Kuring parantos damel di IT langkung ti 20 taun, tapi kumaha waé kuring henteu kantos angkat ka wadah. Dina tiori, kuring ngartos kumaha aranjeunna terstruktur sareng kumaha aranjeunna damel. Tapi saprak kuring kungsi pernah encountered aranjeunna dina prakna, abdi teu yakin kumaha persis gears handapeun tiung maranéhna ngancik na ngahurungkeun.
Sajaba ti éta, kuring teu boga pamanggih kumaha kaamanan maranéhanana. Tapi deui, téori disada nice, sarta lagu heubeul "sakumaha ngaronjat kaamanan, usability nurun" nyangkut dina sirah kuring. Ku kituna kuring ngira yén saprak sagalana geus jadi gampang pikeun ngalakukeun kalawan peti, lajeng kaamanan aya handap par. Tétéla, kuring bener.
Pikeun ngamimitian gancang, kuring ngadaptarkeun kursus 2020 judulna "".
Kursus, anu diajarkeun ku Sheila A. Berta sareng Sol Ozzan, langsung dimimitian ku pedaran kumaha wadah Docker dianggo sareng perjalanan anu dicandak nalika ditugaskeun ka Kubernetes. Ieu mangrupikeun kelas anu lengkep - murid kedah masang Docker sareng microk8s dina mesinna sateuacan kelas - cara anu saé pikeun ningali kumaha alatna saling berinteraksi, mendakan titik lemah sareng, anu paling penting, cobian pikeun meungpeuk aranjeunna.
Hanjakalna, sanaos kursus-kursus janji bakal janten "pangeran" saatos dua dinten, kuring ngarasa yén sadayana kakara dimimitian, sareng kuring masih kedah seueur diajar.
Saméméh diving kana observasi lofty kuring, éta penting pikeun ngajelaskeun naon wadahna. Di dunya pamekaran, éta dianggap normal pikeun kode anu ditulis dina mesin pribadi anjeun tiasa dianggo sacara sampurna, tapi nalika anjeun nyobian ngajalankeun éta dina server dimana waé, éta henteu tiasa dianggo. Wadahna nyobian nungkulan masalah ieu ku nyadiakeun mesin timer ngandung nu bisa kalayan gampang mindahkeun tina hiji server ka nu sejen, nyaho yén maranéhna bakal salawasna jalan. Sakumaha ngaranna nunjukkeun, aranjeunna ngandung kode, perpustakaan, sareng parangkat lunak sanés anu dipikabutuh pikeun padamelan éta. Kubernetes, di sisi séjén, nyaéta . Sacara prinsip, éta bisa dipaké pikeun seamlessly ngatur ratusan atawa rébuan wadahna béda.
Di handap ieu aya sababaraha pamanggihan kuring tina sudut pandang tim beureum sareng biru.
Tim Beureum
Kalolobaan eusi wadahna dijalankeun salaku root: Ieu ngandung harti yén lamun wadahna ieu compromised, anjeun bakal boga aksés pinuh ka wadahna. Hal ieu ngajadikeun léngkah salajengna loba gampang.
Mounting docker.sock jero wadah anu bahaya: Upami Anjeun gaduh akar jero wadahna sarta ogé dipasang Docker jero wadahna nu boga stop kontak Docker (/var/run/docker.sock), anjeun boga potensi pikeun neuleuman sakabéh klaster, kaasup aksés ka sagala wadahna séjén. aksés misalna teu bisa dicegah ku isolasi jaringan atawa cara séjén.
Variabel lingkungan sering ngandung data rahasia: Dina kalolobaan kasus, jalma ngirim kecap akses ka wadahna ngagunakeun variabel lingkungan normal. Janten upami anjeun gaduh aksés kana akun, anjeun tiasa nénjo variabel lingkungan ieu supados engké ngalegaan kakuatan anjeun.
Docker API tiasa masihan seueur inpormasi: Docker API, nalika ngonpigurasi sacara standar, ngajalankeun tanpa otorisasina sarta bisa ngahasilkeun ton informasi. Nganggo Shodan, anjeun tiasa kalayan gampang mendakan daptar palabuhan anu kabuka, teras kéngingkeun inpormasi detil ngeunaan kluster - sareng teraskeun newak pinuh. TrendMicro nyerat ngeunaan ieu .
Tim Biru
Ulah ngajalankeun eusi wadahna salaku root: Sanajan éta gampang ngajalankeun sakumaha root, Anjeun teu kedah ngalakukeun eta. Gantina, ngajalankeun aplikasi kalawan idin reset ku mintonkeun uid, boh ngagunakeun pilihan --user nalika ngajalankeun ti CLI, atawa ku nangtukeun USER dina Dockerfile.
Ulah ngantepkeun parangkat lunak dipasang dina wadah: Ampir unggal serangan dimimitian ku penanaman hal. Ti nmap mun ifconfig mun Docker sorangan (di jero wadahna), install nanaon dina wadahna geus ilahar. Pikeun alesan anu sami, anjeun kedah meungpeuk sadaya palabuhan anu henteu dianggo. Ieu ogé ngabantosan nyegah paréntah kontrol dikirimkeun nalika mesin anjeun katépaan. Salian nyegah pamasangan program, éta patut mastikeun yén jumlah minimum aplikasi anu diperyogikeun pikeun ngarengsekeun tugas dipasang dina wadahna sorangan.
Ngajaga docker.sock: Ieu kudu ditangtayungan sabab komunikasi antara wadah jeung klaster diolah ngaliwatan stop kontak ieu. Kusabab kuring henteu hoyong langkung rinci dina tulisan ieu, baca , naon bisa lumangsung, sarta ogé kumaha carana meungpeuk eta sadayana.
Paké Rahasia Docker tinimbang variabel lingkungan: Aya rusiah . Sanajan ieu teu aman, éta kénéh hadé ti variabel lingkungan pikeun ngalirkeun data rusiah ka wadahna.
Lamun artikel geus piqued minat anjeun dina peti, anjeun bisa kalayan gampang install Docker atanapi microk8s (versi leutik tina Kubernetes). aya parentah pikeun masang Docker pikeun Linux Ubuntu jeung MacOS, jeung - parentah pikeun masang microk8s pikeun Windows, Linux Ubuntu jeung MacOS.
Saatos instalasi anjeun tiasa angkat ti Docker, pilihan sarupa jeung microk8s.
Upami anjeun hoyong atanapi kedah nyandak kursus komprehensif ngeunaan Docker, dimana panyatur praktis marios sadaya alatna: tina abstraksi dasar kana parameter jaringan, nuansa damel sareng sababaraha sistem operasi sareng basa program, teras cobian "" Anjeun bakal jadi wawuh jeung téhnologi jeung ngarti dimana jeung kumaha pangalusna ngagunakeun Docker. Sareng dina waktos anu sami, kéngingkeun kasus prakték pangsaéna - langkung saé diajar dina kasalametan sareng kalayan dukungan praktisi tina carita ngeunaan rake ti sacara pribadi tina rake sorangan nganggo gagang spiked.
sumber: www.habr.com