容器技术
文章平均质量分 88
大囚长
大丈夫遗世独立,孑然一身。
展开
专栏收录文章
- 默认排序
- 最新发布
- 最早发布
- 最多阅读
- 最少阅读
-
k8s面临哪些安全问题
Kubernetes安全需覆盖控制平面加固、工作负载隔离、网络分段、最小权限原则及供应链审计。结合工具链(如Trivy扫描、OPA策略、NetworkPolicy)和持续监控(审计日志+漏洞跟踪)可显著降低风险。定期执行CIS基准检测配置,并参考OWASP K8s十大风险指南查漏补缺。原创 2025-10-31 10:01:27 · 1049 阅读 · 0 评论 -
k8s的云厂商绑定风险
风险维度高风险点缓解措施技术兼容性API 差异、存储绑定采用 CSI/CNI 标准,使用中立存储安全配置权限过度暴露、默认漏洞RBAC 严格管控 + 准入控制器商业依赖成本不可迁移、自动扩缩容绑定IaC 多云部署 + 自建弹性策略建议企业优先选择CNCF 认证的托管服务,并通过混合云架构分散风险(如核心数据保留本地,计算层用公有云)。定期审计云配置(如 KSPM 工具),避免因厂商特性依赖导致系统性漏洞。原创 2025-10-30 09:36:06 · 484 阅读 · 0 评论 -
k8s中pod进程获取来源用户真实IP
Kubernetes 无法记录真实 IP 是。原创 2025-10-30 09:35:51 · 751 阅读 · 0 评论 -
k8s实现从挂载外部卷启动应用的蓝绿部署
在 Kubernetes 中结合滚动更新、优雅重启与蓝绿部署策略时,,而非复用旧卷。这种设计能确保版本隔离、数据一致性和快速回滚能力。原创 2025-10-29 09:29:39 · 733 阅读 · 0 评论 -
容器技术未能成为主流:技术瓶颈与非技术壁垒的深度剖析
容器和容器编排技术未能完全取代虚拟机成为主流,根本原因在于其技术层面的固有短板(如共享内核带来的安全与隔离性不足、特定场景下的性能开销)与非技术因素的深层阻碍(如企业组织文化惯性、技能储备不足、高昂的迁移成本与不确定的投资回报)共同作用的结果。它并非“脱裤子放屁”的过渡性技术,而是一种在特定场景(如微服务、无状态应用)下极具价值的演进中的技术范式。未来,容器与虚拟机更可能走向融合,形成优势互补的混合架构,而非简单的替代关系。原创 2025-09-12 09:47:11 · 1322 阅读 · 0 评论 -
DBA视角:把数据库放入Docker是一个馊主意
当故障发生时,可能是单纯Docker的问题,或者是Docker与数据库相互作用产生的问题,还可能是Docker与操作系统、编排系统、虚拟机、网络、磁盘相互作用产生的问题。私以为,标准化的部署方式虽然很不错,但如果运维管理数据库的人本身了解如何配置数据库环境,将环境初始化命令写在Shell脚本里和写在Dockerfile里并没有本质上的区别。从性能的角度来看,数据库的基本部署原则当然是离硬件越近越好,额外的隔离与抽象不利于数据库的性能:越多的隔离意味着越多的开销,即使只是内核栈中的额外拷贝。转载 2025-09-11 09:38:45 · 423 阅读 · 0 评论 -
k8s在同屏游戏中的争议与疑点
疑问:玩家同屏的负载情况如果使用k8s解决,一般是一个进程打包为一个pod,单进程多人同屏的用户容量受node物理资源限制,多进程同屏的情况又要受pod可能分布在不同node节点的网络延迟影响,所以这属于游戏应用k8s的痛点吗?如果多进程同屏的情况,为了解决跨node网络延迟,pod设置分布在同一node,那么k8s又相当于脱裤子放屁了多此一举了,不如直接使用物理服务器或vm来的效率更高。原创 2025-08-28 10:35:54 · 537 阅读 · 0 评论 -
k8s对游戏运维形成的复杂度挑战
Kubernetes 的 Pod 分布和漂移机制在提升弹性和高可用的同时,显著增加了运维复杂度。尤其在游戏等对延迟、状态一致性要求严苛的场景中,需结合等策略精细控制资源调度。原创 2025-08-28 10:35:36 · 759 阅读 · 0 评论 -
k8s内部的pod高可用
以避免单节点故障导致服务完全中断。这是 Kubernetes 高可用设计的核心原则之一。原创 2025-08-20 09:42:31 · 897 阅读 · 0 评论 -
