容器
文章平均质量分 82
容器
Tongsheng_li
这个作者很懒,什么都没留下…
展开
-
Runc容器逃逸
容器隔离机制Linux通过namespace将不同的资源隔离,就像一个沙箱一样。被隔离到某个namespace中的内容,无法访问到其它namespace的内容。可以通过unshare或clone设置标志位来将进程放入新的命名空间。PID Namespace标志位: CLONE_NEWPID文档: man pid_namespaces在linux上执行man pid_namespaces可以查看对应的命令文档。部分截图如下:进程命名空间,在一个隔离的空间中,PID从1开始,相同PID与主机P原创 2021-12-01 10:47:20 · 296 阅读 · 0 评论 -
Runc容器运行过程
在每一个Kubernetes节点中,运行着kubelet,负责为Pod创建销毁容器,kubelet预定义了API接口,通过GRPC从指定的位置调用特定的API进行相关操作。而这些CRI的实现者,如cri-o, containerd等,通过调用runc创建出容器。runc功能相对单一,即针对特定的配置,构建出容器运行指定进程,它不能直接用来构建镜像,kubernetes依赖的如cri-o这类CRI,在runc基础上增加了通过API管理镜像,容器等功能。Kubelet,Cri-O,runc,Linux大致层级原创 2021-12-01 10:45:53 · 900 阅读 · 0 评论 -
Runc简介一
Open Container Initiative(OCI)开放容器计划:OCI 标准包含 运行时标准 和 镜像标准 两个部分,而 OCI 这个组织则是由 Docker, CoreOS 和其他的一些公司共同发起创建的,致力于将容器运行时和格式标准化。即:凡是遵守此标准的实现,无论是 Docker 还是 rkt 或者其他的运行时实现,均可以通过标准的镜像启动容器。Runc:runc 则是在 OCI 成立后,Docker 将其容器运行时 libcontainer 贡献出来后,并加以改造而成的,是Doc原创 2021-12-01 10:42:15 · 1703 阅读 · 0 评论 -
runc 源码编译安装
登入机器虚机跳板机登陆方式:ssh -i [public_key.pem] centos@172.17.9.143密钥:[public_key.pem]采用mobaxterm终端登录:登录进去后在执行ssh ubuntu@192.168.1.34,切换到root用户,执行sudo su -runc安装准备因为runc需要golang进行编译,所以得确保机器上是否已经安装了golang。1、下载最新版的golangwget -c https://studygolang.com/dl/go原创 2021-11-30 13:58:27 · 632 阅读 · 0 评论