0. 前言本文参考自《Docker 容器与容器云》这个容器逃逸的 case 存在于 Docker 1.0 之前的绝大多数版本。目前使用 Docker 1.0 之前版本的环境几乎不存在了,这篇分析的主要目的是为了加深系统安全方面的学习。本案例所分析的 PoC 源码地址:shocker.c1. 预备知识1.1 Linux Capability尝试用较为简单的话来说明 Linux 中 Capabilit
转载
2024-09-19 10:40:32
106阅读
docker逃逸总结
目录
docker逃逸总结一、 检查是否在docker容器中二、Docker Remote API 未授权访问三、docker.sock挂载到容器内部四、Docker 高危启动参数五、Docker 软件设计引起的逃逸5.1 CVE-2019-57365.2 CVE-2019-142715.3 CVE-2019-131395.4 CVE-2020-152
转载
2024-09-17 13:27:36
44阅读
下面是一些自己理解和网上摘录的:浮动的元素会脱离normal流(文档流或标准流)。例子:
View Code
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"
"http://www.w3.org/TR/html4/loose.dtd">
<html xmlns="http://www.w3.org/1
背景容器云出现大量业务接口访问失败告警,观察到批量业务Pod状态变成MatchNodeSelector状态,同时调度生成新的Pod,由于目前未完全推广使用Pod优雅退出方案,在旧pod中的容器被删除,新pod创建起来的过错中就必然会导致交易丢失了。这次事件中我们观察到的现象是:0、监控发现三个Master节点cpu和内存高使用率告警1、多个Master节点负载高,一段时间内apiserver出现无
转载
2024-05-27 23:24:20
256阅读
通常,很多过弯漂移方法都是通过改变车辆后轮转速,让其与地面产生速度差,使车身旋转来获得更多的转向角度。这样过弯入弯速度快,但会影响出弯速度,导致车辆速度减慢。《头文字D》中主角所采用的不需要刹车的漂移过弯方法,虽然是影视作品的内容,但是也具有一定的道理。假设过弯过程中车轮滚动方向与地面保持相同速度旋转(无阻力无加速过弯)。车辆以V速度入弯,地面与车轮的临界摩擦力为F,过弯离心力为 f 。当车辆以某
Docker是时下使用范围最广的开源容器技术之一,具有高效易用等优点。由于设计的原因,Docker天生就带有强大的安全性,甚至比虚拟机都要更安全,但你可曾想过“坚不可摧”的Docker也会被人攻破,Docker逃逸所造成的影响之大几乎席卷了全球的Docker容器。本期美创安全实验室将会带大家研究造成Docker逃逸的根本原理以及相应的防御方法。 Docker简介Docker是一种容器,容
转载
2023-10-10 10:07:17
40阅读
作者 | 刘奖背景读过本系列第一篇文章《容器技术 20 年》的读者,可能已经理解了容器和云原生的关系,以及容器技术恒等式:我们今天先聊执行引擎,后续将有一篇关于容器镜像的专题文章具体聊镜像格式和镜像加速。从集装箱革命说起容器技术需要解决的核心问题之一运行时的环境隔离。有一本非常有名的书,叫《集装箱改变世界》,说的是看起来平淡无奇的铁箱子,如何从二十世纪起永久性的改变了这个世界,并促进了全球化和全球
转载
2024-03-15 06:32:47
71阅读
1.虚拟IPMAC地址是物理地址,IP地址是逻辑地址。 虚拟IP,就是一个未分配给真实主机的IP,也就是说对外提供服务器的主机除了有一个真实IP外还有一个虚IP,使用这两个IP中的任意一个都可以连接到这台主机。 虚拟IP一般用作达到HA(High Availability)的目的,比如让所有项目中数据库链接一项配置的都是这个虚IP,当主服务器发生故障无法对外提供服务时,动态将这个虚IP切换到备
转载
2023-07-17 11:39:35
347阅读
1.IP漂移修改需求目前IP漂移的方案直接建立在业务网卡上,每个系统可以在启动时加入相应的多播组,通过多播数据后,每个系统独立计算分析出谁该是这一个组中的master,分析的原则就是组内存活的最小IP所在的主机,在组内有系统down机时,master负责接管down的系统,down多少,接多少。上述方案在系统压力不大时,基本不存在问题,即心跳数据正常,接管了down机后的系统仍能轻松运
概述 本文简单介绍MIPI CSI-2协议,根据MIPI联盟的官方文档MIPI Alliance Specification for Camera Serial Interface 2 (CSI-2),描述其协议层次和应用场景。 CSI (Camera Serial Interface) 是MIPI定义的规范,用于连接摄像头和CPU,传输摄像头的视频信号,最新的规范是2012发布的CSI-3,
