非特权 Pod 如何运行用户态文件系统

在 Kubernetes 环境中，如果需要在 Pod 中运行 FUSE daemon，通常是将其设置为特权容器。当 Pod 为特权时，自然所有的权限都会有，甚至也直接享用宿主机的设备。但非特权 Pod 想要运行用户态的文件系统有点困难，本文讲述在没有特权的情况下，如何在 Pod 中运行用户态文件系统。

2023/03/19 14:56 下午 posted in Kubernetes

如何使用 AppArmor 限制应用的权限

Linux 内核安全模块 AppArmor 补充了基于标准 Linux 用户和组的权限，将程序限制在一组有限的资源中，同时也是对 Pod 的保护，使其免受不必要的攻击。本文讲述如何在容器中使用 AppArmor。

2023/03/17 22:27 下午 posted in Kubernetes

如何实现一个 Kubernetes CSI Driver

本篇文章介绍如何快速开发自己的 Kubernetes CSI Driver，本篇是 CSI 系列第二篇。

2022/10/31 17:28 下午 posted in Kubernetes

Kubernetes 如何实现组件高可用

在 Kubernetes 中，Controller Manager、Scheduler 等组件以及用户实现的 Controller，都是通过多副本的方式来实现高可用。但多副本 Controller 同时工作难免会引发所监听资源的竞争条件，所以通常多副本之间只有一个副本在工作。

2022/07/23 20:17 下午 posted in Kubernetes

[译] SIGTERM：Linux 容器的优雅终止（退出代码 143）

SIGTERM（信号 15）在基于 Unix 的操作系统（如 Linux）中用于终止进程。SIGTERM 信号提供了一种优雅的方式来终止程序，使其有机会准备关闭并执行清理任务，或者在某些情况下拒绝关闭。Unix/Linux 进程可以以多种方式处理 SIGTERM，包括阻塞和忽略。

2022/07/19 14:58 下午 posted in 操作系统

Copyright © 2020 Powered by MWeb, Theme used GitHub CSS.