ការណែនាំសម្រាប់ដំណើរការ Buildah នៅក្នុងកុងតឺន័រ

តើ​អ្វី​ទៅ​ជា​សោភ័ណភាព​នៃ​ការ​បំបែក​កុងតឺន័រ​ពេល​រត់​ទៅ​ជា​សមាសធាតុ​ឧបករណ៍​ដាច់​ដោយ​ឡែក? ជាពិសេសឧបករណ៍ទាំងនេះអាចចាប់ផ្តើមបញ្ចូលគ្នាដើម្បីឱ្យពួកគេការពារគ្នាទៅវិញទៅមក។

មនុស្សជាច្រើនចាប់អារម្មណ៍នឹងគំនិតនៃការបង្កើតរូបភាព OCI ដែលមានផ្ទុកនៅខាងក្នុង Kubernetes ឬប្រព័ន្ធស្រដៀងគ្នា។ ចូរនិយាយថាយើងមាន CI/CD ដែលប្រមូលរូបភាពឥតឈប់ឈរ បន្ទាប់មកអ្វីមួយដូចជា មួកក្រហមអូសអេស/ Kubernetes នឹងមានប្រយោជន៍ណាស់នៅក្នុងលក្ខខណ្ឌនៃតុល្យភាពការផ្ទុកកំឡុងពេលបង្កើត។ រហូតមកដល់ពេលថ្មីៗនេះ មនុស្សភាគច្រើនគ្រាន់តែផ្តល់កុងតឺន័រចូលប្រើរន្ធ Docker ហើយអនុញ្ញាតឱ្យពួកគេដំណើរការពាក្យបញ្ជាបង្កើត docker ។ កាលពីប៉ុន្មានឆ្នាំមុនយើងបានបង្ហាញតាមពិតវាមិនមានសុវត្ថិភាពទេ វាពិតជាអាក្រក់ជាងការផ្តល់ជា root ឬ sudo ដោយគ្មានពាក្យសម្ងាត់។

នោះហើយជាមូលហេតុដែលមនុស្សតែងតែព្យាយាមរត់ Buildah នៅក្នុងធុងមួយ។ និយាយឱ្យខ្លីយើងបានបង្កើត ឧទាហរណ៍ តាមគំនិតរបស់យើងគឺល្អបំផុតក្នុងការដំណើរការ Buildah នៅក្នុងកុងតឺន័រ ហើយបង្ហោះរូបភាពដែលត្រូវគ្នានៅលើ quay.io/buildah. តោះ​ចាប់ផ្តើម...

ការលៃតម្រូវ

រូបភាពទាំងនេះត្រូវបានបង្កើតឡើងពី Dockerfiles ដែលអាចត្រូវបានរកឃើញនៅក្នុងឃ្លាំង Buildah នៅក្នុងថតឯកសារ buildahimage.
នៅទីនេះយើងនឹងពិចារណា កំណែដែលមានស្ថេរភាពនៃ Dockerfile.

# stable/Dockerfile
#
# Build a Buildah container image from the latest
# stable version of Buildah on the Fedoras Updates System.
# https://bodhi.fedoraproject.org/updates/?search=buildah
# This image can be used to create a secured container
# that runs safely with privileges within the container.
#
FROM fedora:latest

# Don't include container-selinux and remove
# directories used by dnf that are just taking
# up space.
RUN yum -y install buildah fuse-overlayfs --exclude container-selinux; rm -rf /var/cache /var/log/dnf* /var/log/yum.*

# Adjust storage.conf to enable Fuse storage.
RUN sed -i -e 's|^#mount_program|mount_program|g' -e '/additionalimage.*/a "/var/lib/shared",' /etc/containers/storage.conf