转载
2024-03-29 18:35:45
695阅读
• IDE(Integrated Drive Electronics ,电子集成驱动器 )它的本意是指把“硬盘控制器”与“盘体”集成在一起的硬盘驱动器。 IDE仅代表第一代的IDE标准,随着其接口技术的飞速发展,引入了许多新技术使这一IDE接口标准得到了质的飞跃,并且引入了新的名称,如ATA(Advanced Technology At
SSM-Spring-SpringIoC容器Spring Ioc容器的设计 该容器设计主要基于BeanFactory和ApplicationContext两个接口,其中ApplicationContext是BeanFactory的子接口之一,也就是说BeanFactory是最底层接口,在绝大部分情况下,都会使用ApplicationContext作为Spring Ioc容器//BeanFactor
转载
2024-03-18 17:54:50
69阅读
K8S Pod漂移:原理与实现
随着云原生应用的快速发展,业务的高可用成为了每个开发者都要考虑的重要问题。Kubernetes (K8S) 作为一种容器编排平台,提供了一系列的自动修复机制来保证应用的高可用性,其中之一就是Pod的漂移。
本文将围绕K8S Pod漂移展开,向刚入行的小白介绍它的原理和实现。我们将使用代码示例来演示每一步的操作,以帮助新手更好地理解。
### 一、K8S Pod
原创
2024-02-05 15:51:48
362阅读
Kubernetes(K8S)是一种用于自动部署、扩展和管理容器化应用程序的开源平台。在K8S中,Pod是最小的可部署计算单元,它是一个或多个容器的组合,共享存储、网络和两种其他资源。
在K8S中,Pod漂移是指将一个Pod从一个节点无缝地迁移至另一个节点。这对于负载平衡和故障转移是至关重要的。在这篇文章中,我将向您展示如何实现K8S Pod漂移。
### K8S Pod漂移流程
| 步骤
原创
2024-02-19 13:11:52
221阅读
vector 向量 相当于一个数组 优点: (1) 不指定一块内存大小的数组的连续存储,即可以像数组一样操作,但可以对此数组 进行动态操作。通常体现在push_b
转载
2024-10-27 22:15:30
31阅读
浅谈容器逃逸与其他虚拟化技术类似,逃逸是最为严重的安全风险,直接危害了底层宿主机和整个云计算系统的安全。“容器逃逸”是指以下一种过程和结果:首先,攻击者通过劫持容器化业务逻辑或直接控制(CaaS等合法获得容器控制权的场景)等方式,已经获得了容器内某种权限下的命令执行能力;攻击者利用这种命令执行能力,借助一些手段进而获得该容器所在的直接宿主机上某种权限下的命令执行能力。1.不安全配置导致的容器逃逸容
转载
2024-03-27 06:25:01
134阅读
K8S Pod漂移问题以及解决方法
在使用Kubernetes(K8S)进行应用部署时,常常会遇到需要将Pod从一个节点迁移到另一个节点的情况。这种迁移操作通常被称为“Pod漂移”。Pod漂移可以用来执行维护操作、避免节点故障导致的应用中断以及优化资源利用等。
本文将介绍如何使用Kubernetes实现Pod漂移,并通过代码示例来说明每个步骤的具体操作。为了帮助刚入行的小白理解,我们将整个过程
原创
2024-02-01 17:25:35
417阅读
Kubernetes(简称K8s)是一个用于自动化部署、扩展和管理容器化应用程序的开源容器编排平台。在K8s中,Pod是最小的可调度和管理的单元,是应用程序的部署单元。Pod中可以包含一个或多个容器,这些容器共享相同的网络命名空间和存储资源。
当我们需要对Pod进行漂移时,通常是由于集群中的某些原因导致Pod所在的节点不可用或需要对节点进行维护。在这种情况下,我们需要将Pod迁移到其他可用的节点
原创
2024-02-02 10:03:28
211阅读
Ingress 和 Ingress Controller 概述在 k8s 中为什么会有 service 这个概念?Pod 漂移问题 Kubernetes 具有强大的副本控制能力,能保证在任意副本(Pod)挂掉时自动从其他机器启动一个新的,还可以动态扩容等,通俗地说,这个 Pod 可能在任何时刻出现在任何节点上,也可能在任何时刻死在任何节点上;那么自然随着 Pod 的创建和销毁,Pod
K8S Stateful Pod漂移
作为一名经验丰富的开发者,我将为你介绍K8S中Stateful Pod漂移的实现方法。首先,我们需要了解什么是K8S Stateful Pod漂移。在Kubernetes中,StatefulSet是一种用于管理有状态服务的抽象概念。它保证了Pod的唯一性和顺序性,并提供了每个Pod单独属性的稳定标识。当我们需要在集群中重新调度Pod时,例如进行系统升级或维护
原创
2024-01-16 13:23:43
202阅读
