ပုံမှန် Docker နှင့် Kubernetes ထည့်သွင်းမှုများ၏ (ပျောက်နေသော) လုံခြုံရေးကို စူးစမ်းခြင်း။

ကျွန်တော် IT မှာ နှစ် 20 ကျော် အလုပ်လုပ်နေပေမယ့် ကွန်တိန်နာထဲကို ဘယ်တော့မှ မရောက်ဖူးပါဘူး။ သီအိုရီအရတော့ သူတို့ ဘယ်လိုဖွဲ့စည်းပုံနဲ့ ဘယ်လိုအလုပ်လုပ်တယ်ဆိုတာကို နားလည်ခဲ့တယ်။ ဒါပေမယ့် လက်တွေ့မှာ တစ်ခါမှ မကြုံဖူးတဲ့အတွက် သူတို့ရဲ့ hood တွေအောက်က ဂီယာတွေက ဘယ်လိုပြောင်းသွားလဲတော့ သေချာမသိပါဘူး။

နောက်ပြီး သူတို့လုံခြုံရေး ဘယ်လိုရှိလဲတော့ ကျွန်တော် မသိခဲ့ပါဘူး။ ဒါပေမယ့် နောက်တဖန် သီအိုရီက အသံကောင်းပြီး သီချင်းဟောင်းက “လုံခြုံရေးတိုးလာတာနဲ့အမျှ အသုံးပြုနိုင်မှု လျော့နည်းသွားတယ်” ဆိုတဲ့ သီချင်းက ကျွန်တော့်ခေါင်းထဲမှာ ပိတ်မိနေတယ်။ ဒါကြောင့် ကွန်တိန်နာနဲ့လုပ်ရတာ အရမ်းလွယ်တဲ့အတွက် ဘေးကင်းရေးက အောက်တန်းကျတယ်လို့ ထင်ပါတယ်။ ထွက်လာတဲ့အတိုင်း၊ ငါမှန်တယ်။

အမြန်စတင်ရန်၊ သင်တန်းများအတွက် စာရင်းသွင်းလိုက်ပါသည်။ အနက်ရောင် ဦး ထုပ် 2020 ခေါင်းစဉ် "စုတ်ပြဲခြင်းမှ စည်းစိမ်ဥစ္စာများအထိ- Docker Swarm နှင့် Kubernetes ပတ်ဝန်းကျင်များ၏ ထိုးဖောက်ဝင်ရောက်မှုနှင့် ကာကွယ်မှု"။

Sheila A. Berta နှင့် Sol Ozzan တို့က သင်ကြားပေးသော သင်တန်းသည် Docker containers များ အလုပ်လုပ်ပုံနှင့် Kubernetes သို့ အသုံးချသည့်အခါ ၎င်းတို့သွားရမည့် ခရီးအကြောင်း ဖော်ပြချက်ဖြင့် ချက်ချင်းစတင်ခဲ့သည်။ ၎င်းသည် လုံးဝလက်တွေ့ကျသော အတန်းဖြစ်သည် - ကျောင်းသားများသည် အတန်းမစမီ ၎င်းတို့၏စက်များတွင် Docker နှင့် microk8s များကို တပ်ဆင်ခဲ့ရသည် - ကိရိယာများသည် အချင်းချင်း အပြန်အလှန် တုံ့ပြန်ပုံ၊ အားနည်းချက်များကို ရှာဖွေရန်နှင့် အရေးကြီးဆုံးမှာ ၎င်းတို့အား ပိတ်ဆို့ရန် ကြိုးစားရန် အကောင်းဆုံးနည်းလမ်းဖြစ်သည်။

ကံမကောင်းစွာဖြင့်၊ သင်တန်းများသည် နှစ်ရက်အကြာတွင် "မင်းသား" ဖြစ်လာမည်ဟု ကတိပြုထားသော်လည်း အရာအားလုံးသည် အစသာရှိသေးသည်ဟု ခံစားခဲ့ရပြီး သင်ယူစရာများစွာရှိပါသေးသည်။