ជំនួសឱ្យ OverlayFS ដែលត្រូវបានអនុវត្តនៅកម្រិតខឺណែលលីនុចរបស់ម៉ាស៊ីន យើងប្រើកម្មវិធីនៅខាងក្នុងកុងតឺន័រ fuse-overlayពីព្រោះបច្ចុប្បន្ន OverlayFS អាចម៉ោនបានលុះត្រាតែអ្នកផ្តល់ឱ្យវានូវការអនុញ្ញាត SYS_ADMIN ដោយប្រើសមត្ថភាពលីនុច។ ហើយយើងចង់ដំណើរការធុង Buildah របស់យើងដោយគ្មានសិទ្ធិជា root ណាមួយឡើយ។ Fuse-overlay ដំណើរការយ៉ាងរហ័ស និងមានដំណើរការប្រសើរជាងកម្មវិធីផ្ទុកទិន្នន័យ VFS ។ សូមចំណាំថានៅពេលដំណើរការកុងតឺន័រ Buildah ដែលប្រើ Fuse អ្នកត្រូវតែផ្តល់ឧបករណ៍ /dev/fuse ។

podman run --device /dev/fuse quay.io/buildahctr ...
RUN mkdir -p /var/lib/shared/overlay-images /var/lib/shared/overlay-layers; touch /var/lib/shared/overlay-images/images.lock; touch /var/lib/shared/overlay-layers/layers.lock

បន្ទាប់យើងបង្កើតថតឯកសារសម្រាប់ផ្ទុកបន្ថែម។ កុងតឺន័រ / ការផ្ទុក គាំទ្រគោលគំនិតនៃការតភ្ជាប់ហាងរូបភាពបានតែអានបន្ថែម។ ឧទាហរណ៍ អ្នកអាចកំណត់រចនាសម្ព័ន្ធកន្លែងផ្ទុកត្រួតលើគ្នានៅលើម៉ាស៊ីនមួយ ហើយបន្ទាប់មកប្រើ NFS ដើម្បីភ្ជាប់កន្លែងផ្ទុកនេះនៅលើម៉ាស៊ីនផ្សេងទៀត ហើយប្រើរូបភាពពីវាដោយមិនចាំបាច់ទាញយកតាមរយៈការទាញ។ យើងត្រូវការទំហំផ្ទុកនេះ ដើម្បីអាចភ្ជាប់ឧបករណ៍ផ្ទុករូបភាពមួយចំនួនពីម៉ាស៊ីនជាបរិមាណ ហើយប្រើវានៅខាងក្នុងធុង។

# Set up environment variables to note that this is
# not starting with user namespace and default to
# isolate the filesystem with chroot.
ENV _BUILDAH_STARTED_IN_USERNS="" BUILDAH_ISOLATION=chroot

ជាចុងក្រោយ ដោយប្រើអថេរបរិស្ថាន BUILDAH_ISOLATION យើងកំពុងប្រាប់កុងតឺន័រ Buildah ឱ្យដំណើរការជាមួយ chroot ដាច់ដោយឡែកតាមលំនាំដើម។ ការអ៊ីសូឡង់បន្ថែមមិនត្រូវបានទាមទារនៅទីនេះទេ ដោយសារយើងកំពុងធ្វើការនៅក្នុងកុងតឺន័ររួចហើយ។ ដើម្បីឱ្យ Buildah បង្កើតកុងតឺន័រដែលបំបែកដោយចន្លោះឈ្មោះផ្ទាល់ខ្លួន ឯកសិទ្ធិ SYS_ADMIN ត្រូវបានទាមទារ ដែលតម្រូវឱ្យមានការបន្ធូរបន្ថយច្បាប់ SELinux និង SECOMP របស់កុងតឺន័រ ដែលផ្ទុយទៅនឹងចំណូលចិត្តរបស់យើងក្នុងការសាងសង់ពីកុងតឺន័រដែលមានសុវត្ថិភាព។

កំពុងរត់ Buildah នៅក្នុងធុងមួយ។

ដ្យាក្រាមរូបភាពកុងតឺន័រ Buildah ដែលបានពិភាក្សាខាងលើអនុញ្ញាតឱ្យអ្នកផ្លាស់ប្តូរវិធីសាស្រ្តនៃការបើកដំណើរការធុងបែបនេះដោយបត់បែន។

