د جلا شوي لینکس ډاکر کانټینرونو اداره کولو لپاره په تولکیټ کې زیانمنتیا ()، کوم چې، د یو ټاکلي حاالتو لاندې، تاسو ته اجازه درکوي چې د کانټینر څخه کوربه چاپیریال ته لاسرسی ومومئ که تاسو د دې وړتیا لرئ چې خپل عکسونه په سیسټم کې پیل کړئ یا یو روان کانټینر ته لاسرسی ومومئ. ستونزه د ډاکر په ټولو نسخو کې څرګندیږي او ناڅرګنده پاتې کیږي (وړاندیز شوی، مګر تر اوسه نه دی منل شوی، ، کوم چې د FS سره د عملیاتو ترسره کولو پرمهال د کانټینر تعلیق پلي کوي).
زیانمنتیا اجازه ورکوي چې فایلونه له کانټینر څخه د کوربه سیسټم فایل سیسټم په خپل سري برخه کې ایستل شي کله چې د "docker cp" کمانډ اجرا کوي. د فایل استخراج د روټ حقونو سره ترسره کیږي، کوم چې د کوربه چاپیریال کې د هر ډول فایلونو لوستل یا لیکل ممکنه کوي، کوم چې د کوربه سیسټم کنټرول ترلاسه کولو لپاره کافي دی (د مثال په توګه، تاسو کولی شئ /etc/shadow overwrite).
برید یوازې هغه وخت ترسره کیدی شي کله چې مدیر د کانټینر څخه د فایلونو کاپي کولو لپاره د "docker cp" کمانډ اجرا کوي. پدې توګه ، برید کونکی اړتیا لري په یو ډول د ډاکر مدیر ته د دې عملیاتو ترسره کولو اړتیا قانع کړي او د کاپي کولو پرمهال د کارول شوي لارې وړاندوینه وکړي. له بلې خوا، برید ترسره کیدی شي، د بیلګې په توګه، کله چې کلاوډ خدمتونه په کانټینر کې د ترتیب کولو فایلونو کاپي کولو لپاره وسایل چمتو کوي، د "docker cp" کمانډ په کارولو سره جوړ شوي.
ستونزه د فعالیت په پلي کولو کې د نیمګړتیا له امله رامینځته شوې ، کوم چې د اصلي فایل سیسټم کې مطلق لاره د اړونده لارې پراساس محاسبه کوي ، د کانټینر ځای په ځای کولو په پام کې نیولو سره. پداسې حال کې چې د "docker cp" کمانډ اجرا کول، لنډ مهاله ، په کوم کې چې لاره دمخه تایید شوې ، مګر عملیات لاهم ندي ترسره شوي. څرنګه چې کاپي کول د کوربه سیسټم اصلي فایل سیسټم په شرایطو کې ترسره کیږي، د یوې ټاکلې مودې په اوږدو کې، تاسو کولی شئ د یوې بلې لارې سره د لینک بدلولو اداره کړئ او د فایل سیسټم څخه بهر په خپل سري ځای کې د معلوماتو کاپي پیل کړئ. کانتینر
ځکه چې د ریس حالت رامینځته کیدو لپاره د وخت کړکۍ په چمتو شوي کې خورا محدود دی کله چې د کانټینر څخه د کاپي عملیات ترسره کول، دا ممکنه وه چې د 1٪ څخه کم قضیو کې بریالي برید ترلاسه کړئ کله چې د کاپي عملیاتو کې کارول شوي لاره کې په سایکل ډول د سمبولیک لینک ځای په ځای کول (بریالی برید د نږدې 10 ثانیو هڅو وروسته ترسره شو. د "docker cp" کمانډ سره په دوامداره توګه فایل په لوپ کې کاپي کول).
په کانټینر کې د کاپي عملیاتو په ترسره کولو سره ، تاسو کولی شئ یوازې په څو تکرارونو کې په کوربه سیسټم کې د تکرار وړ فایل اووررایټ برید ترلاسه کړئ. د برید احتمال د دې حقیقت له امله دی چې کله په کانټینر کې کاپي کول ، د "chrootarchive" مفهوم کارول کیږي ، د کوم له مخې چې د archive.go پروسه آرشیف د کانټینر ریښې کروټ ته نه استخراجوي ، مګر د کانټینر کروټ کې. د هدف لارې اصلي لارښود، د برید کونکي لخوا کنټرول کیږي، او د کانټینر اجرا کولو مخه نه نیسي (کروټ د نسل شرایطو څخه د ګټې اخیستنې لپاره د نښې په توګه کارول کیږي).
سرچینه: opennet.ru
