நான் 20 ஆண்டுகளுக்கும் மேலாக ஐடியில் பணிபுரிகிறேன், ஆனால் எப்படியோ நான் ஒருபோதும் கொள்கலன்களுக்குச் செல்லவில்லை. கோட்பாட்டில், அவை எவ்வாறு கட்டமைக்கப்பட்டுள்ளன, அவை எவ்வாறு செயல்படுகின்றன என்பதை நான் புரிந்துகொண்டேன். ஆனால் நடைமுறையில் நான் அவர்களை ஒருபோதும் சந்தித்ததில்லை என்பதால், அவர்களின் பேட்டைக்குக் கீழே உள்ள கியர்கள் எவ்வளவு சரியாக மாறின மற்றும் திரும்பியது என்று எனக்குத் தெரியவில்லை.
அதுமட்டுமல்ல, அவர்களின் பாதுகாப்பு எப்படி இருக்கிறது என்று எனக்குத் தெரியவில்லை. ஆனால் மீண்டும், கோட்பாடு நன்றாக இருக்கிறது, பழைய பாடல் "பாதுகாப்பு அதிகரிக்கும் போது, பயன்பாடு குறைகிறது" என் தலையில் சிக்கியது. கன்டெய்னர்கள் மூலம் எல்லாவற்றையும் செய்வது மிகவும் எளிதானது என்பதால், அங்கு பாதுகாப்பு சமமாக இருக்கும் என்று நினைத்தேன். அது மாறிவிடும், நான் சொல்வது சரிதான்.
விரைவாகத் தொடங்க, படிப்புகளுக்குப் பதிவு செய்தேன் 2020" என்ற தலைப்பில்".
ஷீலா ஏ. பெர்டா மற்றும் சோல் ஓஸான் ஆகியோரால் கற்பிக்கப்படும் பாடநெறி, டோக்கர் கொள்கலன்கள் எவ்வாறு வேலை செய்கின்றன மற்றும் குபெர்னெட்டஸுக்கு அனுப்பப்படும் போது அவை எடுக்கும் பயணத்தின் விளக்கத்துடன் உடனடியாகத் தொடங்கியது. இது முற்றிலும் நடைமுறை வகுப்பு - மாணவர்கள் வகுப்பிற்கு முன் தங்கள் கணினிகளில் Docker மற்றும் microk8 களை நிறுவ வேண்டும் - கருவிகள் ஒருவருக்கொருவர் எவ்வாறு தொடர்பு கொள்கின்றன என்பதைப் பார்க்கவும், பலவீனமான புள்ளிகளைக் கண்டறியவும், மிக முக்கியமாக, அவற்றைத் தடுக்கவும் ஒரு சிறந்த வழி.
துரதிர்ஷ்டவசமாக, படிப்புகள் இரண்டு நாட்களுக்குப் பிறகு "இளவரசர்" ஆக உறுதியளிக்கப்பட்டாலும், எல்லாம் இப்போதுதான் ஆரம்பமாகிவிட்டதாக உணர்ந்தேன், இன்னும் நான் கற்றுக்கொள்ள நிறைய இருக்கிறது.
எனது உயர்ந்த அவதானிப்புகளுக்குள் மூழ்குவதற்கு முன், ஒரு கொள்கலன் என்றால் என்ன என்பதை விளக்குவது முக்கியம். வளர்ச்சி உலகில், உங்கள் தனிப்பட்ட கணினியில் எழுதப்பட்ட குறியீடு சரியாக வேலை செய்வது சாதாரணமாக கருதப்படுகிறது, ஆனால் நீங்கள் அதை எங்காவது ஒரு சர்வரில் இயக்க முயற்சித்தால், அது வெறுமனே வேலை செய்யாது. கன்டெய்னர்கள் இந்தச் சிக்கலைச் சமாளிப்பதற்குத் தன்னிறைவான இயந்திரங்களை வழங்குவதன் மூலம், அவை எப்போதும் வேலை செய்யும் என்பதை அறிந்து, ஒரு சர்வரிலிருந்து மற்றொரு சேவையகத்திற்கு எளிதாக நகர்த்த முடியும். பெயர் குறிப்பிடுவது போல, வேலை செய்ய தேவையான குறியீடு, நூலகங்கள் மற்றும் பிற மென்பொருள்கள் உள்ளன. குபெர்னெட்டஸ், மறுபுறம் . கொள்கையளவில், நூற்றுக்கணக்கான அல்லது ஆயிரக்கணக்கான வெவ்வேறு கொள்கலன்களை தடையின்றி நிர்வகிக்க இது பயன்படுத்தப்படலாம்.