ល្បឿនធៀបនឹងសុវត្ថិភាព

សុវត្ថិភាពកុំព្យូទ័រគឺតែងតែមានការសម្របសម្រួលរវាងល្បឿននៃដំណើរការ និងចំនួនការការពារដែលត្រូវបានរុំព័ទ្ធជុំវិញវា។ សេចក្តីថ្លែងការណ៍នេះក៏ជាការពិតផងដែរនៅពេលដំឡើងកុងតឺន័រ ដូច្នេះខាងក្រោមនេះយើងនឹងពិចារណាជម្រើសសម្រាប់ការសម្របសម្រួលបែបនេះ។

រូបភាពកុងតឺន័រដែលបានពិភាក្សាខាងលើនឹងរក្សាការផ្ទុករបស់វានៅក្នុង /var/lib/containers ។ ដូច្នេះហើយ យើងត្រូវភ្ជាប់មាតិកាទៅក្នុងថតនេះ ហើយរបៀបដែលយើងធ្វើវានឹងជះឥទ្ធិពលយ៉ាងខ្លាំងដល់ល្បឿននៃការបង្កើតរូបភាពកុងតឺន័រ។

ចូរយើងពិចារណាជម្រើសបី។

វ៉ារ្យ៉ង់ 1 ។ ប្រសិនបើសុវត្ថិភាពអតិបរមាត្រូវបានទាមទារ នោះសម្រាប់កុងតឺន័រនីមួយៗ អ្នកអាចបង្កើតថតផ្ទាល់ខ្លួនរបស់អ្នកសម្រាប់កុងតឺន័រ/រូបភាព ហើយភ្ជាប់វាទៅកុងតឺន័រតាមរយៈ volume-mount ។ ហើយក្រៅពីនេះ ដាក់ថតបរិបទនៅក្នុងកុងតឺន័រខ្លួនវានៅក្នុងថត /build:

# mkdir /var/lib/containers1
# podman run -v ./build:/build:z -v /var/lib/containers1:/var/lib/containers:Z quay.io/buildah/stable
buildah  -t image1 bud /build
# podman run -v /var/lib/containers1:/var/lib/containers:Z quay.io/buildah/stable buildah  push  image1 registry.company.com/myuser
# rm -rf /var/lib/containers1

សន្តិសុខ។ Buildah ដែលកំពុងដំណើរការនៅក្នុងកុងតឺន័របែបនេះមានសន្តិសុខអតិបរមា៖ វាមិនត្រូវបានផ្តល់សិទ្ធិជា root ណាមួយដោយប្រើសមត្ថភាពទេ ហើយការរឹតបន្តឹង SECOMP និង SELinux ទាំងអស់ត្រូវបានអនុវត្តចំពោះវា។ ធុងបែបនេះអាចដំណើរការបានជាមួយនឹងការញែកឈ្មោះអ្នកប្រើប្រាស់ដោយបន្ថែមជម្រើសដូចជា —uidmap 0៖ 100000:10000។

ការសម្តែង។ ប៉ុន្តែការអនុវត្តនៅទីនេះគឺតិចតួចបំផុត ដោយសាររូបភាពណាមួយពីការចុះបញ្ជីកុងតឺន័រត្រូវបានចម្លងទៅម៉ាស៊ីនរាល់ពេល ហើយការរក្សាទុកក្នុងឃ្លាំងសម្ងាត់មិនដំណើរការទាល់តែសោះ។ នៅពេលបញ្ចប់ការងាររបស់វាកុងតឺន័រ Buildah ត្រូវតែផ្ញើរូបភាពទៅបញ្ជីឈ្មោះហើយបំផ្លាញមាតិកានៅលើម៉ាស៊ីន។ នៅពេលដែលរូបភាពកុងតឺន័រត្រូវបានបង្កើតឡើងលើកក្រោយ វានឹងត្រូវទាញយកពីបញ្ជីឈ្មោះម្តងទៀត ព្រោះនៅពេលនោះវានឹងមិនមានអ្វីនៅសល់នៅលើម៉ាស៊ីនទេ។

