕፍት እና ሌሎች ሶፍትዌሮችን ይይዛሉ። በሌላ በኩል ኩበርኔትስ ነው የኦርኬስትራ መድረክ ለመያዣዎች. በመርህ ደረጃ, በመቶዎች ወይም በሺዎች የሚቆጠሩ የተለያዩ መያዣዎችን ያለምንም ችግር ለማስተዳደር ጥቅም ላይ ሊውል ይችላል.

ከቀይ እና ሰማያዊ ቡድን እይታ የተወሰኑ ግኝቶቼ ከዚህ በታች አሉ።

ቀይ ቡድን

አብዛኛው የመያዣ ይዘት እንደ ስር ይሰራል: ይህ ማለት መያዣው ከተበላሸ ወደ መያዣው ሙሉ መዳረሻ ይኖርዎታል ማለት ነው. ይህ የሚቀጥሉትን እርምጃዎች በጣም ቀላል ያደርገዋል.

በኮንቴይነር ውስጥ docker.sock መጫን አደገኛ ነው።: በኮንቴይነር ውስጥ ስር ካለህ እና ዶከርን በኮንቴይነር ውስጥ የዶከር ሶኬት (/var/run/docker.sock) ከጫንክ፣ ወደ ሌላ ማንኛውም መያዣ መድረስን ጨምሮ ሙሉውን ክላስተር የማሰስ አቅም አለህ። እንዲህ ዓይነቱን መዳረሻ በኔትወርክ ማግለል ወይም በሌላ መንገድ መከላከል አይቻልም።

የአካባቢ ተለዋዋጮች ብዙውን ጊዜ ሚስጥራዊ መረጃዎችን ይይዛሉ፦ በአብዛኛዎቹ አጋጣሚዎች ሰዎች የተለመዱ የአካባቢ ተለዋዋጮችን በመጠቀም የይለፍ ቃሎችን ወደ መያዣው ይልካሉ። ስለዚህ የመለያው መዳረሻ ካለህ በኋላ ሃይሎችህን ለማስፋት እነዚህን የአካባቢ ተለዋዋጮች ለመሰለል ትችላለህ።

Docker API ብዙ መረጃ ሊሰጥ ይችላል።Docker API በነባሪነት ሲዋቀር ያለፈቃድ ይሰራል እና ብዙ መረጃዎችን ማምረት ይችላል። ሾዳንን በመጠቀም የተከፈቱ ወደቦች ዝርዝር በቀላሉ ማግኘት ይችላሉ፣ ከዚያ ስለ ክላስተር ዝርዝር መረጃ ያግኙ እና ወደ ሙሉ መቅረቡ ይቀጥሉ። TrendMicro ስለዚህ ጉዳይ ጽፏል በጣም አስደሳች ጽሑፍ.

ሰማያዊ ቡድን

የመያዣ ይዘቶችን እንደ ስር አያሂዱምንም እንኳን እንደ ስር ለመሮጥ ቀላል ቢሆንም, ማድረግ የለብዎትም. በምትኩ፣ ከ CLI ሲሮጡ የተጠቃሚ ምርጫን በመጠቀም ወይም USERን በ Dockerfile ውስጥ በመጥቀስ uid ን በማሳየት ዳግም ማስጀመሪያ ፍቃዶችን ያሂዱ።

ሶፍትዌሮችን በመያዣዎች ውስጥ እንዲጫኑ አይፍቀዱእያንዳንዱ ጥቃት የሚጀምረው አንድ ነገር በመትከል ነው። ከ nmap እስከ ifconfig እስከ Docker እራሱ (በኮንቴይነር ውስጥ) ማንኛውንም ነገር በኮንቴይነር ውስጥ መጫን የተለመደ ነገር ነው። በተመሳሳዩ ምክንያት, ሁሉንም ጥቅም ላይ ያልዋሉ ወደቦችን ሁልጊዜ ማገድ አለብዎት. ይህ ማሽንዎ ሲበከል የቁጥጥር ትዕዛዞች እንዳይተላለፉም ይረዳል። የፕሮግራሞችን ጭነት ከመከላከል በተጨማሪ ስራውን ለማጠናቀቅ የሚያስፈልጉት አነስተኛ አፕሊኬሽኖች ብዛት በእቃ መያዣው ውስጥ መጫኑን ማረጋገጥ ጠቃሚ ነው.

docker.sockን ጠብቅበኮንቴይነር እና በክላስተር መካከል ግንኙነት የሚካሄደው በዚህ ሶኬት ስለሆነ ጥበቃ ሊደረግለት ይገባል። በዚህ ጽሑፍ ውስጥ በዝርዝር መናገር ስለማልፈልግ አንብብ ማስታወሻ ከዶከር, ምን ሊከሰት ይችላል, እና እንዲሁም ሁሉንም እንዴት ማገድ እንደሚቻል.

ከአካባቢ ተለዋዋጮች ይልቅ የዶከር ሚስጥሮችን ተጠቀም: ሚስጥሮች አሉ። ከ 2017 ጀምሮ. ምንም እንኳን ይህ ደህንነቱ የተጠበቀ ባይሆንም ምስጢራዊ መረጃዎችን ወደ መያዣው ለማስተላለፍ አሁንም ከአካባቢ ተለዋዋጮች የተሻለ ነው።

ጽሑፉ በመያዣዎች ላይ ፍላጎትዎን ካሳየ Docker ወይም microk8s (ትንሽ የኩበርኔትስ ስሪት) በቀላሉ መጫን ይችላሉ። ይህ ነው Docker ን ለሊኑክስ እና ለማክኦኤስ ለመጫን መመሪያዎች አሉ እና እዚህ - ማይክሮክ8ዎችን ለዊንዶውስ ፣ ሊኑክስ እና ማክኦኤስ ለመጫን መመሪያዎች ።

ከተጫነ በኋላ መሄድ ይችላሉ ይህ ፈጣን ጅምር መመሪያ ነው። ከዶከር, ተመሳሳይ አማራጭ አቅርቧል እና ለ microk8s.

ተግባራዊ ተናጋሪዎች ሁሉንም መሳሪያዎቹን የሚመረምሩበት በዶከር ላይ አጠቃላይ ኮርስ መውሰድ ከፈለጉ ወይም ከፈለጉ-ከመሠረታዊ መግለጫዎች እስከ የአውታረ መረብ መለኪያዎች ፣ ከተለያዩ ኦፕሬቲንግ ሲስተሞች እና የፕሮግራም ቋንቋዎች ጋር የመስራት ልዩነቶች ፣ ከዚያ ይሞክሩ “Docker ቪዲዮ ኮርስ" ከቴክኖሎጂው ጋር በደንብ ትተዋወቃላችሁ እና ዶከርን የት እና እንዴት መጠቀም የተሻለ እንደሆነ ይገነዘባሉ። እና በተመሳሳይ ጊዜ የተሻሉ ልምዶችን ያግኙ - በተሰነጣጠሉ እጀታዎች ከራሳቸው ከሬኮች ይልቅ በደህንነት እና በባለሙያዎች ድጋፍ ስለ ራኮች ታሪኮች መማር የተሻለ ነው።

ምንጭ: hab.com