சிவப்பு மற்றும் நீல குழுவின் பார்வையில் எனது சில கண்டுபிடிப்புகள் கீழே உள்ளன.
சிவப்பு அணி
பெரும்பாலான கொள்கலன் உள்ளடக்கம் ரூட்டாக இயங்குகிறது: இதன் பொருள் கொள்கலன் சமரசம் செய்யப்பட்டால், நீங்கள் கொள்கலனுக்கான முழு அணுகலைப் பெறுவீர்கள். இது அடுத்த படிகளை மிகவும் எளிதாக்குகிறது.
ஒரு கொள்கலனுக்குள் docker.sock பொருத்துவது ஆபத்தானது: நீங்கள் ஒரு கொள்கலனுக்குள் ரூட் வைத்திருந்தால் மற்றும் டோக்கர் சாக்கெட் (/var/run/docker.sock) உள்ள கொள்கலனுக்குள் டோக்கரை நிறுவியிருந்தால், வேறு எந்த கண்டெய்னருக்கான அணுகலும் உட்பட முழு கிளஸ்டரையும் ஆராயும் திறன் உங்களுக்கு உள்ளது. அத்தகைய அணுகலை பிணைய தனிமைப்படுத்தல் அல்லது பிற வழிகளில் தடுக்க முடியாது.
சுற்றுச்சூழல் மாறிகள் பெரும்பாலும் இரகசியத் தரவைக் கொண்டிருக்கும்: பெரும்பாலான சந்தர்ப்பங்களில், சாதாரண சூழல் மாறிகளைப் பயன்படுத்தி மக்கள் கடவுச்சொற்களை கொள்கலனுக்கு அனுப்புகிறார்கள். கணக்கிற்கான அணுகல் உங்களிடம் இருந்தால், பின்னர் உங்கள் அதிகாரங்களை விரிவுபடுத்துவதற்காக இந்த சூழல் மாறிகளை உளவு பார்க்கலாம்.
டோக்கர் ஏபிஐ நிறைய தகவல்களை வழங்க முடியும்: Docker API, முன்னிருப்பாக கட்டமைக்கப்படும் போது, அங்கீகாரம் இல்லாமல் இயங்கும் மற்றும் ஒரு டன் தகவலை உருவாக்க முடியும். ஷோடனைப் பயன்படுத்தி, நீங்கள் திறந்த துறைமுகங்களின் பட்டியலை எளிதாகக் காணலாம், பின்னர் கிளஸ்டர் பற்றிய விரிவான தகவல்களைப் பெறலாம் - மேலும் அதன் முழுப் பிடிப்புக்குச் செல்லவும். TrendMicro இதைப் பற்றி எழுதியது .
நீல அணி
கொள்கலன் உள்ளடக்கங்களை ரூட்டாக இயக்க வேண்டாம்: ரூட்டாக இயக்குவது எளிதாக இருந்தாலும், அதைச் செய்யக்கூடாது. மாறாக, CLI இலிருந்து இயங்கும் போது --user விருப்பத்தைப் பயன்படுத்தி அல்லது Dockerfile இல் USER ஐக் குறிப்பிடுவதன் மூலம், uid ஐக் காண்பிப்பதன் மூலம் பயன்பாடுகளை மீட்டமைக்கும் அனுமதிகளுடன் இயக்கவும்.
