非特权 Pod 如何运行用户态文件系统

在 Kubernetes 环境中,如果需要在 Pod 中运行 FUSE daemon,通常是将其设置为特权容器。当 Pod 为特权时,自然所有的权限都会有,甚至也直接享用宿主机的设备。但非特权 Pod 想要运行用户态的文件系统有点困难,本文讲述在没有特权的情况下,如何在 Pod 中运行用户态文件系统。
2023/03/19 14:56 下午 posted in  Kubernetes

如何使用 AppArmor 限制应用的权限

Linux 内核安全模块 AppArmor 补充了基于标准 Linux 用户和组的权限,将程序限制在一组有限的资源中,同时也是对 Pod 的保护,使其免受不必要的攻击。本文讲述如何在容器中使用 AppArmor。
2023/03/17 22:27 下午 posted in  Kubernetes

如何实现一个 Kubernetes CSI Driver

本篇文章介绍如何快速开发自己的 Kubernetes CSI Driver,本篇是 CSI 系列第二篇。
2022/10/31 17:28 下午 posted in  Kubernetes

Kubernetes 如何实现组件高可用

在 Kubernetes 中,Controller Manager、Scheduler 等组件以及用户实现的 Controller,都是通过多副本的方式来实现高可用。但多副本 Controller 同时工作难免会引发所监听资源的竞争条件,所以通常多副本之间只有一个副本在工作。
2022/07/23 20:17 下午 posted in  Kubernetes

[译] 容器和 Kubernetes 中的退出码完整指南

当容器终止时,容器引擎使用退出码来报告容器终止的原因。如果您是 Kubernetes 用户,容器故障是 pod 异常最常见的原因之一,了解容器退出码可以帮助您在排查时找到 pod 故障的根本原因。
2022/07/18 17:01 下午 posted in  Kubernetes