Ман зиёда аз 20 сол аст, ки дар IT кор мекунам, аммо ба ҳар ҳол ман ҳеҷ гоҳ ба контейнерҳо наздик нашудам. Дар назария, ман фаҳмидам, ки онҳо чӣ гуна сохта шудаанд ва чӣ гуна кор мекунанд. Аммо азбаски ман ҳеҷ гоҳ бо онҳо дар амал дучор нашуда будам, ман намедонистам, ки фишангҳои зери капоташон чӣ гуна гардиш ва гардиш мекунанд.
Ғайр аз ин, ман намедонистам, ки амнияти онҳо чӣ гуна аст. Аммо боз ҳам, назария хуб садо медиҳад ва суруди кӯҳнаи "бо афзоиши амният, қобили истифода коҳиш меёбад" дар сарам часпидааст. Аз ин рӯ, ман фикр мекардам, ки азбаски ҳама кор бо контейнерҳо хеле осон аст, бехатарии он дар сатҳи пасттар аст. Чунон ки маълум шуд, ман дуруст будам.
Барои оғози зуд, ман ба курсҳо номнавис шудам 2020 таҳти унвони "".
Курс, ки аз ҷониби Шейла А. Берта ва Сол Оззан таълим дода шудааст, фавран бо тавсифи чӣ гуна кор кардани контейнерҳои Docker ва сафари онҳо ҳангоми ҷойгиршавӣ ба Кубернетес оғоз ёфт. Ин як синфи комилан амалӣ буд - донишҷӯён бояд пеш аз дарс Docker ва microk8-ро дар мошинҳои худ насб мекарданд - як роҳи олӣ барои дидани он, ки чӣ гуна асбобҳо бо ҳамдигар ҳамкорӣ мекунанд, нуқтаҳои заифро пайдо мекунанд ва муҳимтар аз ҳама, кӯшиш мекунанд, ки онҳоро банд кунанд.
Мутаассифона, гарчанде ки курсҳо ваъда доданд, ки пас аз ду рӯз «шоҳзода» мешавам, ман ҳис мекардам, ки ҳама чиз нав оғоз мешавад ва ман ҳанӯз чизҳои зиёдеро омӯхтам.
Пеш аз он ки ба мушоҳидаҳои олии ман ғарқ шавам, муҳим аст, ки фаҳмонем, ки контейнер чист. Дар ҷаҳони рушд, комилан кор кардани рамзи дар мошини шахсии шумо навишташуда муқаррарӣ ҳисобида мешавад, аммо вақте ки шумо кӯшиш мекунед, ки онро дар ягон сервер иҷро кунед, он кор намекунад. Контейнерҳо кӯшиш мекунанд, ки ин мушкилотро тавассути таъмин кардани мошинҳои мустақилона бартараф кунанд, ки шумо метавонед ба осонӣ аз як сервер ба сервери дигар гузаред, зеро медонед, ки онҳо ҳамеша кор мекунанд. Тавре ки аз ном бармеояд, онҳо дорои код, китобхонаҳо ва дигар нармафзорҳое мебошанд, ки барои анҷом додани кор заруранд. Кубернетес, аз тарафи дигар, чунин аст . Аслан, он метавонад барои идора кардани садҳо ё ҳазорҳо контейнерҳои гуногун истифода шавад.
Дар зер баъзе бозёфтҳои ман аз нуқтаи назари дастаи сурх ва кабуд оварда шудаанд.
Дастаи сурх
Аксари мундариҷаи контейнер ҳамчун реша кор мекунанд: Ин маънои онро дорад, ки агар контейнер зери хатар бошад, шумо ба контейнер дастрасии пурра хоҳед дошт. Ин қадамҳои минбаъдаро хеле осон мекунад.
Дар дохили контейнер насб кардани docker.sock хатарнок аст: Агар шумо дар дохили контейнер реша дошта бошед ва инчунин Docker-ро дар дохили контейнере насб кунед, ки розеткаи Docker дорад (/var/run/docker.sock), шумо потенсиали омӯхтани тамоми кластер, аз ҷумла дастрасӣ ба ҳама гуна контейнери дигарро доред. Чунин дастрасӣ бо ҷудокунии шабака ё дигар воситаҳо пешгирӣ карда намешавад.