វ៉ារ្យ៉ង់ 2 ។ ប្រសិនបើអ្នកត្រូវការការអនុវត្តកម្រិត Docker អ្នកអាចភ្ជាប់ host container/storage ដោយផ្ទាល់ទៅក្នុងកុងតឺន័រ។

# podman run -v ./build:/build:z -v /var/lib/containers:/var/lib/containers --security-opt label:disabled quay.io/buildah/stable buildah  -t image2 bud /build
# podman run -v /var/lib/containers:/var/lib/containers --security-opt label:disabled  quay.io/buildah/stable buildah push image2 registry.company.com/myuser

សន្តិសុខ។ នេះគឺជាវិធីដែលមានសុវត្ថិភាពតិចបំផុតក្នុងការសាងសង់កុងតឺន័រ ព្រោះវាអនុញ្ញាតឱ្យកុងតឺន័រកែប្រែការផ្ទុកម៉ាស៊ីន ហើយអាចផ្តល់ចំណីដល់ Podman ឬ CRI-O រូបភាពព្យាបាទ។ លើសពីនេះទៀត អ្នកនឹងត្រូវបិទការបំបែក SELinux ដើម្បីឱ្យដំណើរការនៅក្នុងកុងតឺន័រ Buildah អាចធ្វើអន្តរកម្មជាមួយការផ្ទុកនៅលើម៉ាស៊ីន។ ចំណាំថាជម្រើសនេះនៅតែប្រសើរជាងរន្ធ Docker ពីព្រោះកុងតឺន័រត្រូវបានចាក់សោដោយមុខងារសុវត្ថិភាពដែលនៅសល់ ហើយមិនអាចដំណើរការកុងតឺន័រនៅលើម៉ាស៊ីនបានទេ។

ការសម្តែង។ នៅទីនេះវាគឺអតិបរមា ដោយសារឃ្លាំងសម្ងាត់ត្រូវបានប្រើប្រាស់យ៉ាងពេញលេញ។ ប្រសិនបើ Podman ឬ CRI-O បានទាញយករូបភាពដែលត្រូវការទៅម៉ាស៊ីនរួចហើយនោះ ដំណើរការ Buildah នៅក្នុងកុងតឺន័រនឹងមិនចាំបាច់ទាញយកវាម្តងទៀតទេ ហើយការបង្កើតជាបន្តបន្ទាប់ដោយផ្អែកលើរូបភាពនេះក៏នឹងអាចយកអ្វីដែលពួកគេត្រូវការពីឃ្លាំងសម្ងាត់ផងដែរ។ .

វ៉ារ្យ៉ង់ 3 ។ ខ្លឹមសារនៃវិធីសាស្រ្តនេះគឺដើម្បីបញ្ចូលគ្នានូវរូបភាពជាច្រើនចូលទៅក្នុងគម្រោងមួយជាមួយនឹងថតទូទៅសម្រាប់រូបភាពកុងតឺន័រ។

# mkdir /var/lib/project3
# podman run --security-opt label_level=s0:C100, C200 -v ./build:/build:z 
-v /var/lib/project3:/var/lib/containers:Z quay.io/buildah/stable buildah  -t image3 bud /build
# podman run --security-opt label_level=s0:C100, C200 
-v /var/lib/project3:/var/lib/containers quay.io/buildah/stable buildah push image3  registry.company.com/myuser

ក្នុង​ឧទាហរណ៍​នេះ យើង​មិន​លុប​ថត​គម្រោង (/var/lib/project3) នៅ​ចន្លោះ​ការ​រត់​ទេ ដូច្នេះ​រាល់​ការ​បង្កើត​ជា​បន្ត​បន្ទាប់​ក្នុង​គម្រោង​ទទួល​បាន​អត្ថប្រយោជន៍​ពី​ឃ្លាំង​សម្ងាត់។