ကျွန်ုပ်၏ မြင့်မြတ်သော အကဲခတ်မှုကို မငုပ်မီ၊ ကွန်တိန်နာဆိုသည်မှာ ဘာလဲ ရှင်းပြရန် အရေးကြီးပါသည်။ ဖွံ့ဖြိုးတိုးတက်ရေးလောကတွင်၊ သင်၏ကိုယ်ပိုင်စက်တွင်ရေးထားသောကုဒ်သည် ပုံမှန်အတိုင်းအလုပ်လုပ်ရန်ပုံမှန်ဟုယူဆသော်လည်း ၎င်းကိုတစ်နေရာရာရှိဆာဗာတစ်ခုပေါ်တွင် run ရန်ကြိုးစားသောအခါတွင်၊ ၎င်းသည်ရိုးရှင်းစွာအလုပ်မလုပ်ပါ။ ကွန်တိန်နာများသည် အမြဲတမ်းအလုပ်လုပ်နေမည်ကိုသိ၍ ဆာဗာတစ်ခုမှ အခြားတစ်ခုသို့ အလွယ်တကူပြောင်းနိုင်သော ကိုယ်ပိုင်ပါရှိသော စက်များကို ပံ့ပိုးပေးခြင်းဖြင့် ဤပြဿနာကို ကျော်လွှားနိုင်ရန် ကွန်တိန်နာများက ကြိုးစားကြသည်။ နာမည် အကြံပြုထားသည့်အတိုင်း၊ ၎င်းတို့တွင် အလုပ်ပြီးမြောက်ရန် လိုအပ်သော ကုဒ်များ၊ စာကြည့်တိုက်များနှင့် အခြားဆော့ဖ်ဝဲများ ပါဝင်ပါသည်။ အခြားတစ်ဖက်တွင် Kubernetes သည် ကွန်တိန်နာများအတွက် orchestration platform. မူအရ၊ ရာနှင့်ချီသော ကွန်တိန်နာ ထောင်ပေါင်းများစွာကို ချောမွေ့စွာ စီမံခန့်ခွဲရန် အသုံးပြုနိုင်သည်။

အောက်တွင် အနီရောင်နှင့် အပြာအသင်း၏ ရှုထောင့်မှ ကျွန်ုပ်တွေ့ရှိချက်အချို့ ဖြစ်ပါသည်။

အနီရောင်အသင်း

ကွန်တိန်နာအကြောင်းအရာအများစုသည် root အဖြစ်လုပ်ဆောင်သည်။: ဆိုလိုသည်မှာ ကွန်တိန်နာအား အပေးအယူလုပ်ခံရပါက၊ သင်သည် ကွန်တိန်နာသို့ အပြည့်အဝဝင်ရောက်ခွင့်ရရှိမည်ဖြစ်သည်။ ၎င်းသည် နောက်အဆင့်များကို ပိုမိုလွယ်ကူစေသည်။

ကွန်တိန်နာအတွင်း docker.sock တပ်ဆင်ခြင်းသည် အန္တရာယ်ရှိသည်။- အကယ်၍ သင့်တွင် ကွန်တိန်နာတစ်ခုအတွင်း root ရှိပြီး Docker socket (/var/run/docker.sock) ပါရှိသည့် ကွန်တိန်နာအတွင်း Docker ကို ထည့်သွင်းထားပါက၊ သင်သည် အခြားမည်သည့်ကွန်တိန်နာသို့မဆို ဝင်ရောက်နိုင်မှုအပါအဝင် အစုအဝေးတစ်ခုလုံးကို ရှာဖွေရန် အလားအလာရှိသည်။ ကွန်ရက်အထီးကျန်ခြင်း သို့မဟုတ် အခြားနည်းလမ်းများဖြင့် ထိုသို့ဝင်ရောက်ခွင့်ကို တားဆီးမရနိုင်ပါ။

