4.OpenWrt上跑LXC容器,另类All in one之路

OpenWrt 上的 LXC 比虚拟机更容易。
LXC共享核心,节省电力和资源。
容器是类似于虚拟机的系统,但更简单。
非常适合 OpenWrt 的路由器隔离需求。

使用LXC识别插头,无需炸毁路由器。
为了统计更清晰,单独计算流量。
LXC比Docker更稳定,适合关键工具。

安装前先安装基础包。
使用opkg安装lxc和lxc-start。
运行命令行 lxc-info 查看状态。
重新启动OpenWrt认证服务。

将网络更改为 br-lan 并使用 lxc-create-XML 创建它。
配置文件位于/var/lib/lxc/xxx/config。
使用 lxc-start 启动,使用 lxc-stop 停止。
lxc-指以上资源。

称一下体重。

Cyber-Security:Linux容器安全的十重境界

等一下,我昨天在咖啡馆遇到了一些事情。
一名程序员在调试容器时不小心使用了root权限,差点导致整个服务器瘫痪。
幸好他发现得及时,不然老板就疯了。
这件事让我想起了Linux容器安全的十大领域,确实需要仔细讲一讲。

比如容器操作系统,上次帮朋友安装系统,他坚持要开放最高权限。
我说这很危险,但他不相信。
结果,系统经常出现故障,需要好几天才能修复。
现在想想,如果利用Linux的安全特性,确实可以避免很多麻烦。
命名空间隔离资源和强制SELinux访问控制都是真正的保护。

关于容器内容,我上次测试了一个新镜像,发现其中包含恶意代码。
幸好我们发现得及时。
如今,如果您使用图像,则必须先对其进行扫描。
这就是规则。
就像超市购买商品需要三证一样,集装箱内物品的来源也必须核实。

施工过程的安全也很重要。
上次做项目的时候,开发人员直接在运行时改了代码,就出现了很大的问题。
现在,该公司明确表示,建设和部署必须分开,不能混合。
就像做饭一样,不能把蔬菜和调料一起放进锅里一起炒。
单独使用它们是安全的。

容器编排安全需要更多关注。
上次看别人的编排工具,角色权限设置得太松,任何人都可以更改配置。
后来出现故障,损失相当大。
现在我明白检查 RBAC 和 API 请求不仅仅是复杂的。

网络隔离方面,我上次测试的时候发现多个容器居然可以互相访问,这是一个大忌。
现在它们都被网络命名空间分开,就像在房子的每个房间安装门一样,这样它们就不会互相干扰。
SDN 管理复杂网络的麻烦比以前少得多。

存储安全也应该认真对待。
上次我注意到服务器上的数据丢失是因为存储配置不正确。
如今,光伏接入方式、储能接入监控都是必须的,就像家里的保险箱必须上锁一样。

在API管理、端点安全和单点登录方面,上次通过SSO登录时,系统直接进行身份验证,无需一一输入密码,非常方便。
然而,由于身份验证是一个主要问题,因此在安全方面需要做出更多努力。

角色的管理和访问控制必须更加小心。
上次我查看跨集群操作时,数据传输没有加密,并且差一点就被拦截了。
现在他们都使用联邦加密,比以前安全得多。

等等,还有一件事。
最近读到一些资料,某些容器安全措施如果过度使用,会影响性能。
就像家里使用太多电器一样,电气系统可能会出现问题。
该怎么办?

在Linux下的Docker中新建容器的方法

上周我尝试部署一个 Docker 网站。

首先绘制一个 Fedora 图像。
羞愧 docker run -i -t fedora bash
进入Apache安装后。
羞愧 百胜更新 百胜安装 httpd 退出
保存此更改。
羞愧 docker ps -a * docker 提交 c1 6 3 7 8 f9 4 3 fefedora-httpd fedora-httpd
确认它是一个新图像。
羞愧 码头图像
下一步是添加网页内容。
羞愧 Nano Dockerfile
编写 Dockerfile。
docker文件 来自 fedora-httpd DDD mysite.tar /tmp/ 运行 mv /tmp/mysite/ /var/www/ 我显示8 0 入口点 [“\/usr/sbin/httpd”] CMD [“-D”,“范围”]
网站页面位于 mysite.tar 文件中。
解压至发稿时间。
移动到页面根目录。
打开8 0端口 阿帕奇启动。

树立新形象。
羞愧 docker build -r -t mysite
运行容器。
羞愧 docker run -d -P mysite
浏览器访问主机IP的8 0端口。
离开页面。

就这样吧。