k8s内部service的调用
核心配置✅gategame的 Service 提供 DNS 名称 → 通过env注入到login的 Deployment。✅ 健康检查保证服务可用性 → 配置和。验证命令:# 检查 Service 是否正常# 查看 login Pod 的环境变量此方案通过 Kubernetes 原生服务发现机制,实现服务间解耦和高可用,适应生产环境动态扩展需求。原创 2025-08-18 09:31:01 · 888 阅读 · 0 评论 -
挂载外部存储中的模型文件来运行大模型的容器镜像
原创 2025-08-18 09:30:46 · 1090 阅读 · 0 评论 -
k8s游戏服务规划的实际需求分析
需求规划:游戏服务需求,包括gate,login, game等服务,都是无状态服务,但需要连接后端mysql集群和打印日志,每个gate,login,game服务是一组game服,有类似serverid的配置区别,如何划分namespace,service,deploymet等资源,是否可以把一组服务进程打包成一个镜像作为pod部署?原创 2025-08-15 09:46:41 · 1112 阅读 · 0 评论 -
k8s实现优雅重启
在 Kubernetes 中实现 Pod 的优雅重启(Graceful Restart)是保障服务连续性的核心机制,通过多层级协作确保新旧 Pod 交替时业务流量无损。原创 2025-08-13 09:35:20 · 1030 阅读 · 0 评论 -
如何实现真正的“无状态容器”架构
容器镜像极简:仅包含:应用守护程序(负责启动、重启、热加载、临时文件清理)必要的依赖(如 glibc、curl、rclone、s3fs 等工具)启动脚本配置外置:通过 Consul 或类似工具动态获取配置状态外置外部卷挂载(rclone/s3fs/FUSE/CSI)实现持久化存储日志写入外部卷(统一日志收集路径)无状态化:容器本身不保存任何状态统一外部服务配置中心(Consul / Etcd / Nacos / Apollo)原创 2025-08-13 09:35:04 · 1364 阅读 · 0 评论 -
应用运维AI与云托管资源管理AI的自动协同
未来趋势:企业运维AI与云资源AI的自动协同 企业应用运维AI与云资源管理AI的自动协同即将普及,实现智能部署和动态资源管理。技术基础已具备,通过跨层级AI通信协议、智能合约及多云统一管理平台(如Synergy AI)实现无缝协作,典型场景包括自动扩缩容、安全防御和故障切换。尽管面临数据隐私、算法兼容性等挑战,联邦学习和开源框架OpenOps正推动标准建立。2026年后,认知型AI和边缘-云协同将进一步升级,3-5年内"AI驱动AI"模式将成为云原生标配,显著提升效率并降低成本。原创 2025-06-27 09:33:24 · 814 阅读 · 0 评论 -
容器技术的AI化趋势
容器化与AI自动化的双向赋能生态 容器化技术与AI自动化正形成深度协同的闭环生态:AI驱动容器运维智能化升级,通过智能监控、故障预测和资源调度优化,提升系统稳定性与资源利用率;容器化为AI部署提供核心支撑,解决GPU利用率、环境一致性等痛点,加速AI生命周期管理。开发环节中,AI工具可自动生成容器化脚本并优化调试流程。未来趋势将向边缘智能、Serverless AI延伸,但面临数据安全、算法透明度等挑战。这一双向驱动的技术融合,正推动容器化从基础架构层向AI自动化引擎演进,成为企业智能化转型的关键基座。原创 2025-06-26 09:23:34 · 914 阅读 · 0 评论 -
k8s的防火墙管理难点
在 Kubernetes 环境中,防火墙管理仍面临多维度挑战,尤其在混合云、多云架构及安全策略动态性增强的背景下。原创 2025-06-23 09:27:05 · 1021 阅读 · 0 评论 -
容器技术对传统配置管理工具痛点的补充
容器的一些功能似乎和配置管理工具重合了,为此很多人感到困惑,为什么有了配置管理工具还要再搞出一套容器技术呢?原创 2025-02-25 19:50:05 · 704 阅读 · 0 评论 -