Environment variable များတွင် လျှို့ဝှက်အချက်အလက်များ ပါဝင်လေ့ရှိသည်။: ကိစ္စအများစုတွင်၊ လူများသည် ပုံမှန်ပတ်ဝန်းကျင်ပြောင်းလဲမှုများကို အသုံးပြု၍ ကွန်တိန်နာသို့ စကားဝှက်များ ပေးပို့ကြသည်။ ထို့ကြောင့် သင်သည် အကောင့်သို့ဝင်ရောက်ခွင့်ရှိပါက၊ နောက်ပိုင်းတွင် သင်၏လုပ်ပိုင်ခွင့်များကို ချဲ့ထွင်ရန်အတွက် ဤပတ်ဝန်းကျင်ပြောင်းလဲမှုများကို စူးစမ်းလေ့လာနိုင်ပါသည်။

Docker API သည် အချက်အလက်များစွာ ထုတ်ပေးနိုင်သည်။- Docker API သည် ပုံမှန်အားဖြင့် ပြင်ဆင်သတ်မှတ်ထားသောအခါ၊ ခွင့်ပြုချက်မရှိဘဲ အလုပ်လုပ်ပြီး အချက်အလက်များစွာကို ထုတ်လုပ်နိုင်သည်။ Shodan ကို အသုံးပြု၍ ဖွင့်ထားသော ဆိပ်ကမ်းများစာရင်းကို အလွယ်တကူ ရှာတွေ့နိုင်ပြီး အစုအဝေးနှင့်ပတ်သက်သော အသေးစိတ်အချက်အလက်များကို ရယူပြီး ၎င်း၏ အပြည့်အစုံကို ဆက်လက်ရိုက်ကူးပါ။ ဒီအကြောင်းကို TrendMicro က ရေးသားထားပါတယ်။ စိတ်ဝင်စားစရာအကောင်းဆုံးဆောင်းပါး.

အပြာအဖွဲ့

ကွန်တိန်နာအကြောင်းအရာများကို root အဖြစ်မလုပ်ဆောင်ပါနှင့်: root အနေနဲ့ run ရတာ ပိုလွယ်ပေမယ့်၊ အဲဒါကို မလုပ်သင့်ပါဘူး။ ယင်းအစား၊ CLI မှ လုပ်ဆောင်နေချိန်တွင် --user ရွေးချယ်မှုကို အသုံးပြု၍ သို့မဟုတ် Dockerfile တွင် USER ကို သတ်မှတ်ခြင်းဖြင့် uid ကိုပြသခြင်းဖြင့် ပြန်လည်သတ်မှတ်ခွင့်ပြုချက်ဖြင့် အပလီကေးရှင်းများကို ဖွင့်ပါ။

ကွန်တိန်နာများတွင် ဆော့ဖ်ဝဲကို ထည့်သွင်းခွင့်မပြုပါနှင့်: တိုက်ခိုက်မှုတိုင်းလိုလို တစ်စုံတစ်ခုကို စိုက်ပျိုးခြင်းဖြင့် စတင်သည်။ nmap မှ ifconfig အထိ Docker ကိုယ်တိုင် (ကွန်တိန်နာအတွင်း)၊ ကွန်တိန်နာတစ်ခုအတွင်း မည်သည့်အရာကိုမဆို ထည့်သွင်းခြင်းသည် သာမန်ရိုးရိုးဖြစ်သည်။ တူညီသောအကြောင်းပြချက်အတွက်၊ သင်သည် အသုံးမပြုသော port အားလုံးကို အမြဲပိတ်ဆို့သင့်သည်။ ၎င်းသည် သင့်စက်တွင် ကူးစက်ခံရသည့်အခါ ထိန်းချုပ်အမိန့်များ မကူးစက်စေရန်လည်း ကာကွယ်ပေးပါသည်။ ပရိုဂရမ်များ တပ်ဆင်ခြင်းကို တားဆီးခြင်းအပြင်၊ အလုပ်ပြီးမြောက်ရန် လိုအပ်သော အနိမ့်ဆုံး Application အရေအတွက်ကို ကွန်တိန်နာကိုယ်တိုင် တပ်ဆင်ထားကြောင်း သေချာစေသင့်ပါသည်။