សន្តិសុខ។ អ្វីមួយនៅចន្លោះជម្រើសទី 1 និងទី 2។ ម្យ៉ាងវិញទៀត កុងតឺន័រមិនមានសិទ្ធិចូលប្រើមាតិកានៅលើម៉ាស៊ីនទេ ហើយតាមនោះ មិនអាចរំលងអ្វីដែលអាក្រក់ចូលទៅក្នុងកន្លែងផ្ទុករូបភាព Podman/CRI-O បានទេ។ ម្យ៉ាងវិញទៀត ជាផ្នែកនៃការរចនារបស់វា ធុងមួយអាចរំខានដល់ការផ្គុំធុងផ្សេងទៀត។

ការសម្តែង។ នៅទីនេះវាអាក្រក់ជាងពេលប្រើឃ្លាំងសម្ងាត់ចែករំលែកនៅកម្រិតម៉ាស៊ីន ដោយសារអ្នកមិនអាចប្រើរូបភាពដែលបានទាញយករួចហើយដោយប្រើ Podman/CRI-O ។ ទោះយ៉ាងណាក៏ដោយ នៅពេលដែល Buildah ទាញយករូបភាពនោះ រូបភាពអាចត្រូវបានប្រើនៅក្នុងការស្ថាបនាជាបន្តបន្ទាប់ណាមួយនៅក្នុងគម្រោង។

ការផ្ទុកបន្ថែម

У ធុង / ការផ្ទុក វាមានភាពត្រជាក់ដូចជាហាងបន្ថែម (ហាងបន្ថែម) ដោយសារនៅពេលបើកដំណើរការ និងសាងសង់កុងតឺន័រ ម៉ាស៊ីនកុងតឺន័រអាចប្រើកន្លែងផ្ទុករូបភាពខាងក្រៅនៅក្នុងរបៀបជាន់លើបានតែអានប៉ុណ្ណោះ។ ជាការសំខាន់ អ្នកអាចបន្ថែមទំហំផ្ទុកបានតែអានមួយ ឬច្រើនទៅក្នុងឯកសារ storage.conf ដូច្នេះនៅពេលអ្នកចាប់ផ្តើមកុងតឺន័រ ម៉ាស៊ីនកុងតឺន័រស្វែងរករូបភាពដែលចង់បាននៅក្នុងពួកវា។ ជាងនេះទៅទៀត វានឹងទាញយករូបភាពពីបញ្ជីឈ្មោះ លុះត្រាតែរកមិនឃើញវានៅក្នុងកន្លែងផ្ទុកទាំងនេះ។ ម៉ាស៊ីនកុងតឺន័រនឹងអាចសរសេរទៅកន្លែងផ្ទុកដែលអាចសរសេរបានតែប៉ុណ្ណោះ...

ប្រសិនបើអ្នករមូរឡើងលើ ហើយមើល Dockerfile ដែលយើងប្រើដើម្បីបង្កើតរូបភាព quay.io/buildah/stable មានបន្ទាត់ដូចនេះ៖

# Adjust storage.conf to enable Fuse storage.
RUN sed -i -e 's|^#mount_program|mount_program|g' -e '/additionalimage.*/a "/var/lib/shared",' /etc/containers/storage.conf
RUN mkdir -p /var/lib/shared/overlay-images /var/lib/shared/overlay-layers; touch /var/lib/shared/overlay-images/images.lock; touch /var/lib/shared/overlay-layers/layers.lock

នៅក្នុងជួរទីមួយ យើងកែប្រែ /etc/containers/storage.conf នៅខាងក្នុងរូបភាពកុងតឺន័រ ដោយប្រាប់កម្មវិធីបញ្ជាផ្ទុកឱ្យប្រើ "additionalimagestores" នៅក្នុង /var/lib/shared folder។ ហើយនៅជួរបន្ទាប់ យើងបង្កើតថតដែលបានចែករំលែក ហើយបន្ថែមឯកសារចាក់សោពីរបី ដើម្បីកុំឱ្យមានការរំលោភបំពានពីកុងតឺន័រ/កន្លែងផ្ទុក។ សំខាន់យើងគ្រាន់តែបង្កើតឃ្លាំងផ្ទុករូបភាពទទេ។

