నేను 20 సంవత్సరాలకు పైగా ITలో పని చేస్తున్నాను, కానీ ఏదో ఒకవిధంగా నేను ఎప్పుడూ కంటైనర్ల చుట్టూ తిరగలేదు. సిద్ధాంతంలో, అవి ఎలా నిర్మించబడ్డాయి మరియు అవి ఎలా పనిచేశాయో నేను అర్థం చేసుకున్నాను. కానీ నేను వాటిని ఆచరణలో ఎన్నడూ ఎదుర్కోలేదు కాబట్టి, వారి హుడ్ కింద ఉన్న గేర్లు ఎలా తిరుగుతాయో మరియు ఎలా తిరుగుతాయో నాకు ఖచ్చితంగా తెలియదు.
అంతేకాకుండా, వారి భద్రత ఎలా ఉందో నాకు తెలియదు. కానీ మళ్ళీ, సిద్ధాంతం బాగుంది, మరియు పాత పాట “భద్రత పెరిగేకొద్దీ, వినియోగం తగ్గుతుంది” నా తలపై నిలిచిపోయింది. కాబట్టి కంటైనర్లతో ప్రతిదీ చేయడం చాలా సులభం కాబట్టి, అక్కడ భద్రత సమానంగా ఉందని నేను అనుకున్నాను. ఇది మారుతుంది, నేను సరైనది.
త్వరగా ప్రారంభించడానికి, నేను కోర్సులకు సైన్ అప్ చేసాను 2020 పేరుతో "".
షీలా ఎ. బెర్టా మరియు సోల్ ఓజాన్లచే బోధించబడిన కోర్సు, డాకర్ కంటైనర్లు ఎలా పని చేస్తాయి మరియు కుబెర్నెటెస్కు మోహరించినప్పుడు అవి చేసే ప్రయాణాన్ని వివరించడంతో వెంటనే ప్రారంభమైంది. ఇది పూర్తిగా ప్రయోగాత్మక తరగతి - విద్యార్థులు తరగతికి ముందు వారి మెషీన్లలో డాకర్ మరియు మైక్రోక్ 8లను ఇన్స్టాల్ చేసుకోవాలి - సాధనాలు ఒకదానితో ఒకటి ఎలా సంకర్షణ చెందుతాయో చూడడానికి, బలహీనమైన అంశాలను కనుగొనడానికి మరియు ముఖ్యంగా వాటిని నిరోధించడానికి ప్రయత్నించడానికి ఒక గొప్ప మార్గం.
దురదృష్టవశాత్తూ, కోర్సులు రెండు రోజుల తర్వాత "యువరాజు"గా మారతాయని వాగ్దానం చేసినప్పటికీ, ప్రతిదీ ఇప్పుడే ప్రారంభమైందని నేను భావించాను మరియు నేను ఇంకా నేర్చుకోవలసింది చాలా ఉంది.
నా ఉన్నతమైన పరిశీలనలలోకి ప్రవేశించే ముందు, కంటైనర్ అంటే ఏమిటో వివరించడం ముఖ్యం. అభివృద్ధి ప్రపంచంలో, మీ వ్యక్తిగత మెషీన్లో వ్రాసిన కోడ్ సంపూర్ణంగా పనిచేయడం సాధారణమైనదిగా పరిగణించబడుతుంది, కానీ మీరు దానిని ఎక్కడైనా సర్వర్లో అమలు చేయడానికి ప్రయత్నించినప్పుడు, అది పని చేయదు. కంటైనర్లు స్వీయ-నియంత్రణ యంత్రాలను అందించడం ద్వారా ఈ సమస్యను అధిగమించడానికి ప్రయత్నిస్తాయి, అవి ఎల్లప్పుడూ పని చేస్తాయని తెలుసుకోవడం ద్వారా మీరు ఒక సర్వర్ నుండి మరొక సర్వర్కు సులభంగా తరలించవచ్చు. పేరు సూచించినట్లుగా, అవి పనిని పూర్తి చేయడానికి అవసరమైన కోడ్, లైబ్రరీలు మరియు ఇతర సాఫ్ట్వేర్లను కలిగి ఉంటాయి. కుబెర్నెటెస్, మరోవైపు . సూత్రప్రాయంగా, ఇది వందల లేదా వేల విభిన్న కంటైనర్లను సజావుగా నిర్వహించడానికి ఉపయోగించవచ్చు.