配置管理工具和k8s功能重叠部分的优势比较
虽然自动化配置管理工具和应用内管理机制可以实现自动部署、扩缩容、负载均衡和故障恢复等功能,但 Kubernetes 在。原创 2025-01-06 16:58:43 · 1393 阅读 · 0 评论 -
k8s部署grafana beyla实现app应用服务依赖图可观测
OS:Static hostname: testIcon name: computer-vmChassis: vmMachine ID: 22349ac6f9ba406293d0541bcba7c05dBoot ID: 83bb7e5dbf27453c94ff9f1fe88d5f02Virtualization: vmwareOperating System: Ubuntu 22.04.4 LTSKernel: Linux 5.15.0-105-genericArchitecture: x原创 2024-06-19 18:05:58 · 960 阅读 · 0 评论 -
kubespray离线安装k8s
OS:Static hostname: testIcon name: computer-vmChassis: vmMachine ID: 22349ac6f9ba406293d0541bcba7c05dBoot ID: 83bb7e5dbf27453c94ff9f1fe88d5f02Virtualization: vmwareOperating System: Ubuntu 22.04.4 LTSKernel: Linux 5.15.0-105-genericArchitecture: x原创 2024-06-14 16:40:59 · 2079 阅读 · 0 评论 -
Kubectl 命令技巧大全
kubectl命令是操作 Kubernetes 集群的最直接和最高效的途径,这个 60 多 MB 大小的二进制文件,到底有啥能耐呢?转载 2024-06-11 17:40:09 · 319 阅读 · 0 评论 -
k8s AIOps
k8sgpt 是一个用于扫描Kubernetes集群、诊断和分级问题的工具。它以简单的英语呈现问题,并将站点可靠性工程(SRE)的经验编码到其分析器中。通过AI丰富问题的解释,k8sgpt帮助提取最相关的信息。它支持与多个AI服务提供商的开箱即用集成,包括OpenAI、Azure、Cohere、Amazon Bedrock、Google Gemini以及本地模型. 这意味着您可以根据自己的需求选择不同的AI服务提供商。k8sgpt内置了如下的分析器:rsAnalyzer。原创 2024-06-07 11:00:40 · 1675 阅读 · 0 评论 -
使用kubespray部署k8s生产环境
Kubespray 是一个开源项目,它利用 Ansible Playbook 来自动化部署 Kubernetes 集群。支持多种基础设施:可以部署在 AWS, GCE, Azure, OpenStack 以及裸机上。高可用性:支持部署高可用的 Kubernetes 集群。可组合性:用户可以选择不同的网络插件(如 flannel, calico, canal, weave)来部署。支持多种 Linux 发行版。原创 2024-06-05 14:02:31 · 2222 阅读 · 0 评论 -
k8s和deepflow部署与测试
环境详情:当您在上安装登录到主节点并使用在每个节点的/etc/hosts$(-cs部分配置手动修改设置crictl安装一个 Pod 网络插件,例如 Calico 或 Flannel。启动otel-collector和otel-agent需要程序集成API,发送到以DaemonSet运行在每个节点的otel-agent,otel-agent再将数据发送给otel-collector汇总,然后发往可以处理otlp trace数据的后端,如zipkin、jaeger等。原创 2024-06-04 11:12:53 · 2168 阅读 · 2 评论 -
变革中的容器技术
