使用 docker manifest 构建多平台镜像 介绍 Docker manifest 是一个非常有用的工具,可以帮助你管理多架构镜像和多标签镜像。Docker Manifest 是 Docker 引入的一种机制,用于管理针对不同架构(如 amd64、arm64)或不同操作系统(如 Linux、Windows)构建的多个镜像。通过 Manife…
Docker部署RabbitMQ开启SSL与SpringBoot连接测试 准备工作 在配置 RabbitMQ 的 SSL 之前,需要准备 CA 证书、服务器证书和密钥,以及客户端证书和密钥。 生成证书和密钥 使用 OpenSSL 来生成自签名证书和私钥。以下是一个完整的步骤示例: mkdir /tmp/ssl_rabbit && c…
利用docker sqlite 加载读取sqlite .db数据文件 前言 最近发现安全设备上很多服务都存在sqlite 的db数据文件,比如waf/青藤/深信服之类的agent都会存下来一份数据,因为这些都是外部或者第三方厂家负责,是否存在收集某些信息情况,就出于好奇想查看一下,比如/sf/edr/agent/xs_agent/var/data/…
nerdctl 基于 containerd 兼容 docker CLI 简介 nerdctl 是用于 containerd 的与 Docker兼容的 CLI。主要适用于 Docker转到 Containerd 的用户,操作 Containerd 的命令行工具 ctr 和 crictl 不怎么好用,所以出现了 nerdctl工具。 nerdctl 操…
docker、nerdctl、crictl和ctr命令对比 命令 docker crictl(k8s) ctr(containerd) nerdctl(containerd) 查看运行的容器 docker ps crictl ps ctr task ls/ctr container ls nerdctl ps 查看镜像 docker images …
docker build时遇到证书x509错误 前言 最近在一台虚拟机上构建容器镜像时候,意外出现tls: failed to verify certificate: x509: certificate signed by un known authoritwy错误,因为https证书为自签,但是奇怪点在于测试虚拟机docker已配置域名证书目录,…
利用cloudflare的worker服务搭建DockerHub镜像加速 前因 由于国内的docker镜像源(上海交通大学、中科大、网易、阿里)都关闭了,作为一个docker的重度用户,如果不能方便的拉取一些基础镜像将会大大影响后面的工作效率。反正支持国家政策,我就自己先临时解决吧 解决方案 选择合适的国内镜像源 参考一些大佬整理的仓库:https…
x86 or amd平台利用 qemu-user-static 实现 arm64 平台 docker 镜像的运行和构建 前言 因国产化趋势,新的信创环境CPU大部分使用ARM架构。因暂无arm环境,自己买 arm 平台的 CPU,这个成本着实吃不消,于是尝试 x86 平台运行 arm 平台的容器来降本增效。 关于 docker 版本 docker …
ZABBIX4.x监控容器部署的MySQL 根据zabbix4.x自带的mysql模版配置进行配置的 创建帐号 创建数据库帐号 CREATE USER 'zbx_monitor'@'%' IDENTIFIED BY 'passwd'; GRANT USAGE,REPLICATION CLIENT,PROCESS,SHOW DATABASES,SHO…
docker runc升级修复runc容器逃逸漏洞(CVE-2024-21626) 背景 2024年02月官方发布安全公告修复 runc 容器逃逸漏洞(CVE-2024- 21626),参考:https://github.com/opencontainers/runc/security/advisories/GHSA-xr7r-f8xq-vfvv …
iptables配置docker服务端口访问限制 服务器系统为 CentOS 7 PS:CentOS 7自带iptables,但不自带iptables-services。建议需要部署一下:yum install iptables-services 过程 遇到了一个需求,需要用iptables限制一个rabbitmq服务端口只能由指定的ip访问,安装…
Docker-x86平台Docker拉取arm镜像 前言 因最近都在信创环境各种验证,信创环境架构已经是arm的,但现实使用却是x86(amd)架构。 docker manifest简介 使用镜像创建一个容器,该镜像必须与 Docker 宿主机系统架构一致,例如x86_64 架构的系统中只能使用x86_64的镜像创建容器。 docker manif…
Docker镜像分析-Dive 前因 最近都在搞一些容器的安全分析。当涉及到 Docker 镜像的构建和管理时,需要了解镜像的内容以及分析其大小和层次结构。Dive 是一个开源的 Docker 镜像分析工具,它可以帮助你深入了解 Docker 镜像,识别可能的优化点,以及提高容器化应用的性能和安全性。Dive 是一个命令行工具,用于可视化分析 Do…
kube-prometheus 监控Redis 因为此次是使用K8s部署redis的,因此就采用边车模式(sidecar)新增一个redis-exporter监控容器,如果是集群外的redis,可以参考之前kube-prometheus监控 K8s集群外服务笔记。 操作步骤 部署单机版redis过程省略,此次是sidecar模式部署,redis-d…
Prometheus Node Exporter 配置访问认证 设置Basic Auth 使用 htpasswd 来生成 bcrypt 密码 hash,如果没有htpasswd命令请自行安装 #这里我只用它来生成了密码 hash , 没有传递用户名。 htpasswd -nBC 12 '' | tr -d ':\n' 创建一个yaml配置文件,如:…
kube-bench安全检测工具的部署和使用 前因 最近需要对容器镜像检测安排检测预研的工作,其中就涉及了kube-bench检测k8s集群的方面。 什么是kube-bench? Kube-Bench是一款针对Kubernete的安全检测工具,从本质上来说,Kube-Bench是一个基于Go开发的应用程序,它可以帮助研究人员对部署的Kubernet…
Nacos 2.2.3启动报错 Message Error creating bean with name ‘basicAuthenticationFilter‘ defined 问题 Nacos 2.2.3启动报错 Message: Error creating bean with name ‘basicAuthenticationFilter’…
Trivy容器漏洞扫描数据库更新 因为harbor内置了Trivy,而harbor环境是在内网,需要通过本地下载后才能进行更新,就记录一下步骤吧。 数据清单参考了官网文档:https://aquasecurity.github.io/trivy/v0.40/docs/vulnerability/db/ Trivy uses two types of…
harbor私有仓库admin密码重置 harbor私有仓库,默认密码Harbor12345,不及时修改会过期导致无法登录或者修改了不记得密码也一样。 解决问题 1.进入容器 docker exec -it harbor-db /bin/bash 2.连接数据库 psql -h postgresql -d postgres -U postgres …
之前一直想着把宝塔替换为1panel的可自己太懒没动力去折腾,但前两天上去宝塔控制台看了下,实在是太多广告了,虽说是免费白嫖别人的,但不至于那么多广告,以前一些功能不要钱的,一升级就是专业版才用的,那行,那我就换呗,天不转人转。 说说1panel 1Panel 是一个现代化、开源的 Linux 服务器运维管理面板。 产品优势 快速建站:深度集成 W…