கொள்கலன்களில் மென்பொருளை நிறுவ அனுமதிக்காதீர்கள்: ஏறக்குறைய ஒவ்வொரு தாக்குதலும் எதையாவது நடவு செய்வதிலிருந்து தொடங்குகிறது. nmap முதல் ifconfig வரை டோக்கர் வரை (ஒரு கொள்கலனுக்குள்), ஒரு கொள்கலனில் எதையும் நிறுவுவது பொதுவானது. அதே காரணத்திற்காக, நீங்கள் எப்போதும் பயன்படுத்தப்படாத அனைத்து துறைமுகங்களையும் தடுக்க வேண்டும். இது உங்கள் கணினியில் தொற்று ஏற்பட்டால் கட்டுப்பாட்டு கட்டளைகள் அனுப்பப்படுவதைத் தடுக்கவும் உதவுகிறது. நிரல்களின் நிறுவலைத் தடுப்பதைத் தவிர, பணியை முடிக்க தேவையான குறைந்தபட்ச எண்ணிக்கையிலான பயன்பாடுகள் கொள்கலனில் நிறுவப்பட்டுள்ளதா என்பதை உறுதிப்படுத்துவது மதிப்பு.
docker.sock பாதுகாக்கவும்: இது பாதுகாக்கப்பட வேண்டும், ஏனெனில் கொள்கலனுக்கும் கிளஸ்டருக்கும் இடையிலான தொடர்பு இந்த சாக்கெட் மூலம் செயலாக்கப்படுகிறது. இந்தக் கட்டுரையில் விரிவாகச் சொல்ல விரும்பாததால், படிக்கவும் , என்ன நடக்கும், மேலும் அதை எப்படி தடுப்பது.
சூழல் மாறிகளுக்குப் பதிலாக டோக்கர் ரகசியங்களைப் பயன்படுத்தவும்: இரகசியங்கள் உள்ளன . இது பாதுகாப்பானதாக இல்லாவிட்டாலும், கன்டெய்னருக்கு ரகசியத் தரவை அனுப்ப சுற்றுச்சூழல் மாறிகளை விட இது இன்னும் சிறந்தது.
கட்டுரையில் உங்கள் ஆர்வத்தைத் தூண்டியிருந்தால், நீங்கள் எளிதாக Docker அல்லது microk8s (குபெர்னெட்ஸின் சிறிய பதிப்பு) நிறுவலாம். Linux மற்றும் MacOS க்கான Docker ஐ நிறுவுவதற்கான வழிமுறைகள் உள்ளன — Windows, Linux மற்றும் MacOS க்கு microk8களை நிறுவுவதற்கான வழிமுறைகள்.
நிறுவிய பின் நீங்கள் செல்லலாம் டோக்கரில் இருந்து, இதே விருப்பம் மற்றும் microk8 களுக்கு.
டோக்கரைப் பற்றிய விரிவான பாடத்தை நீங்கள் விரும்பினால் அல்லது எடுக்க வேண்டும் என்றால், அதில் நடைமுறை பேச்சாளர்கள் அதன் அனைத்து கருவிகளையும் ஆய்வு செய்கிறார்கள்: அடிப்படை சுருக்கங்கள் முதல் பிணைய அளவுருக்கள் வரை, பல்வேறு இயக்க முறைமைகள் மற்றும் நிரலாக்க மொழிகளுடன் பணிபுரியும் நுணுக்கங்கள், பின்னர் முயற்சிக்கவும் "" நீங்கள் தொழில்நுட்பத்தை நன்கு அறிந்திருப்பீர்கள் மற்றும் டோக்கரை எங்கு, எப்படி சிறப்பாகப் பயன்படுத்துவது என்பதைப் புரிந்துகொள்வீர்கள். அதே நேரத்தில், சிறந்த பயிற்சி நிகழ்வுகளைப் பெறுங்கள் - ரேக்குகள் பற்றிய கதைகளில் இருந்து தனிப்பட்ட முறையில் ஸ்பைக் செய்யப்பட்ட கைப்பிடிகளைக் கொண்டிருப்பதைக் காட்டிலும், பாதுகாப்பு மற்றும் பயிற்சியாளர்களின் ஆதரவுடன் கற்றுக்கொள்வது நல்லது.
ஆதாரம்: www.habr.com