ប្រសិនបើអ្នកដំឡើងកុងតឺន័រ/កន្លែងផ្ទុកនៅកម្រិតខ្ពស់ជាងថតនេះ Buildah នឹងអាចប្រើរូបភាពបាន។

ឥឡូវនេះ សូមត្រលប់ទៅជម្រើសទី 2 ដែលបានពិភាក្សាខាងលើ នៅពេលដែលកុងតឺន័រ Buildah អាចអាន និងសរសេរទៅកាន់កុងតឺន័រ/រក្សាទុកនៅលើម៉ាស៊ីន ហើយតាមនោះ មានដំណើរការអតិបរមាដោយសារការរក្សាទុករូបភាពនៅកម្រិត Podman/CRI-O ប៉ុន្តែផ្តល់នូវសុវត្ថិភាពអប្បបរមា។ ចាប់តាំងពីវាអាចសរសេរដោយផ្ទាល់ទៅកន្លែងផ្ទុក។ ឥឡូវនេះ សូមបន្ថែមទំហំផ្ទុកបន្ថែមនៅទីនេះ ហើយទទួលបានអ្វីដែលល្អបំផុតនៃពិភពលោកទាំងពីរ។

# mkdir /var/lib/containers4
# podman run -v ./build:/build:z -v /var/lib/containers/storage:/var/lib/shared:ro -v  /var/lib/containers4:/var/lib/containers:Z  quay.io/buildah/stable 
 buildah  -t image4 bud /build
# podman run -v /var/lib/containers/storage:/var/lib/shared:ro  
-v >/var/lib/containers4:/var/lib/containers:Z quay.io/buildah/stable buildah push image4  registry.company.com/myuser
# rm -rf /var/lib/continers4

ចំណាំថា /var/lib/containers/storage របស់ម៉ាស៊ីនត្រូវបានភ្ជាប់ទៅ /var/lib/shared នៅខាងក្នុងកុងតឺន័រក្នុងរបៀបបានតែអាន។ ដូច្នេះ ធ្វើការនៅក្នុងកុងតឺន័រ Buildah អាចប្រើរូបភាពណាមួយដែលត្រូវបានទាញយកពីមុនដោយប្រើ Podman/CRI-O (ជំរាបសួរ ល្បឿន) ប៉ុន្តែអាចសរសេរទៅកន្លែងផ្ទុករបស់វាបានតែប៉ុណ្ណោះ (ជំរាបសួរ សុវត្ថិភាព)។ សូមចំណាំផងដែរថានេះត្រូវបានធ្វើដោយមិនបិទការបំបែក SELinux សម្រាប់កុងតឺន័រ។

អប្បរមាសំខាន់

មិនស្ថិតក្រោមកាលៈទេសៈណាក៏ដោយ អ្នកគួរតែលុបរូបភាពណាមួយចេញពីឃ្លាំងមូលដ្ឋាន។ បើមិនដូច្នោះទេកុងតឺន័រ Buildah អាចគាំង។

ហើយទាំងនេះមិនមែនជាគុណសម្បត្តិទាំងអស់នោះទេ។

លទ្ធភាពនៃការផ្ទុកបន្ថែមមិនត្រូវបានកំណត់ចំពោះសេណារីយ៉ូខាងលើទេ។ ឧទាហរណ៍ អ្នកអាចដាក់រូបភាពកុងតឺន័រទាំងអស់នៅលើកន្លែងផ្ទុកបណ្តាញដែលបានចែករំលែក ហើយផ្តល់សិទ្ធិចូលប្រើវាទៅគ្រប់ធុង Buildah ។ ឧបមាថាយើងមានរូបភាពរាប់រយដែលប្រព័ន្ធ CI/CD របស់យើងប្រើជាប្រចាំដើម្បីបង្កើតរូបភាពកុងតឺន័រ។ យើងប្រមូលផ្តុំរូបភាពទាំងអស់នេះនៅលើម៉ាស៊ីនផ្ទុកមួយ ហើយបន្ទាប់មក ដោយប្រើឧបករណ៍ផ្ទុកបណ្តាញដែលពេញចិត្ត (NFS, Gluster, Ceph, ISCSI, S3...) យើងបើកការចូលប្រើប្រាស់ទូទៅទៅកាន់កន្លែងផ្ទុកនេះទៅកាន់ថ្នាំង Buildah ឬ Kubernetes ទាំងអស់។