另一方面,低级容器运行时也在不断发展和创新,以提供更好的安全性和性能。除了最常用的 runc 外,还有一些基于虚拟化技术的容器运行时,如 runv,kata 和 firecracker,它们可以通过虚拟化 guest kernel,将容器和主机隔离开来,提高容器的安全性和隔离性。例如,Kubernetes 作为最流行的容器编排平台,已经宣布弃用 Docker 作为其容器运行时,转而支持符合 CRI (容器运行时接口) 的容器运行时,如 containerd 和 cri-o。原创 2024-02-26 17:51:48 · 989 阅读 · 0 评论 -
Docker 容器有什么缺陷
使用安全容器:容器有着轻便快速启动的优点,虚拟机有着安全隔离的优点,有没有一种技术可以兼顾两者的优点,做到既轻量又安全呢?安全容器与普通容器的主要区别在于,安全容器中的每个容器都运行在一个单独的微型虚拟机中,拥有独立的操作系统和内核,并且有虚拟机般的安全隔离性。使用安全加固组件:Linux 的 SELinux、AppArmor、GRSecurity 组件都是 Docker 官方推荐的安全加固组件,这三个组件可以限制一个容器对主机的内核或其他资源的访问控制,目前容器报告里的一些安全漏洞。转载 2023-02-07 14:57:18 · 1436 阅读 · 0 评论 -
为什么不建议把数据库部署在 Docker 容器内?
近2年Docker非常的火热,各位开发者恨不得把所有的应用、软件都部署在Docker容器中,但是您确定也要把数据库也部署的容器中吗?这个问题不是子虚乌有,因为在网上能够找到很多各种操作手册和视频教程,小编整理了一些数据库不适合容器化的原因供大家参考,同时也希望大家在使用时能够谨慎一点。目前为止将数据库容器化是非常不合理的,但是容器化的优点相信各位开发者都尝到了甜头,希望随着技术的发展能够更加完美的解决方案出现。针对上面问题是不是说数据库一定不要部署在容器里吗?答案是:并不是。转载 2023-02-07 11:30:26 · 898 阅读 · 0 评论 -
k8s使用statefulset部署mysql一主多从集群_k8s部署mysql集群南
metadata:spec:selector:app: mysqlmetadata:labels:app: mysqlspec:command:image: ist0ne/xtrabackup #此处镜像我做了修改 command:env:resources:requests:cpu: 500mexec:image: ist0ne/xtrabackup #此处镜像我做了修改 ports:= "x" ] ];do sleep 1;转载 2023-02-03 15:32:55 · 1583 阅读 · 0 评论 -
为什么k8s天然适合微服务?
在运维眼中他做了过多不该关心的事情,例如服务的发现,配置中心,熔断降级,这都应该是代码层面关心的事情,应该是 SpringCloud 和 Dubbo 关心的事情,为什么要到容器平台层来关心这个。在微服务中,配置往往分为几类,一类是几乎不变的配置,这种配置可以直接打在容器镜像里面,第二类是启动时就会确定的配置,这种配置往往通过环境变量,在容器启动的时候传进去,第三类就是统一的配置,需要通过配置中心进行下发,例如在大促的情况下,有些功能需要降级,哪些功能可以降级,哪些功能不能降级,都可以在配置文件中统一配置。转载 2023-02-03 15:15:06 · 585 阅读 · 0 评论 -
微服务无状态设计原则
对于无状态服务,首先说一下什么是状态:如果一个数据需要被多个服务共享,才能完成一笔交易,那么这个数据被称为状态。进而依赖这个 “状态” 数据的 服务被称为有状态服务,反之称为无状态服务。转载 2023-02-03 15:08:46 · 1401 阅读 · 0 评论 -
k8s 有状态服务 VS 无状态服务
1.数据方面:无状态服务不会在本地存储持久化数据.多个实例可以共享相同的持久化数据2.结果方面:多个服务实例对于同一个用户请求的响应结果是完全一致的3.关系方面:这种多服务实例之间是没有依赖关系4.影响方面:在k8s控制器 中动态启停无状态服务的pod并不会对其它的pod产生影响5.示例方面:nginx实例,tomcat实例,web应用6.资源方面:相关的k8s资源有:ReplicaSet、ReplicationController、Deployment。转载 2023-02-03 14:59:20 · 1892 阅读 · 0 评论 -