Тағйирёбандаҳои муҳити зист аксар вақт маълумоти махфӣ доранд: Дар аксари ҳолатҳо, одамон бо истифода аз тағирёбандаҳои муҳити муқаррарӣ паролҳоро ба контейнер мефиристанд. Пас, агар шумо ба ҳисоб дастрасӣ дошта бошед, шумо метавонед дар ин тағирёбандаҳои муҳити зист ҷосусӣ кунед, то баъдтар ваколатҳои худро васеъ кунед.
Docker API метавонад маълумоти зиёде диҳад: API Docker, вақте ки ба таври нобаёнӣ танзим карда мешавад, бидуни иҷозат кор мекунад ва метавонад як тонна иттилоот тавлид кунад. Бо истифода аз Shodan, шумо метавонед ба осонӣ рӯйхати портҳои кушодаро пайдо кунед, пас дар бораи кластер маълумоти муфассал гиред - ва ба гирифтани пурраи он идома диҳед. Дар ин бора TrendMicro навиштааст .
Дастаи кабуд
Мундариҷаи контейнерро ҳамчун реша иҷро накунед: Ҳарчанд кор кардан ҳамчун реша осонтар аст, шумо набояд ин корро кунед. Ба ҷои ин, барномаҳоро бо иҷозатҳои азнавсозӣ тавассути намоиши uid, ё бо истифода аз имконоти --user ҳангоми кор аз CLI ё бо нишон додани USER дар Dockerfile иҷро кунед.
Ба насб кардани нармафзор дар контейнерҳо иҷозат надиҳед: Кариб хар як хучум бо шинондани чизе огоз меёбад. Аз nmap то ifconfig то худи Docker (дар дохили контейнер), насб кардани ҳама чиз дар контейнер маъмул буд. Бо ҳамин сабаб, шумо бояд ҳамеша ҳамаи портҳои истифоданашударо маҳкам кунед. Ин инчунин барои пешгирии интиқоли фармонҳои идоракунӣ ҳангоми сирояти мошини шумо кӯмак мекунад. Илова ба пешгирии насби барномаҳо, бояд боварӣ ҳосил кард, ки шумораи ҳадди ақали барномаҳое, ки барои иҷрои вазифа заруранд, дар худи контейнер насб карда шудаанд.
Муҳофизати docker.sock: Он бояд ҳифз карда шавад, зеро иртиботи байни контейнер ва кластер тавассути ин васлаки коркард карда мешавад. Азбаски ман намехоҳам дар ин мақола ба тафсилот ворид шавам, хонед , чӣ рӯй дода метавонад ва инчунин чӣ гуна ҳама чизро манъ кардан мумкин аст.
Ба ҷои тағирёбандаҳои муҳити зист сирри Docker-ро истифода баред: Асрорҳо ҳастанд . Гарчанде ки ин бехатар нест, он ҳанӯз ҳам беҳтар аз тағирёбандаҳои муҳити зист барои интиқоли маълумоти махфӣ ба контейнер аст.
Агар мақола таваҷҷӯҳи шуморо ба контейнерҳо ба вуҷуд оварда бошад, шумо метавонед ба осонӣ Docker ё microk8s (нусхаи хурди Kubernetes) насб кунед. дастурҳо оид ба насб Docker барои Linux ва MacOS нест, ва — дастурҳо оид ба насби microk8s барои Windows, Linux ва MacOS.
Пас аз насб шумо метавонед равед аз Docker, варианти шабеҳ ва барои microk8s.
Агар шумо хоҳед ё лозим ояд, ки курси ҳамаҷонибаи Docker омӯзед, ки дар он сухангӯёни амалӣ ҳамаи асбобҳои онро меомӯзанд: аз абстраксияҳои асосӣ то параметрҳои шабака, нозукиҳои кор бо системаҳои гуногуни амалиётӣ ва забонҳои барномасозӣ, пас кӯшиш кунед "" Шумо бо технология шинос мешавед ва мефаҳмед, ки Docker-ро дар куҷо ва чӣ гуна беҳтар истифода бурдан мумкин аст. Ва дар айни замон, ҳолатҳои таҷрибаҳои беҳтаринро ба даст оред - беҳтар аст, ки дар бехатарӣ ва бо дастгирии таҷрибаомӯзон аз ҳикояҳо дар бораи рейкҳо омӯхтан беҳтар аст, на шахсан аз худи рейкҳо бо дастаҳои хӯшадор.
Манбаъ: will.com