Skip to main content

Nichi Yorozuya

About

Nick Cao
Golang / Arch Linux / Backend
An imperfect perfectionist
NOC of AS209297

Contacts

GitLab: gitlab.com/NickCao
Telegram: t.me/NickCao
Mail: [email protected]
GPG Key: A1E513A77CC0D91C8806A4EB068A56CEF48FA2C1

AS209297

An independently operated research network
PeeringDB RIPEstat

Container Escape

本文谨记一次container escape,文中出现的服务提供商名称为化名(估计他们还没修洞呢)TL;DR:container不是sandbox,运行不可信container最好增加安全措施。 前些时日找到了一个Kuberntes as a Service平台 - ekoott,为用户提供隔离的namespace运行任意manifest,这样的平台现在似乎还挺多的,不过这家给的quota比较多,我将大部分non

Standalone Kubelet

如果需要运行单一的容器,毫无疑问the plain old docker run!如果需要运行大量互相依赖的容器,docker-compose似乎也是一个不错的选择,但是在最近我的基础设施迁移过程中,我也发现了docker-compose所带有的众多局限,特别是在security context或是如init container这种方面。之前就发现了podman具有play kube这一子命令,可以直接运行PodSpec,我也对此进

Networking

好久不见,网课还上的快乐吗( 又咕咕了好久呢,这次来写写关于networking的事。前些时日注册了自己的ASN,我也成为了能在公网上漏油的one man NOC了呐。然而由于贫穷我的上游只有Vultr和HE,在公网BGP上并没有很大的操作空间,虽然收了全表,但是import none,because why not?故而工作的重心更多的放在了overlay network上。现有的overlay network方案其实