ఎరుపు మరియు నీలం బృందం దృష్టికోణం నుండి నేను కనుగొన్న వాటిలో కొన్ని క్రింద ఉన్నాయి.
రెడ్ టీమ్
చాలా కంటైనర్ కంటెంట్ రూట్గా నడుస్తుంది: అంటే కంటైనర్ రాజీకి గురైతే, మీరు కంటైనర్కు పూర్తి ప్రాప్యతను కలిగి ఉంటారు. ఇది తదుపరి దశలను చాలా సులభతరం చేస్తుంది.
కంటైనర్ లోపల డాకర్.సాక్ని అమర్చడం ప్రమాదకరం: మీరు కంటైనర్లో రూట్ కలిగి ఉంటే మరియు డాకర్ సాకెట్ (/var/run/docker.sock) ఉన్న కంటైనర్లో డాకర్ను ఇన్స్టాల్ చేసినట్లయితే, మీరు ఏదైనా ఇతర కంటైనర్కు యాక్సెస్తో సహా మొత్తం క్లస్టర్ను అన్వేషించగల సామర్థ్యాన్ని కలిగి ఉంటారు. అలాంటి యాక్సెస్ నెట్వర్క్ ఐసోలేషన్ లేదా ఇతర మార్గాల ద్వారా నిరోధించబడదు.
ఎన్విరాన్మెంట్ వేరియబుల్స్ తరచుగా రహస్య డేటాను కలిగి ఉంటాయి: చాలా సందర్భాలలో, వ్యక్తులు సాధారణ పర్యావరణ వేరియబుల్లను ఉపయోగించి కంటైనర్కు పాస్వర్డ్లను పంపుతారు. కాబట్టి మీకు ఖాతాకు యాక్సెస్ ఉంటే, తర్వాత మీ అధికారాలను విస్తరించేందుకు మీరు ఈ ఎన్విరాన్మెంట్ వేరియబుల్స్పై నిఘా పెట్టవచ్చు.
డాకర్ API చాలా సమాచారాన్ని అందించగలదు: Docker API, డిఫాల్ట్గా కాన్ఫిగర్ చేయబడినప్పుడు, అధికారం లేకుండా రన్ అవుతుంది మరియు టన్ను సమాచారాన్ని ఉత్పత్తి చేయగలదు. షోడాన్ని ఉపయోగించి, మీరు ఓపెన్ పోర్ట్ల జాబితాను సులభంగా కనుగొనవచ్చు, ఆపై క్లస్టర్ గురించి వివరణాత్మక సమాచారాన్ని పొందవచ్చు - మరియు దాని పూర్తి సంగ్రహానికి కొనసాగండి. TrendMicro దీని గురించి రాసింది .
బ్లూ టీమ్
కంటైనర్ కంటెంట్లను రూట్గా అమలు చేయవద్దు: రూట్గా అమలు చేయడం సులభం అయినప్పటికీ, మీరు దీన్ని చేయకూడదు. బదులుగా, CLI నుండి అమలు చేస్తున్నప్పుడు --user ఎంపికను ఉపయోగించి లేదా Dockerfileలో USERని పేర్కొనడం ద్వారా uidని ప్రదర్శించడం ద్వారా రీసెట్ అనుమతులతో అప్లికేషన్లను అమలు చేయండి.
