如果你还搞不懂 Docker In Docker（DinD） 模式下的资源管理， 不妨看看这篇文章 如果在 公众号 文章发现状态为 已更新， 建议点击 查看原文 查看最新内容。 状态: 未更新 原文链接: https://typonotes.com/posts/2023/04/04/docker-dind-mode-introduce/ 今天遇到了一个群友关于 Docker DinD 的问题。 有人熟悉docker in docker么 请教个问题, 我现在在docker-1里面挂载了……

阅读全文

云原生: 为开发朋友解答的 100 个问题 如果在 公众号 文章发现状态为 已更新， 建议点击 查看原文 查看最新内容。 状态: 未更新 原文链接: https://typonotes.com/posts/2023/03/22/docker-100-questions-for-developers/ 1. 镜像与服务 1.1. 容器内服务监听地址 0.0.0.0 用 0.0.0.0 是最省事的方法。 如果不嫌弃麻烦， 程序可以自己获取网卡地址 监听本地IP。 通常在开发的时候， 在本地调试喜欢用 127.0.0.1……

阅读全文

Docker 连夜发文称强制清理免费组织， 是收割还是真穷？ 如果在 公众号 文章发现状态为 已更新， 建议点击 查看原文 查看最新内容。 状态: 未更新 原文链接: https://typonotes.com/posts/2023/03/16/docker-sunset-free-team-organizations/ 2023年3月15日凌晨（真会选时间）， Docker 发布了一封邮件 Docker正在淘汰免费组织（Docker is sunsetting Free Team organizations）。 邮件中指出……

阅读全文

如果在国内使用docker, 大家一般会配置各种加速器, 我一般会配置阿里云或腾讯云，还算比较稳定。 /etc/docker/daemon.json 配置如下 1 2 3 4 5 6 7 8 { "registry-mirrors": [ "https://mirror.ccs.tencentyun.com", "https://wlzfs4t4.mirror.aliyuncs.com" ], "bip": "169.253.32.1/24", "data-root": "/data/docker/var/lib/docker" } 上述配置， 对 docker.io 的镜像加速效果很好， 但对 google 镜像的加速效果就很差了比如k8s相关的以gcr.io或quay.io开头的镜像地址。 这个时候可以……

阅读全文

静态前端网站容器化 在容器启动的时候，将环境信息初始化到静态文件中，实现无状态镜像。 现实与需求 js 代码需要先从服务器下载到客户本地浏览器运行， 再与后端的服务器进行交付提供服务。 使用 nodejs 书写的网站， 通过 编译 产生静态文件， 放在 WEB容器 (例如 nginx/caddy ) 中即可对外提供服务。 容器本身需要无状态， 实现……

阅读全文

学习 shell 反弹实现， 优化 Docker 基础镜像安全 天天都在说优化 Dockerfile。 到底怎么优化， 优化后的检验指标又是什么？ 没有考虑清楚行动目的， 隔空放炮， 必然徒劳无功。 笔者最近准备在 CI 上增加安全检测， 在分析案例样本的时候， 找到了比较流行的 struts2 漏洞， 其中 S2-052 远程代码执行漏洞 的利用方式就是在 POST 请求中……

阅读全文

harbor使用 s3v4 兼容模式的对象存储数据 harbor v2.0.0 测试通过 qingcloud qingstor 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 # The default data volume data_volume: /data # Harbor Storage settings by default is using /data dir on local filesystem # Uncomment storage_service setting If you want to using external storage # storage_service: # # ca_bundle is the path to the custom root ca certificate, which will be injected into the truststore # # of registry's and chart repository's containers. This is usually needed when the user hosts a internal storage with self signed certificate. # ca_bundle: #……

阅读全文

docker daemon.json 配置文件 daemon.json 配置方式 Linux: /etc/docker/daemon.json Windows Server: C:\ProgramData\docker\config\daemon.json Docker for Mac / Docker for Windows: Click the Docker icon in the toolbar, select Preferences, then select Daemon. Click Advanced. daemon.json 配置 镜像加速器 1 2 3 4 5 6 7 8 9 // 配置一个 { "registry-mirrors": ["https://registry.docker-cn.com"] } // 配置多个 { "registry-mirrors": ["https://registry.docker-cn.com","https://docker.mirrors.ustc.edu.cn"] } 镜像加速器常用值： docker-cn 官方 : https://registry.docker-cn.com 中科大 : https://docker.mirrors.ustc.edu.cn 日志 1 2 3 4 { "debug": true, "log-level": "info" } log-level 的有效值包括: debug, info, warn, error, fatal 监控 Prometheus https://docs.docker.com/engine/admin/prometheus/#configure-docker 1 2 3 4 { "metrics-addr" : "127.0.0.1:9323", "experimental" : true } 保持容器在线 https://docs.docker.com/engine/admin/live-restore/#enable-the-live-restore-option 当……

阅读全文

K8S下载 gcr.io 原生镜像 在国内是不能直接下载 gcr.io / k8s.gcr.io 等原生镜像的。 使用比较权威的三方源 aliyun , qcloud 将 gcr.io push 到 hub.docker.com 自建镜像代理 域名翻墙 域名翻墙 通过域名劫持，将目标地址直接解析到代理服务器上。 sniproxy 所有你需要的， 一个能直接访问 gcr.ip 的 https(443) 代理。 通过 sniproxy 实现。 通过 防火墙 , 安全组 限制访问来源。 1 2 # docker run -d --rm --network host --name sniproxy……

阅读全文

Docker multi-stage build Multi-stage 构建，最大的好处是 Docker 本身在构建过程中提供了一个缓存空间，将上一个 stage 的结果通过 COPY --from=<stage> 复制到下一个 stage。 这样就大大简化了镜像清理工作。 这里， docker 官方文档已经对 Multi-stage build 已经有详细说明了。 multi-stage 要求 docker version >= 17.05 举例 每一个 FROM 关键字都表示此处是一个 stage 对 stage 使用命令的关键字是 as ， 例如 FROM alpine:latest as initer 在引用……

阅读全文