charlieroro

摘要： 环境：openshift v3.6.173.0.5 openshift上devicemapper与官方文档中的描述略有不同，在官方文档的描述中，容器使用的lvm文件系统挂载在/var/lib/devicemapper下，因此可以在/var/lib/devicemapper/metadata中找到容器 阅读全文

摘要： 协议链接 本协议描述了如何使用TLS来对Internet上的HTTP进行安全加固。 2.1. Connection Initiation(链接初始化） HTTP client同时也作为TLS client(后续统一称为client)。在建立链接的时候，由client初始化TCP链接，并发出TLS C 阅读全文

摘要： 起因： 最近新部署了openshift集群，由于使用了自签证书，浏览器访问集群的https服务会报告警（如下图），在使用浏览器（特别是IE）访问openshift master暴露的服务时，选择继续访问时，出现了尝试很多次才能登陆成功的情况。 问题排查： 访问流程如下，client(浏览器)会直接访 阅读全文

摘要： openshift封装了k8s，在网络上结合ovs实现了多租户隔离，对外提供服务时报文需要经过ovs的tun0接口。下面就如何通过tun0访问pod(172.30.0.0/16)进行解析(下图来自理解OpenShift（3）：网络之 SDN，删除了原图的IP) openshift版本如下： 首先在查 阅读全文

摘要： 本需求来自于一道面试题😂（本环境使用centos 7） 最好使用阿里云ec2服务器安装minikube，若使用本地pc的vmware可能会出现网络方面的问题。 使用如下命令安装minikube，参见install minikube # curl -Lo minikube https://stora 阅读全文

摘要： 由于容器运行在主机上，且与主机共用一套内核，因此在容器的安全使用上会涉及到容器本身以及主机的安全加固，如针对系统调用，系统资源，远程访问等都需要进行安全方面的考量。 docker官网给出了简单的一些建议，如使用命名空间进行用户隔离，使用cgroup限制容器使用的资源上限，使用apparmor限制容器 阅读全文

摘要： ## [docker storage driver](https://www.cnblogs.com/charlieroro/p/10176598.html) docker默认有2种方式用于持久化数据，`volumes`和`bind mounts`，也可以使用`tmpfs`，其中使用`volume` 阅读全文

摘要： 运行上述镜像，在对于的容器进程目录下可以看到该进程打开个4个文件，其中fd为10的即是运行的shell 脚本， 执行docker logs -f CONTAINER_ID 跟踪容器输出，fd为1的文件为docker logs记录的输出，可以直接导入一个自定义的字符串，如echo ”你好“ > 1,可 阅读全文

摘要： cgroup还有其他一些限制特性，如io，pid，hugetlb等，这些用处不多，参见Cgroupv1。下面介绍下与系统性能相关的io和hugepage，cgroup的io介绍参考Cgroup - Linux的IO资源隔离 linux IO linux io涉及到对文件(磁盘设备)的读写性能，对io 阅读全文

摘要： 在centos7的/sys/fs/cgroup下面可以看到与cpu相关的有cpu，cpuacct和cpuset 3个subsystem。cpu用于对cpu使用率的划分；cpuset用于设置cpu的亲和性等，主要用于numa架构的os；cpuacct记录了cpu的部分信息。对cpu资源的设置可以从2个 阅读全文