ឥឡូវនេះវាគ្រប់គ្រាន់ហើយក្នុងការភ្ជាប់ការផ្ទុកបណ្តាញនេះទៅក្នុងធុង Buildah នៅលើ /var/lib/shared ហើយនោះហើយជាវា - ធុង Buildah មិនចាំបាច់ទាញយករូបភាពតាមរយៈការទាញទៀតទេ។ ដូច្នេះ យើង​បោះចោល​ដំណាក់កាល​មុន​ប្រជាជន ហើយ​ត្រៀម​ជាស្រេច​ភ្លាមៗ​ដើម្បី​រមៀល​ចេញ​ធុង។

ហើយជាការពិតណាស់ វាអាចត្រូវបានប្រើនៅក្នុងប្រព័ន្ធ Kubernetes ផ្ទាល់ ឬហេដ្ឋារចនាសម្ព័ន្ធកុងតឺន័រ ដើម្បីបើកដំណើរការ និងដំណើរការកុងតឺន័រគ្រប់ទីកន្លែងដោយមិនចាំបាច់ទាញយករូបភាពណាមួយឡើយ។ ជាងនេះទៅទៀត ការចុះបញ្ជីកុងតឺន័រ ដែលទទួលបានសំណើជំរុញឱ្យបង្ហោះរូបភាពដែលបានអាប់ដេតទៅវា អាចផ្ញើរូបភាពនេះដោយស្វ័យប្រវត្តិទៅកាន់កន្លែងផ្ទុកបណ្តាញចែករំលែក ដែលវាអាចប្រើបានភ្លាមៗចំពោះថ្នាំងទាំងអស់។

ពេលខ្លះរូបភាពកុងតឺន័រអាចឈានដល់ទំហំជាច្រើនជីហ្គាបៃ។ មុខងារនៃការផ្ទុកបន្ថែមអនុញ្ញាតឱ្យអ្នកជៀសវាងការក្លូនរូបភាពបែបនេះឆ្លងកាត់ថ្នាំង និងធ្វើឱ្យការបើកដំណើរការកុងតឺន័រស្ទើរតែភ្លាមៗ។

លើសពីនេះ យើងកំពុងធ្វើការលើមុខងារថ្មីមួយហៅថា overlay volume mounts ដែលនឹងធ្វើឱ្យការកសាងធុងកាន់តែលឿនជាងមុន។

សេចក្តីសន្និដ្ឋាន

ការដំណើរការ Buildah នៅក្នុងកុងតឺន័រនៅក្នុង Kubernetes/CRI-O, Podman, ឬសូម្បីតែ Docker គឺអាចធ្វើទៅបាន សាមញ្ញ និងមានសុវត្ថិភាពជាងការប្រើ docker.socket ។ យើងបានបង្កើនភាពបត់បែនយ៉ាងខ្លាំងក្នុងការធ្វើការជាមួយរូបភាព ដូច្នេះអ្នកអាចដំណើរការពួកវាតាមវិធីជាច្រើនដើម្បីបង្កើនតុល្យភាពរវាងសុវត្ថិភាព និងការអនុវត្ត។

មុខងារនៃការផ្ទុកបន្ថែមអនុញ្ញាតឱ្យអ្នកបង្កើនល្បឿនឬសូម្បីតែលុបបំបាត់ទាំងស្រុងនូវការទាញយករូបភាពទៅថ្នាំង។

ប្រភព: www.habr.com