Короткий и информативный гайд о том, как создавать минималистические и безопасные Docker images
#docker
FROM scratch
при помощи multistage builds на примере Go приложения.#docker
Medium
Create the smallest and secured golang docker image based on scratch
When we are building a docker Image, the first idea is using the default official image.
Утро начинается не с кофе (пора уже эту фразу превращать в рубрику)
В рантайме контейнеров runc, который стоит под ногами у Docker, containerd, cri-o, etc. найдена критическая уязвимость, позволяющая злоумышленнику подменять бинарник runc и таким образом получать root-доступ к хост-системе.
CVE-2019-5736
Патч уже выпущен, тестовый эксплойт будет доступен через неделю.
Это хорошее напоминание, почему неплохо гонять контейнеры на read-only ФС и использовать утилиты а-ля gVisor
P.S.: Для тех, кто не очень разбирается, что это за рантаймы контейнеров, но боится спросить; серия статей Ian Lewis, которая прекрасно раскрывает тему.
#containers #docker #security
В рантайме контейнеров runc, который стоит под ногами у Docker, containerd, cri-o, etc. найдена критическая уязвимость, позволяющая злоумышленнику подменять бинарник runc и таким образом получать root-доступ к хост-системе.
CVE-2019-5736
Патч уже выпущен, тестовый эксплойт будет доступен через неделю.
Это хорошее напоминание, почему неплохо гонять контейнеры на read-only ФС и использовать утилиты а-ля gVisor
P.S.: Для тех, кто не очень разбирается, что это за рантаймы контейнеров, но боится спросить; серия статей Ian Lewis, которая прекрасно раскрывает тему.
#containers #docker #security
GitHub
Release 18.06.2-ce · docker/docker-ce
Changelog
For more information on the list of deprecated flags and APIs, have a look at
https://docs.docker.com/engine/deprecated/ where you can find the target removal dates
18.06.2-ce (2019-02-11...
For more information on the list of deprecated flags and APIs, have a look at
https://docs.docker.com/engine/deprecated/ where you can find the target removal dates
18.06.2-ce (2019-02-11...
"Безрутовый" Docker в версии 19.03
Docker планируют добавить поддержку "безрутового" демона в экспериментальном режиме (уже доступен в ночных сборках). Безрутовый докер демон запускается от непривелигированного пользователя, но имеет ряд ограничений:
- cgroups, apparmor, overlay n/w и другие вещи, требующие привелигированного доступа не работают
- порты пробрасываются костылями
- пока что поддерживаются только образы на основе Ubuntu
#containers #docker
Docker планируют добавить поддержку "безрутового" демона в экспериментальном режиме (уже доступен в ночных сборках). Безрутовый докер демон запускается от непривелигированного пользователя, но имеет ряд ограничений:
- cgroups, apparmor, overlay n/w и другие вещи, требующие привелигированного доступа не работают
- порты пробрасываются костылями
- пока что поддерживаются только образы на основе Ubuntu
#containers #docker
Packt Hub
Docker 19.03 introduces an experimental rootless Docker mode | Packt Hub
Rootless Docker will help reduce the security footprint of the daemon and expose Docker capabilities to systems where users cannot gain root privileges
Dive - утилита для анализа сборки Docker образов.
Позволяет анализировать сборку слоёв и смотреть, что меняется в каждом из них.
Создана для оптимизации размера образов.
#containers #docker
Позволяет анализировать сборку слоёв и смотреть, что меняется в каждом из них.
Создана для оптимизации размера образов.
#containers #docker
GitHub
GitHub - wagoodman/dive: A tool for exploring each layer in a docker image
A tool for exploring each layer in a docker image. Contribute to wagoodman/dive development by creating an account on GitHub.
Товарищ написал тулзу GORT (GO-run-things) для запуска скриптов внутри контейнера по API запросу.
Принцип работы прост: вы говорите, какой скрипт запустить с какими параметрами и тулзовина его дёргает.
Удобно для ad-hoc задач внутри контейнера, который уже запущен.
#toolz #docker
Принцип работы прост: вы говорите, какой скрипт запустить с какими параметрами и тулзовина его дёргает.
Удобно для ad-hoc задач внутри контейнера, который уже запущен.
#toolz #docker
GitHub
GitHub - idestis/gort: Simple HTTP handler to receive remote calls to run scripts bundled in Docker containers
Simple HTTP handler to receive remote calls to run scripts bundled in Docker containers - GitHub - idestis/gort: Simple HTTP handler to receive remote calls to run scripts bundled in Docker containers
В свете последних событий с покупкой Mirantis Docker Enterprise, предлагаю вам историю в двух частях от Scott McCarty - Technical product manager в RedHat - про отношение OpenShift 4 и RHEL 8 к Docker. Рекомендую начать со второй.
- Часть I: Поддерживается ли Docker в OpenShift 4 и RHEL 8?
- Часть II: Почему Docker нет в OpenShift 4 и RHEL 8?
#docker #containers #kubernetes
- Часть I: Поддерживается ли Docker в OpenShift 4 и RHEL 8?
- Часть II: Почему Docker нет в OpenShift 4 и RHEL 8?
#docker #containers #kubernetes
Mirantis
Mirantis Acquires Docker Enterprise Platform Business | Mirantis
Industry-leading Docker Enterprise container platform complements existing Kubernetes technology from Mirantis Campbell, Calif - November 13, 2019 - | Mirantis
Docker is introducing a container image retention policy
TL;DR: Images not pushed or pulled more than 6 month in Free accounts will be deleted.
Policy will be enforced starting November 1, 2020 and apply to the following plans:
- Free plans will have a 6 month image retention limit
- Pro and Team plans will have unlimited image retention
#docker
TL;DR: Images not pushed or pulled more than 6 month in Free accounts will be deleted.
Policy will be enforced starting November 1, 2020 and apply to the following plans:
- Free plans will have a 6 month image retention limit
- Pro and Team plans will have unlimited image retention
#docker
Docker пытаются как-то монетизироваться. В своём блоге они объявили, что вводят рейт-лимит на pull операции из Docker hub
Многие уже успели раскритиковать это решение, как с точки зрения технической реализации, так и с точки зрения UX.
Ну что тут сказать: кешируйте публичные образы в своих хранилищах
#docker
Многие уже успели раскритиковать это решение, как с точки зрения технической реализации, так и с точки зрения UX.
Ну что тут сказать: кешируйте публичные образы в своих хранилищах
#docker