Containerd

当 Kubernetes 遇到机密计算,阿里巴巴如何保护容器内数据的安全?

一笑奈何 提交于 2020-09-29 10:00:19
简介: 8 月 26 日,我们发起了第 6 期 SIG Cloud-Provider-Alibaba 网研会直播。本次直播主要介绍了机密计算的概况, InclavareContainers 开源项目架构、已支持的功能和迭代计划,以及阿里云 ACK-TEE 的发展现状和规划。本文汇集了此次直播完整视频回顾及资料下载,并整理了直播过程中收集的问题和解答,希望能够对大家有所帮助~ 作者 | 贾之光(甲卓) 阿里巴巴高级开发工程师,专注于 Kubernetes 安全沙箱和机密计算领域,主要参与 Incalvare Containers 社区开发。 8 月 26 日,我们发起了第 6 期 SIG Cloud-Provider-Alibaba 网研会直播。本次直播主要介绍了机密计算的概况, InclavareContainers 开源项目架构、已支持的功能和迭代计划,以及阿里云 ACK-TEE 的发展现状和规划。 本文汇集了此次直播完整视频回顾及资料下载,并整理了直播过程中收集的问题和解答,希望能够对大家有所帮助~阿里巴巴云原生公众号后台回复“826”即可下载相关 PPT。 直播视频回顾链接: https://v.qq.com/x/page/z3143a6agsg.html 机密计算简介 1. 应用容器安全现状 Portworx and Aqua Security 发布的《2019

当 Kubernetes 遇到机密计算,阿里巴巴如何保护容器内数据的安全?

China☆狼群 提交于 2020-09-26 00:56:40
作者 | 贾之光(甲卓) 阿里巴巴高级开发工程师,专注于 Kubernetes 安全沙箱和机密计算领域,主要参与 Incalvare Containers 社区开发。 8 月 26 日,我们发起了第 6 期 SIG Cloud-Provider-Alibaba 网研会直播。本次直播主要介绍了机密计算的概况, InclavareContainers 开源项目架构、已支持的功能和迭代计划,以及阿里云 ACK-TEE 的发展现状和规划。 本文汇集了此次直播完整视频回顾及资料下载,并整理了直播过程中收集的问题和解答,希望能够对大家有所帮助~阿里巴巴云原生公众号后台回复“826”即可下载相关 PPT。 直播视频回顾链接: https://v.qq.com/x/page/z3143a6agsg.html 机密计算简介 1. 应用容器安全现状 Portworx and Aqua Security 发布的《2019 容器接受度调研》报告显示, 安全性 成为了用户使用容器技术和业务上云面临的最大挑战,其中 数据安全 问题最为突出;根据 Risk Based Security 发布的数据泄露报告显示,2019 年数据泄露事件发生的数量和泄露的数据量与 2018 年相比均增加了 50%+。 2. 机密计算时代到来 数据在整个生命周期有三种状态:At-Rest(静态)、In-Transit(传输中)和

Docker安装

南笙酒味 提交于 2020-08-20 09:21:15
https://www.jianshu.com/p/758c170b951f 1.如果系统中有老版本的docker,我们需要删除之前的docker 以及依赖 sudo yum remove docker \ docker-client \ docker-client-latest \ docker-common \ docker-latest \ docker-latest-logrotate \ docker-logrotate \ docker-engine 2.安装依赖包 sudo yum install -y yum-utils \ device-mapper-persistent-data \ lvm2 3.配置阿里docker源 sudo yum-config-manager --add-repo http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo 出现以下内容则表示docker仓库配置成功: Loaded plugins: fastestmirror adding repo from: http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo grabbing file http://mirrors.aliyun.com

在Deepin/Debian上安装Docker Engine

陌路散爱 提交于 2020-08-20 05:31:13
一、卸载旧版本 Docker的旧版本被称为 docker , docker.io 或 docker-engine 。如果已安装,请卸载它们: sudo apt-get remove docker docker-engine docker.io containerd runc 二、安装相关软件 sudo apt-get update sudo apt-get install apt-transport-https ca-certificates curl gnupg-agent software-properties-common 三、安装新版本源信息 curl -fsSL https://download.docker.com/linux/debian/gpg | sudo apt-key add - echo "deb [arch=amd64] https://download.docker.com/linux/debian buster stable" | sudo tee /etc/apt/sources.list.d/docker.list #官方教程使用下面方式创建sources.list,但add-apt-repository因为python版本问题经常无法正常使用,所以改为使用上面echo + tee的方式 sudo add-apt-repository "deb

openshift

懵懂的女人 提交于 2020-08-18 15:48:01
OpenShift是红帽的云开发平台即服务(PaaS)。自由和开放源码的云计算平台使开发人员能够创建、测试和运行他们的应用程序,并且可以把它们部署到云中。Openshift广泛支持多种编程语言和框架,如Java,Ruby和PHP等。另外它还提供了多种集成开发工具如Eclipse integration,JBoss Developer Studio和 Jenkins等。OpenShift 基于一个开源生态系统为移动应用,数据库服务等,提供支持。 实验环境 centos7.3_x64 实验软件 docker-ce-19.03.12-3.el7.x86_64 openshift-origin-server-v1.4.1-3f9807a-linux-64bit.tar.gz 软件安装 systemctl stop firewalld.service && systemctl disable firewalld.service systemctl stop NetworkManager && systemctl disable NetworkManager systemctl restart ntpd.service && systemctl enable ntpd.service ntpdate 192.168.10.14 && clock -w yum install -y docker

