Skip to main content

Nichi Yorozuya

About

Nick Cao
Golang / Nix{,OS} / Backend
An imperfect perfectionist
NOC of AS209297

Contacts

GitLab: gitlab.com/NickCao
Telegram: t.me/NickCao
Mail: nickcao@nichi.co
GPG Key: A1E513A77CC0D91C8806A4EB068A56CEF48FA2C1

AS209297

An independently operated research network
PeeringDB RIPEstat

Fedora CoreOS

对于基础设施的管理,往往有两种approach,transactional与declarative。transactional描述动作,比如安装一个软件包,比如向文件中写入一行内容。而declarative描述结果,比如一个软件包已经被安装且满足特定version constraint,或是一个文件中

Container Escape

本文谨记一次container escape,文中出现的服务提供商名称为化名(估计他们还没修洞呢)TL;DR:container不是sandbox,运行不可信container最好增加安全措施。 前些时日找到了一个Kuberntes as a Service平台 - ekoott,为用户提供隔离的namespace

Standalone Kubelet

如果需要运行单一的容器,毫无疑问the plain old docker run!如果需要运行大量互相依赖的容器,docker-compose似乎也是一个不错的选择,但是在最近我的基础设施迁移过程中,我也发现了docker-compose所带有的众多局限,特别是在security context或是如init container这种