Skip to main content

Nichi Yorozuya

Fedora CoreOS

对于基础设施的管理,往往有两种approach,transactional与declarative。transactional描述动作,比如安装一个软件包,比如向文件中写入一行内容。而declarative描述结果,比如一个软件包已经被安装且满足特定version constraint,或是一个文件中存在某行内容。传统的手工操作是transactional的,负责任的运维可能会记录自己所运行的每一条

Container Escape

本文谨记一次container escape,文中出现的服务提供商名称为化名(估计他们还没修洞呢)TL;DR:container不是sandbox,运行不可信container最好增加安全措施。 前些时日找到了一个Kuberntes as a Service平台 - ekoott,为用户提供隔离的namespace运行任意manifest,这样的平台现在似乎还挺多的,不过这家给的quota比较多,我将大部分non

Standalone Kubelet

如果需要运行单一的容器,毫无疑问the plain old docker run!如果需要运行大量互相依赖的容器,docker-compose似乎也是一个不错的选择,但是在最近我的基础设施迁移过程中,我也发现了docker-compose所带有的众多局限,特别是在security context或是如init container这种方面。之前就发现了podman具有play kube这一子命令,可以直接运行PodSpec,我也对此进