Ray的博客

文章目录进程篇Namespace技术示例隔离与限制虚拟机与容器技术对比Linux Namespace的不足Cgroups技术容器镜像Mount Namespacechrootrootfs联合文件系统与增量rootfs-容器镜像的分层Docker exec运行原理Docker Volume机制的原理kubernetes的本质初探kubernete结构声明式API进程篇什么是“程序”，什么是“进程”？如要写一个计算加法的小程序，程序的输入来自一个文件，计算完成后的结果则输出到另一个文件中。磁盘上的数据加上

极客时间-47简介安全问题的唯一正解在于允许那些（导致安全问题的）Bug发生，但通过额外的隔离层来阻拦住它们。​ ——LinuxCon NA 2015, Linus Torvalds不论是gVisor还是Kata Container， 其实现的本质，是给进程分配一个独立的操作系统内核，从而避免让容器共享宿主机的内核。这样，容器进程能看到的攻击面，就从整个宿主机内核变成了一个极小的、独立的、以容器为单位的内核。从而有效解决了容器进程发生“逃逸”或者夺取整个宿主机的

最近一个影响许多Kubernetes CNI组件的漏洞被发现，这个漏洞通过让攻击pod发送假冒的IPv6 *“Router Advertisement”*数据包给主机工作节点，导致该节点将所有的IPv6网络流量路由到攻击pod(即“中间人攻击”)。幸运的是，对于Cilium的使用者，由于Cilium提供了许多内置默认的安全特性，其生产环境并没有受到该漏洞的影响。在这篇博文中，我们将讨论Cilium的默认特性是如何自动地防护常见类型的网络攻击的。在我们深入之前，先看看有关IPv4和IPv6的基础知识，以及它们

XDP原理介绍受到Bastion论文的启发，我们尝试基于XDP来实现同主机上两个容器之间的端到端转发。XDP全称为eXpress Data Path, 是一种内核网卡上的Rx-hook，支持在网卡驱动上执行用户编写的eBPF程序，优点包括：在接收到数据包之后能够立即对其进行处理；内核还没有为数据包分配skb缓存，开销低。补充：以下内容参考Veth XDP: XDP for containers网卡驱动需要做一些修改（加入hook点）才能支持XDP（Native XDP），它的缺点是需要选择支持XD

论文：《The eXpress Data Path: Fast Programmable Packet Processing in the Operating System kernel》大纲高速数据包处理的挑战XDP设计性能评估XDP应用总结高速数据包处理的挑战高速数据包处理How to drop 10 million packets per second解决方案kernel bypass: DPDK, 完全绕过内核协议栈，由专门的网络应用程序操作网络硬件，并为数据包处理任.

Docker入门文章目录Docker入门一、为什么要用Docker二、基本概念镜像容器仓库三、镜像加速四、Docker常用命令帮助命令镜像命令容器命令常用其他命令后台启动容器查看日志查看容器中的进程信息查看镜像的元数据进入当前正在运行的容器容器内文件拷贝到主机目录一些实践配置nginx配置tomcatcommit镜像五、总结六、参考一、为什么要用Docker容器不需要进行硬件虚拟以及运行完整操作系统等额外开销，Docker对系统资源的利用率更高，因此相比于传统的虚拟机技术，一个相同配置的主机能够运行

参考：xdp-tutorialbasic01主要介绍了如何编写简单的xdp程序以及通过libbpf库或者iproute2将xdp程序加载到内核并将内核代码挂载到指定的网络接口上。Simple XDP code：SEC("xdp")int xdp_prog_simple(struct xdp_md *ctx){ return XDP_PASS;}section本身的作用就是来自汇编中的声明，汇编每一段开头都有不同的声明，表示接下来这一段的内容是什么。如下图所示，BP.

通过代理服务器在两个TCP接连之间转发数据是一个非常常见的需求，然而这个代理服务器也是整条路径中的瓶颈之所在，代理服务器的七层转发行为极大地消耗着单机性能，所以通过代理服务器的七层转发优化，是一件必须要做的事情。*eBPF能否将代理程序的数据转发offload到内核呢？*如果可以做到，这就意味着这个offload可以达到和XDP offload相近的功效。在kubernetes环境下通过代理来执行L7策略代理（比如Envoy）执行额外的L7策略（Health checks, service disco

什么是BPF程序：BPF is a highly flexible and efficient virtual machine-like construct in the Linux kernel allowing to execute bytecode at various hook points in a safe manner.BPF程序 ----LLVM+Clang----> BPF字节码 ----JIT----> BPF指令集；BPF架构采用一种新的虚拟机设计，包含支持x8

论文：BASTION: A Security Enforcement Network Stack for Container Networks文章目录背景知识容器网络论文内容摘要引言背景和动机容器网络容器网络挑战假设和威胁模型容器网络接口插件的限制BASTION设计BASTION MANAGER容器信息收集BASTION网络栈管理Network Visibility ServiceDirect ARP HandlerInter-container Communication HandlerGatewa.

文章目录背景介绍**什么是容器？****容器与虚拟机有什么区别？****容器技术的不足有哪些？****已有的支持容器隔离的安全容器方案有哪些？**X-Container架构与实现**X-Container的架构是怎样的？****X-Container有哪些实现细节？**X-Container性能评估总结参考论文：《X-Containers: Breaking Down Barriers to Improve Performance and Isolation of Cloud-Native Contai