kubernetes高级之创建只读文件系统以及只读asp.net core容器

使用docker创建只读文件系统

容器化部署对应用的运维带来了极大的方便,同时也带来一些新的安全问题需要考虑.比如黑客入侵到容器内,对容器内的系统级别或者应用级别文件进行修改,会造成难以估量的损失.(比如修改hosts文件导致dns解析异常,修改web资源导致网站被嵌入广告,后端逻辑被更改导致权限验证失效等,由于是分布式部署,哪些容器内的资源被修改也很难以发现).解决这个问题的办法就是创建创建一个具有只读文件系统的容器.下面介绍使用docker run命令和docker compose来创建具有只读文件系统的容器.

使用docker run命令创建只读文件系统

比如说要创建一个只读文件系统的redis容器,可以执行以下命令

docker run --read-only redis

docker compose/swarm创建只读文件系统

yaml编排文件示例如下

version: '3.3' services:  redis:    image: redis:4.0.1-alpine    networks:      - myoverlay    read_only: truenetworks:  myoverlay:

问题:创建只读文件系统看起来很不错,但是实际上往往会有各种各样的问题,比如很多应用要写temp文件或者写日志文件,如果对这样的应用创建只读容器则很可能导致应用无法正常启动.对于需要往固定位置写入日志或者临时文件的应用,可以挂载宿主机的存储卷,虽然容器是只读的,但是挂载的盘仍然是可读写的.

创建只读的asp.net core容器

上面一节我们讲到了创建容器只读文件系统以增加安全性,以及如何解决需要写入日志文件或者临时文件这样常见的问题.我们尝试创建一个只读的asp.net应用时,即便不使用任何log组件(即不写入日志),仍然无法正常启动镜像.解决这个问题其实也非常简单,只需要把环境变量COMPlus_EnableDiagnostics的值设置为0即可.

FROM microsoft/dotnet:2.2-aspnetcore-runtime AS baseWORKDIR /appEXPOSE 52193FROM microsoft/dotnet:2.2-sdk AS buildWORKDIR /srcCOPY . .WORKDIR "/src"RUN dotnet build "ReadOnlyTest.csproj" -c Release -o /appFROM build AS publishRUN dotnet publish "ReadOnlyTest.csproj" -c Release -o /appFROM base AS finalWORKDIR /appENV DOTNET_RUNNING_IN_CONTAINER=trueENV DOTNET_CLI_TELEMETRY_OPTOUT=1ENV COMPlus_EnableDiagnostics=0COPY --from=publish /app .ENTRYPOINT ["dotnet", "ReadOnlyTest.dll"]

我们对这些环境变量进行简单介绍

  • DOTNET_RUNNING_IN_CONTAINER值设置为true时则表示应用运行在容器内,方便我们获取程序的运行环境,然后根据环境做出不同决策(比如单元测试的时候,可能要根据项目是运行在windows,linux或者linux容器做出不同的测试策略).当然,你也可以设置其它的环境变量来方便自己使用,比如你键名称设置为IsRunningInDocker,但是DOTNET_RUNNING_IN_CONTAINER

  • DOTNET_CLI_TELEMETRY_OPTOUT是否输出遥测信息,如果设置为1则是关闭,这样dotnet.exe就不会向调试窗口输出遥测信息.

  • COMPlus_EnableDiagnostics目前没有找到太多关于这个参数的详细信息,只是查阅资源发现这开启这项配置可以创建只读权限 aspnet 应用程序.

微软官方基础镜像里还包含一项名称叫作ASPNETCORE_VERSION的环境变量,我们可以直接读取它,这样使用公共的环境变量一来避免息手动设置和更新的麻烦,二来便于和社区交流(自己定义约束的只能用于内部团队交流)

我们如何使用这些环境变量呢,其它可以在程序里面暴露一个helper方法,比如

这样我们就可以根据实际的需求来使用它.
上面我们介绍了如何使用docker run命令以及docker-compose创建只读文件系统.然而在kubernetes集群里,我们需要使用k8s的编排方法来创建只读文件系统.那么在k8s里如何创建只读文件系统.其实这里涉及到了另一个高级主题:那就是k8s的安全策略(Pod Security Policies)我们将在下一节介绍它.
原文地址:https://www.cnblogs.com/tylerzhou/p/11075201.html













本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/315311.shtml


如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!











相关文章










2020牛客多校第1场I-1 or 2一般图最大匹配带花树








2020牛客多校第1场I-1 or 2一般图最大匹配带花树




链接:https://ac.nowcoder.com/acm/contest/5666/I Bobo has a graph with n vertices and m edges where the i-th edge is between the vertices ai​ and bi​. Find out whether is possible for him to choose some of the edges such that the i-th vertex is…




阅读更多...

