కంటైనర్లలో సాఫ్ట్వేర్ను ఇన్స్టాల్ చేయడానికి అనుమతించవద్దు: దాదాపు ప్రతి దాడి ఏదో నాటడం ద్వారా ప్రారంభమవుతుంది. nmap నుండి ifconfig నుండి డాకర్ వరకు (కంటైనర్ లోపల), ఏదైనా కంటైనర్లో ఇన్స్టాల్ చేయడం సర్వసాధారణం. అదే కారణంతో, మీరు ఉపయోగించని అన్ని పోర్ట్లను ఎల్లప్పుడూ బ్లాక్ చేయాలి. మీ మెషీన్ సోకినప్పుడు కంట్రోల్ కమాండ్లు ప్రసారం కాకుండా నిరోధించడంలో కూడా ఇది సహాయపడుతుంది. ప్రోగ్రామ్ల ఇన్స్టాలేషన్ను నిరోధించడంతో పాటు, పనిని పూర్తి చేయడానికి అవసరమైన కనీస సంఖ్యలో అప్లికేషన్లు కంటైనర్లోనే ఇన్స్టాల్ చేయబడిందని నిర్ధారించుకోవడం విలువ.
డాకర్. గుంటను రక్షించండి: ఇది తప్పనిసరిగా రక్షించబడాలి ఎందుకంటే కంటైనర్ మరియు క్లస్టర్ మధ్య కమ్యూనికేషన్ ఈ సాకెట్ ద్వారా ప్రాసెస్ చేయబడుతుంది. ఈ వ్యాసంలో నేను వివరంగా చెప్పదలచుకోలేదు కాబట్టి, చదవండి , ఏమి జరగవచ్చు మరియు వాటన్నింటినీ ఎలా నిరోధించాలి.
ఎన్విరాన్మెంట్ వేరియబుల్స్కు బదులుగా డాకర్ రహస్యాలను ఉపయోగించండి: రహస్యాలు ఉన్నాయి . ఇది సురక్షితం కానప్పటికీ, కంటైనర్కు రహస్య డేటాను పంపడానికి పర్యావరణ వేరియబుల్స్ కంటే ఇది ఇప్పటికీ ఉత్తమం.
కథనం కంటైనర్లపై మీ ఆసక్తిని పెంచినట్లయితే, మీరు సులభంగా డాకర్ లేదా మైక్రోక్8లను ఇన్స్టాల్ చేయవచ్చు (కుబెర్నెట్స్ యొక్క చిన్న వెర్షన్). Linux మరియు MacOS కోసం డాకర్ని ఇన్స్టాల్ చేయడానికి సూచనలు ఉన్నాయి మరియు — Windows, Linux మరియు MacOS కోసం microk8లను ఇన్స్టాల్ చేయడానికి సూచనలు.
సంస్థాపన తర్వాత మీరు వెళ్ళవచ్చు డాకర్ నుండి, ఇదే ఎంపిక మరియు microk8s కోసం.
మీరు డాకర్పై సమగ్రమైన కోర్సు చేయాలనుకుంటే లేదా చేయాలనుకుంటే, ప్రాక్టికల్ స్పీకర్లు దాని అన్ని సాధనాలను పరిశీలిస్తారు: ప్రాథమిక సంగ్రహాల నుండి నెట్వర్క్ పారామితుల వరకు, వివిధ ఆపరేటింగ్ సిస్టమ్లు మరియు ప్రోగ్రామింగ్ భాషలతో పని చేసే సూక్ష్మ నైపుణ్యాలు, ఆపై ప్రయత్నించండి “" మీరు సాంకేతికతతో సుపరిచితులవుతారు మరియు డాకర్ని ఎక్కడ మరియు ఎలా ఉత్తమంగా ఉపయోగించాలో అర్థం చేసుకుంటారు. మరియు అదే సమయంలో, ఉత్తమ ప్రాక్టీస్ కేసులను పొందండి - స్పైక్డ్ హ్యాండిల్స్తో వ్యక్తిగతంగా రేక్ల నుండి రేక్ల గురించి కథనాల నుండి సురక్షితంగా మరియు అభ్యాసకుల మద్దతుతో నేర్చుకోవడం ఉత్తమం.
మూలం: www.habr.com