ref: https://blog.sigstore.dev/verify-oci-container-image-signatures-in-kubernetes-33663a9ec7d8
本篇文章要探討的也是跟 security 有關的一個概念,一樣也是基於 Software Supple Chain 這個概念去探討到底環境中用到的相關軟體是否都是安全且被信任的。
本文章分享的是一個基於 Kubernetes Admission Controller 實作的解決方案 Connaisseur,該解決方案的概念很簡單
1. 透過 Admission Controller 去監聽系統上所有 Container 的部署請求
2. 如果部署的 Container Image 是符合事先設定規則的,則允予通過
3. 如果不符合,該次部署就直接失敗
所謂的規則比較簡易的說法就是簽章,只有包含了可信賴簽章的 Container Image 才會被 Connaisseur 給允許通過
有了這個基本概念之後,下一個問題則是到底什麼是可信賴簽章?以及要如何讓想要使用的 Container Image 獲得一個可信賴的簽章?
文章內介紹了關於 Container Signatures 的一些演變,包含了 Docker Content Trust, Notary(V1) 以及 The Update Framework 早期的使用方式
到後來因為 OCI(Open Container Initiative) 的發展與調整,目前可以直接於 OCI Image Spec 一同夾帶該 Image 相關的簽章。
這意味者任何支援該 OCI 標準的 Container Registry 不但可以存放該 Container Image 同時也可以存放該 Image 的簽章。
這個使用方式的變更也促使了 Notary 這個開源專案(v2)的演進。
與此同時, Linux 基金會底下的 Sigstore 專案也再努力地針對開源專案的簽章方面努力著,期望能夠透過簽署與驗證功能來提升開源專案簽署方面的應用。
Sigstore 專案底下的 Cosign 小專案則是專門處理 OCI Image 相關的簽章事項,包含簽署,儲存以及驗證。
而本文所開頭所提及的 Connaisseur 專案則是可以基於 Cosign 所簽署的內容去進行驗證,透過兩者的配合可以用來確保部署到 Kubernetes 的所有 Image 都需要被 Cosign 給簽署過
作者特別強調,目前 Sigsotre 以及 Cosign 這些專案都還是屬於開發階段,所以 Connaisseur 本身對於這項功能的整合也是屬於一個開發實驗階段,很多東西都會不穩定
隨者資安意識以及相關事件 Solarwinds hack 等的出現,當各團隊基本的 DevOps, CI/CD 文化與流程都逐漸成型後, DevSecOps 的東西就會是下一個各團隊要開始煩惱的地方了
特別是所謂的 Software Supply Chain 上的各種潛在危險。
「docker for linux」的推薦目錄:
- 關於docker for linux 在 矽谷牛的耕田筆記 Facebook 的精選貼文
- 關於docker for linux 在 OSSLab Geek Lab Facebook 的最佳解答
- 關於docker for linux 在 矽谷牛的耕田筆記 Facebook 的最佳貼文
- 關於docker for linux 在 Docker for Linux - GitHub 的評價
- 關於docker for linux 在 Docker on Linux - AirSim - Microsoft Open Source 的評價
- 關於docker for linux 在 docker installation failed on Ubuntu 20.04 LTS(Vmware) 的評價
docker for linux 在 OSSLab Geek Lab Facebook 的最佳解答
在Apple M1測試 Docker 安裝 開源ERP odoo心得
第一先裝了這個 M1 docker 預覽版
https://docs.docker.com/docker-for-mac/apple-m1/
裝好後照軟體下指令
就先裝好了 Docker Developer Preview for M1
參考 https://hub.docker.com/_/odoo
安裝odoo 14 docker
docker pull odoo --platform linux/amd64
(正常x86不用加 --platform linux/amd64)
docker run -d -e POSTGRES_USER=odoo -e POSTGRES_PASSWORD=odoo -e POSTGRES_DB=postgres --name db postgres:10
docker run -p 8069:8069 --name odoo --link db:db -t odoo
打開本機browser 8069 就可以跑odoo了
說真的 docker團隊還願意讓docker 從 HyperKit 換到macOS Big Sur的API Framework Virtualization.
所以可以跑x86 image 容器.但M1都有不少效能折損了
假設換成raspberry pi開發板,就只能限定用arm image(這樣限制不少)
所以必備一台x86 小電腦應用於docker 是很有用的.
https://osslab.tv/shop/acute_angle_mini_pc/
docker for linux 在 矽谷牛的耕田筆記 Facebook 的最佳貼文
本篇不是一個技術文章,而是一個 DevOps 招募主管的經驗談,隨者 DevOps 需求提升,愈來愈多人開始轉往這個方向。對於作者來說,要如何從茫茫大海中挑到正確的人選其實並不容易。
作者的公司會對所有的招募人員有個第一次的技術訪談,該技術訪談著重的都是一些基本技能,是一些第一天上工可能會用到的知識與能力,譬如 TCP/IP 網路概念, Linux 工具使用,儲存相關概念等。然而另作者感到灰心的是,很多人的履歷寫得洋洋灑灑非常厲害,什麼東西都有碰過都會,但是實際上去問對方該技術是什麼該技術什麼怎麼做,都沒有辦法準確有信心的回答,這樣反而會讓面試官覺得該履歷是個打腫臉充胖子的行為。
因此本文後續作者就整理了一些關於 DevOps 面試的心得與經驗,譬如說
1. 不要造假履歷,履歷上面寫的東西都要能夠精準回答到基本等級,不論是程式語言或是 docker/kubernetes,只要敢寫上去,就要有信心去回答這些問題。
2. 對於所面試職位所需要的技能要真的會,舉例來說面試一個要使用 PostgresQL 的職位,結果連該技術都沒有用過,這樣其實真的會浪費彼此時間
3. 誠實面對所有問題,不知道的問題就勇敢的說不知道,瞎扯淡什麼太多的其實面試官都知道。
原文中還有不少段落,這邊就不一一列出,但是我認為本文真的算滿忠肯的,畢竟現在 CNCF 生態系這麼龐大,很多時候沒有一個扎實的基本功是很難快速地去學習不同領域的技術並且將其整合再一起,更不用說當遇到問題時,該如何除錯了。
https://lukeshaughnessy.medium.com/im-a-devops-hiring-manager-here-s-how-to-crack-my-technical-interviews-part-1-b53885e08655
docker for linux 在 Docker on Linux - AirSim - Microsoft Open Source 的推薦與評價
AirSim on Docker in Linux#. We've two options for docker. You can either build an image for running airsim linux binaries, or for compiling Unreal Engine + ... ... <看更多>
docker for linux 在 Docker for Linux - GitHub 的推薦與評價
"Docker CE for Linux" is specialized packages for common Linux distributions which are free to download. Documentation. If you don't understand something about ... ... <看更多>