Docker容器镜像安全最佳实践指南
0x02 Docker 容器安全最佳实践1.主机安全配置1.1 更新docker到最新版本1.2 为容器创建一个单独的分区1.3 只有受信任的用户才能控制docker1.4 审计docker守护进程1.5 审计docker相关的文件和目录2.docker守护进程配置2.1 限制默认网桥上容器之间的网络流量2.2 设置为info2.3 允许 docker 更改iptables2.4 不使用不安全的镜像仓库2.5 建议不使用aufs存储驱动程序。转载 2023-01-17 19:51:52 · 1829 阅读 · 0 评论 -
深入浅出 Kubernetes 项目网关与应用路由
本篇内容简述了应用路由的基本架构,并与 Kubernetes Service 及其他应用网关分别做了对比。最后通过 SockShop 这个案例讲解的应用路由的配置方法。希望读者对应用路由能有进一步的理解,根据应用的特性选择合适的外部服务暴露方式。转载 2023-01-13 11:15:50 · 1331 阅读 · 0 评论 -
【云原生渗透】- docker runc容器逃逸漏洞(CVE-2019-5736)
运行时存在安全漏洞,攻击者可以通过特定的容器镜像或者exec操作,来获取到宿主机的runc执行时的文件句柄,并修改掉runc的二进制文件,从而可以在宿主机上以root身份执行命令。containerd 向下通过 containerd-shim 结合 runC,使得引擎可以独立升级,避免之前 Docker Daemon 升级会导致所有容器不可用的问题。将该payload拷贝到docker容器中(这就是模拟攻击者获取了docker容器权限,在容器中上传payload进行docker逃逸)转载 2023-01-11 11:06:58 · 1638 阅读 · 0 评论 -
[云原生 | k8s ]k8s中Pod、ReplicaSet、Deployment、Service的区别
Pod被ReplicaSet管理,ReplicaSet控制pod的数量;ReplicaSet被Deployment管理,Deployment控制pod应用的升级、回滚,当然也能控制pod的数量。Service提供一个统一固定入口,负责将前端请求转发给Pod。转载 2022-12-26 11:56:35 · 936 阅读 · 0 评论 -
kubernetes常用命令
【代码】kubernetes常用命令。原创 2022-12-26 10:10:39 · 1116 阅读 · 0 评论 -
单台机器离线安装kubesphere
系统:CentOS7.9。配置:4c4g100g。原创 2022-12-26 10:02:50 · 1126 阅读 · 2 评论 -
Docker,containerd,CRI,CRI-O,OCI,runc
在本篇中,我们看到 Docker 只是容器生态系统中的一个小部分。另外还有一堆开放的标准,这就使得不同的实现互相之间是可替换的。这就是为什么有 CRI 和 OCI 标准,以及 containerd、runc 和 CRI-O 等项目存在的原因了。现在你知道了关于容器这个有趣而又略显复杂的世界的一切,下次和别人讨论时,不要说你在使用 “Docker 容器” : )转载 2022-12-09 16:45:59 · 511 阅读 · 0 评论 -
k8s 抛弃弃用docker
K8s决定在 1.20 开始放弃 Docker,并在1.21完全抛弃 Docker 的支持。2020 年 12 月,Kubernetes 社区决定着手移除仓库中 Dockershim 相关代码,对于k8s和 Docker 两个社区来说都意义重大。如上图所示,Kubernetes节点代理 Kubelet为了访问Docker提供的服务需要先经过社区维护的 Dockershim,Dockershim 会将请求转发给管理容器的 Docker 服务。Kubernetes 通过下面的一系列接口为不同模块提供扩展性:转载 2022-12-07 13:34:16 · 4615 阅读 · 0 评论
分享