docker.sock ကိုကာကွယ်ပါ။: ကွန်တိန်နာနှင့် အစုအဝေးကြား ဆက်သွယ်ရေးကို ဤ socket မှတဆင့် လုပ်ဆောင်သောကြောင့် ၎င်းကို ကာကွယ်ထားရပါမည်။ ဒီဆောင်းပါးမှာ အသေးစိတ်မပြောချင်တာကြောင့် ဖတ်ကြည့်လိုက်ပါ။ Docker မှမှတ်စုဘာတွေဖြစ်နိုင်လဲ၊ အားလုံးကို ဘယ်လိုပိတ်ဆို့ရမလဲ။

ပတ်ဝန်းကျင် ကိန်းရှင်များအစား Docker လျှို့ဝှက်ချက်များကို အသုံးပြုပါ။: လျှို့ဝှက်ချက်တွေရှိတယ်။ 2017 လောက်ကတည်းကပါ။. ၎င်းသည် မလုံခြုံသော်လည်း၊ ၎င်းသည် လျှို့ဝှက်အချက်အလက်များကို ကွန်တိန်နာသို့ ပေးပို့ရန်အတွက် ပတ်ဝန်းကျင်ပြောင်းလွဲပြောင်းများထက် ပိုကောင်းသေးသည်။

ဆောင်းပါးသည် ကွန်တိန်နာများကို စိတ်ဝင်တစားဖြစ်စေပါက Docker သို့မဟုတ် microk8s ( Kubernetes ဗားရှင်းငယ်) ကို အလွယ်တကူ ထည့်သွင်းနိုင်သည်။ ဒါဟာဖြစ်ပါတယ် Linux နှင့် MacOS အတွက် Docker ကို ထည့်သွင်းရန် ညွှန်ကြားချက်များ နှင့် ဒီမှာ — Windows၊ Linux နှင့် MacOS အတွက် microk8s တပ်ဆင်ခြင်းအတွက် ညွှန်ကြားချက်များ။

တပ်ဆင်ပြီးနောက်သင်သွားနိုင်သည်။ ဒါက အမြန်စတင်လမ်းညွှန်ချက်ပါ။ Docker မှ၊ အလားတူရွေးချယ်မှု ကမ်းလှမ်းသည်။ နှင့် microk8s အတွက်။

Docker တွင် ကျယ်ကျယ်ပြန့်ပြန့် သင်တန်းတက်လိုပါက၊ ၎င်းတွင် လက်တွေ့ကျသော စကားပြောဆိုသူများသည် ၎င်း၏ကိရိယာများအားလုံးကို စစ်ဆေးသည်- အခြေခံ abstractions မှ network parameters များအထိ၊ အမျိုးမျိုးသော operating systems နှင့် programming languages ​​များ၏ ကွဲပြားချက်များ၊ စမ်းသုံးကြည့်ပါ၊Docker ဗီဒီယိုသင်တန်း“ သင်သည် နည်းပညာနှင့် အကျွမ်းတဝင်ဖြစ်လာပြီး Docker ကို မည်သည့်နေရာတွင် မည်ကဲ့သို့ အကောင်းဆုံးအသုံးပြုရမည်ကို နားလည်လာမည်ဖြစ်သည်။ တစ်ချိန်တည်းမှာပင်၊ အကောင်းဆုံးအလေ့အကျင့်များကိုရယူပါ - ထွန်တုံးများနှင့်ပတ်သက်သော ပုံပြင်များမှ လက်တွေ့သမားများ၏ပံ့ပိုးမှုဖြင့် လုံခြုံစွာလေ့လာသင်ယူခြင်းက ပိုကောင်းပါသည်။

source: www.habr.com