docker容器的创建与管理过程

旧街凉风 提交于 2020-08-16 04:26:29
通信流程 1.docker通过grpc和containerd模块通信(runc)交换,dockerd和containerd通信的socker文件:/run/containerd/containerd.sock 2.containerd在dockerd启动时被启动,然后containerd启动grpc请求监听,containerd处理grpc请求,根据请求做相应动作。 3.若是创建容器,containerd拉起一个container-shim容器进程,并进行相应的创建操作。 4.container-shim被拉起后,start/exec/create拉起runC进程,通过exit、control文件和containerd通信,通过父子进程关系和SIGCHLD(信号)监控容器中进程状态。 在整个容器生命周期中,containerd通过epoll监控容器文件,监控容器事件。 镜像下载: 1.从docker仓库将井下下载到本地,命令 #docker pull 仓库服务器:端口/项目名称/镜像名称:tag(版本)号 2.查看镜像名称 #docker images repository #镜像所属的仓库名称 tag #镜像版本号(标识符),默认为latest image id #镜像唯一ID标识 CREATED #镜像创建时间 VIRTUAL SIZE #镜像的大小 3.镜像导出 1.

Kubernetes单机开发环境部署记录

怎甘沉沦 提交于 2020-08-16 04:04:01
- Kubernetes官方推荐的集群并不适合在个人电脑上做Helm包开发使用,建议在PC上搭建单节点Kubernetes环境。 操作方式有以下几种: 1)使用官方的minikube工具部署; 2)使用官方的kubeadm工具仅部署一个master节点,然后将pod调度到master节点工作,所需命令是:kubectl taint node k8s-master node-role.kubernetes.io/master- 3)下载离线的Kubernetes二进制包,手动按需部署master节点,并将pod调度到master节点工作。本人搜集的Kubernetes1.8二进制包存放地址: https://pan.baidu.com/disk/home?#/all?vmode=list&path=%2Fkubernetes1.18%E9%95%9C%E5%83%8F 4)修改已经成熟的shell脚本一键部署工具,部署master节点。本人推荐基于IT波哥的1.15版本shell脚本进行修改本人的脚本存储在: https://pan.baidu.com/disk/home?#/all?vmode=list&path=%2Fkubernetes1.18%E9%95%9C%E5%83%8F ,当前波哥的新项目地址为: https://github.com/luckman666

使用Docker构建企业级自定义镜像

﹥>﹥吖頭↗ 提交于 2020-08-14 18:28:34
前言 临下班前,楼主接到了一个需求,由于基础镜像标准发生变更,需要按照最新的Docker 镜像标准构建自己应用的自定义镜像。目前的标准是这样的:基础架构组只提供所有项目必须接入的3个公共镜像,这3个公共基础镜像包含了:JDK8、Skywalking、Arthas。对于各自业务组的应用如果还需要加入其它镜像,则由各个业务组自己基于基础架构组提供的公共镜像之上,再添加自定义的镜像,结构图如下: 构建步骤 编写Dockerfile 基于最新的规范来看,我们需要编写一个Dockerfile,然后引用基础架构组提供的基础镜像,再加入应用需要的其他镜像。因此最终的 Dockerfile 文件如下: FROM 基础镜像地址 RUN apk add 需要添加的自定义镜像 ... 在Centos7下安装Docker环境 卸载旧版本 较旧的 Docker 版本称为 docker 或 docker-engine 。如果已安装这些程序,请卸载它们以及相关的依赖项。 $ sudo yum remove docker \ docker-client \ docker-client-latest \ docker-common \ docker-latest \ docker-latest-logrotate \ docker-logrotate \ docker-engine 安装 Docker Engine

docker问题集合

我的梦境 提交于 2020-08-13 12:42:40
安装docker的时候遇到以下问题 [root@sm-docker249 yum.repos.d]# yum install docker-ce docker-ce-cli containerd.io Loaded plugins: fastestmirror, langpacks docker-ce-nightly | 3.5 kB 00:00 docker-ce-stable | 3.5 kB 00:00 docker-ce-test | 3.5 kB 00:00 (1/4): docker-ce-test/x86_64/primary_db | 115 kB 00:00 (2/4): docker-ce-nightly/x86_64/updateinfo | 55 B 00:00 (3/4): docker-ce-test/x86_64/updateinfo | 55 B 00:00 (4/4): docker-ce-nightly/x86_64/primary_db | 166 kB 00:00 Loading mirror speeds from cached hostfile Resolving Dependencies --> Running transaction check ---> Package containerd.io.x86_64 0:1.2.13-3