Codeforces Round #609 (Div. 2) D. Domino for Young  黑白染色








Codeforces Round #609 (Div. 2) D. Domino for Young  黑白染色




传送门 文章目录题意:思路:题意: 
给你个不规则的网络格子,有nnn列,每列有aia_iai​个格子,让你将121212的多米诺骨牌无重叠的放进去,问最多能放多少个。 
思路: 
首先如果点数小的话…




阅读更多...

















点分治入门








点分治入门




点分治就是树上的分治,也就是处理把分治强行搬到树上的毒瘤问题。 
算法流程 
引入:[国家集训队]聪聪可可 (各大OJ搜索即可) 
题意:给一棵树,随机选两个点(可以相同),求距…




阅读更多...

















P2495 [SDOI2011]消耗战-虚树+树形dp








P2495 [SDOI2011]消耗战-虚树+树形dp




https://www.luogu.com.cn/problem/P2495 
虚树:当我们在解决树形dp的问题的时候,题目中会给出一些询问,询问涉及的关键节点不多,并保证总的点数规模的时候,我们就可以使用虚数,如果每次询问都对整个树进行…




阅读更多...

















DDD中的聚合和UML中的聚合以及组合的关系








DDD中的聚合和UML中的聚合以及组合的关系




UML:聚合关系:成员对象是整体的一部分,但是成员对象可以脱离整体对象独立存在。如汽车(Car)与引擎(Engine)、轮胎(Wheel)、车灯(Light)之间的关系…




阅读更多...

















Network 黑暗爆炸 - 3732  倍增lca || Kruskal重构树








Network 黑暗爆炸 - 3732  倍增lca || Kruskal重构树




传送门 文章目录题意:思路:题意: 思路: 
两点间最长边最小值一定是最小生成树上两点间的最大值,这个比较容易证,就不多说了。 知道这个结论后, 我们直接跑一个KruskalKruskalKruskal建树&#x…




阅读更多...

















Manacher入门








Manacher入门




写在前面 manachermanachermanacher比想象中好理解得多 
至少它给了我学习字符串的信心 
能干啥 manachermanachermanacher,中文马拉车(您别说,这名字还挺形象),主要用于计算字符串每一个位置为对称中心的回文串长度&a…




阅读更多...

















HDU.6761.Minimum Index(Lyndon分解)








HDU.6761.Minimum Index(Lyndon分解)




题目大意:给一个字符串,求字符串的所有前缀的最小后缀; 
思路:主要还是要理解Lyndon串的算法的整一个过程 参考:搬运来自 
#include <iostream>
#include <cstdio>
#include <fstream>
#include <…




阅读更多...

















C#规范整理·异常与自定义异常








C#规范整理·异常与自定义异常




这里会列举在C#中处理CLR异常方面的规范&#xff0c;帮助大家构建和开发一个运行良好和可靠的应用系统。前言迄今为止&#xff0c;CLR异常机制让人关注最多的一点就是“效率”问题。其实&#xff0c;这里存在认识上的误区&#xff0c;因为正常控制流程下的代码运行并不会出现问…




阅读更多...

















Codeforces Round #619 (Div. 2) D. Time to Run  矩阵回路构造








Codeforces Round #619 (Div. 2) D. Time to Run  矩阵回路构造




传送门 文章目录题意&#xff1a;思路&#xff1a;题意&#xff1a; 
给你一个n∗mn*mn∗m的矩阵&#xff0c;每两个相邻点之间有个双向边&#xff0c;问你能不能走满kkk步&#xff0c;每一步走的边不同&#xff0c;但是点可以相同&#xff0c;换句话说就是走的边不能再走了。输…




阅读更多...

















HDU - 6756 Finding a MEX-分块思想








HDU - 6756 Finding a MEX-分块思想




https://vjudge.net/problem/HDU-6756 
题目大意&#xff1a;给你一个无向图&#xff0c;每个点有权值a&#xff0c;将f&#xff08;u&#xff09;定义为对u的邻居的集合求mex&#xff1b; 
有两个操作&#xff1a; 
1&#xff1a;将u的权值修改为x 
2&#xff1a;查询f&#x…




阅读更多...

















中高级数论 [欧拉函数线性筛,二次剩余]








中高级数论 [欧拉函数线性筛,二次剩余]




欧拉函数线性筛 
对于素数ppp, φ(p∗i){p−1i1p∗φ(i)p∣i(p−1)∗φ(i)p∤i\varphi (p*i) \begin{cases} p-1& i1\\ p*\varphi(i)& p \mid i\\ (p-1)*\varphi(i) & p \nmid i \end{cases}φ(p∗i)⎩⎪⎨⎪⎧​p−1p∗φ(i)(p−1)∗φ(i)​i1p∣ip∤i​ 
证明&am…




阅读更多...

















C#中await/async闲说








C#中await/async闲说




自从C#5.0增加异步编程之后&#xff0c;异步编程越来越简单&#xff0c;async和await用的地方越来越多&#xff0c;越来越好用&#xff0c;只要用异步的地方都是一连串的异步&#xff0c;如果想要异步编程的时候&#xff0c;需要从底层开始编写&#xff0c;这样后边使用的时候就…




阅读更多...

















Codeforces Round #619 (Div. 2)  E. Nanosoft  思维 + 二维前缀和








Codeforces Round #619 (Div. 2)  E. Nanosoft  思维 + 二维前缀和




传送门 文章目录题意&#xff1a;思路&#xff1a;题意&#xff1a; 思路&#xff1a; 
考虑到最大面积是由四种颜色构成的&#xff0c;且四种颜色可以从中心扩展出去&#xff0c;所以我们分别维护四种颜色的二维前缀和&#xff0c;O(1)O(1)O(1)计算矩阵内颜色的个数。现在我们…




阅读更多...

















CF 613D - Kindom and its Cities-虚树








CF 613D - Kindom and its Cities-虚树




https://codeforces.com/problemset/problem/613/D 
题目大意&#xff1a;有n个点&#xff0c;每次询问要最少移除多少个点使得关键点分隔 
思路&#xff1a;首先&#xff0c;如果关键点是相连的话&#xff0c;那么一定是不行的。 
然后因为询问的总节点数不多&#xff0c;可以…




阅读更多...

















FFT:从入门到沉迷








FFT:从入门到沉迷




终于学会了FFTFFTFFT并无法自拔 
啥是FFT FFTFFTFFT指快速傅里叶变换 
在OIOIOI中的应用是O(nlogn)O(nlogn)O(nlogn)计算函数卷积 
人话&#xff1a;多项式乘法 
多项式毒瘤模板题的万恶之源 
系数表达式与点值表达式 
系数表达式就是平常的表示方法 f(x)∑i0naixif(x)\sum_{i0…




阅读更多...

















HDU - 6769-In Search of Gold-二分+树形dp








HDU - 6769-In Search of Gold-二分+树形dp




https://vjudge.net/problem/HDU-6769 
题目大意&#xff1a;给你n个点&#xff0c;有n-1条边&#xff0c;每条边有a&#xff0c;b两个权值&#xff0c;给你一个k&#xff0c;恰好有k条边的权值取a&#xff0c;其余取b的时候&#xff0c;树的直径的最小值。 
思路&#xff1a;答…




阅读更多...

















Codeforces Round #701 (Div. 2)  E. Move and Swap 思维 + dp








Codeforces Round #701 (Div. 2)  E. Move and Swap 思维 + dp




传送门 文章目录题意&#xff1a;思路&#xff1a;题意&#xff1a; 思路&#xff1a; 
由于是按层来的&#xff0c;所以我们肯定先按照层来分组。 定义dp[i]dp[i]dp[i]为红棋在位置iii的时候的最大得分和。 先考虑不换的情况&#xff0c;我们对于每个点都从他的父节点转移过来…




阅读更多...

















用 docker-compose 启动 WebApi 和 SQL Server








用 docker-compose 启动 WebApi 和 SQL Server




本系列文章所要做出的演示架构基于 .NET Core Web Api、MSSQL、Skywalking 和 nginx &#xff0c;这些都会通过docker-compose一键创建/启动容器&#xff0c;然后用 Azure DevOps 发布上线。所以本系列文章重点并不是如何写好.NET Core&#xff0c;而是围绕着 .NET Core 的容器…




阅读更多...

















OI群论:从入门到自闭








OI群论:从入门到自闭




怎么这么多阅读啊…… 
这篇文章是群论&#xff08;其实只有Polya&#xff09;在信息学奥赛中计数的运用&#xff0c;并不是群论的讲义…… 群论可以说是数学中最高深的内容&#xff0c;一个oier去深入了解是不现实的。因此&#xff0c;我们只需要知道结论。 
本文主要讲解群论…




阅读更多...


















最新文章


















Copyright @ 2022~2023