很多人没有意识Docker隔离性差，刚刚我就把主机干崩了

Docker的隔离性其实很差，容器之间是共享主机内核。早先的时候比较经典就是fork炸弹，非常简单，只需要在一个容器里面不停的fork子进程，就可以耗尽PID，导致主机上面无法启动新的进程了。后来Docker提供了max-pid后，这个问题得到了修复。

今天心血来潮想测试一个fd 的demo，因为fd 默认也是没有限制的，那如果耗尽fd，将会出现啥都干不了的情况。

# docker run --rm -it busybox sh
/ #
/ # f(){ f|f& };f
/ #

代码简单至极，我的docker版本已经很新了: 20.10.2。内核版本是 4.18 。执行命令后会发现啥也操作不了了。不仅如此，整个主机都无法执行任何操作了。

. . .

只能关机重启机器。

这就解释了为啥公有云多租环境里面没法直接使用Docker，除了频繁爆出的CVE漏洞，本身在设计上使用namespace技术，无法做到彻底的隔离。

展开阅读全文

页面更新：2024-04-27

标签：主机早先不仅如此心血来潮内核炸弹容器漏洞频繁进程命令意识机器版本情况简单科技

1 2 3 4 5

k8s RBAC 一个角色绑定多个namespace

k8s中的角色有两种角色 Role和ClusterRole，其中Role是namespace基本，肯定不可以跨namespace，而ClusterRole是没有namespace限制的，即便在ClusterRole定义的时候指定了namespace也会被忽略。我们首先在default空间下面创建

k8s存储卷在线扩容

在k8s中经常会遇到挂载存储容量满了的情况，之前的方案是需要用户解挂存储，线下扩容后再重新挂载回来，那么这将导致服务的中断。在k8s 1.16以后，存储扩容（resize）进入了beta阶段，已经可以在生产环境使用了。整个扩容的过程如

为啥k8s Nodeport需要做SNAT

k8s nodeport是k8s提供的对外负载均衡，他会在每个Node上面监听一个端口，如果有流量访问的这个端口，则会被转发到Service后端Endpoint中。但这里有个小细节：如果Pod并非在本Node上，那么Nodeport就需要把流量转发其它Node上

k8s CSI 存储适配器

我们先梳理一下k8s挂载存储整个过程，当用户创建一个PVC的时候，如果配置了storageclass，那么会storageclass会创建一个pv绑定到pvc，创建pv本质上就是调用存储插件（plugin）去创建存储，譬如调用阿里云的接口创建一个块存储。等

k8s三大适配器：CRI CSI CNI

之前和大家分享过k8s整体架构，k8s本身还是专注于容器的编排和调度，但针对容器依赖的存储和网络都只定义一套规范，具体实现交给第三方厂商或者开源项目去实现。早期的k8s里面只有docker管理，所以可以直接将docker增删改查

TCP漫谈之为啥需要timewait状态

TCP的状态转化如下图所示，其中time_awit状态是CLOSED之前的一个状态，等待2个MSL时间。为什么需要time_awit状态呢？为什么不直接进入closed状态呢？直接进入closed状态不就能更快地释放资源给新的连接使用了吗？而是需要2MSL（l

k8s CNI网络适配器

k8s的网络约束非常宽泛：节点上的 Pod 可以不通过 NAT 和其他任何节点上的 Pod 通信并且节点上的服务可以直接和Pod通信。也就说是网络插件只要能实现这个功能就可以符合K8s的网络规范，作为k8s容器网络。很多小伙伴经常

边缘计算与云计算

云计算主要是解决集中式、海量的数据存储和运算问题。云厂商会在全球建立多个Region，每个Region又有多个可用区组成。在大数据爆发的今天，所有数据都发送到数据中心集中处理然后再反馈客户端的话，网络成为最大的瓶颈。

容器运行时两大江湖流派

在容器领域有两个主要流派：共享内核和独享内核。其中Docker就是共享内核的代码，一个宿主上面的docker容器共享同一个内核。通过namespace、cgroup隔离每个容器的，这样做的优点是资源开销少，启动速度快。但缺点也非常明显，

云计算真的是新瓶装旧酒吗

时间回到十几年前，2010年IT领袖峰会，李彦宏表示云计算其实就是新瓶装旧酒，没有新东西。从早先客户端与服务器的关系，到后来基于互联网的Web界面服务，再到云计算，本质上都是一样的。但云计算的本质真的是”新瓶装旧酒“吗？云

k8s CRI容器适配器

早期k8s中容器只有Docker，通过一个dockershim去调用dockerd的接口，执行容器的增删改查的动作。但容器技术一直发展后来又出现了rkt容器，一个rkt容器就是一个Pod和Docker的使用方式有很大差异，导致无法复用dockershim的代

kata Container 2.0 更快更安全

kata目前已经成为公有云多租容器的首选方案，国内的阿里云和腾讯云和华为云都使用了kata容器。在2.0做很多的优化，总结起来就是便的更快和更安全了。更快Rust重新agent，之前agent使用go语言编写。Rust在内存控制方面要明

k8s中网络Connection Reset故障分析

在k8s生成环境中偶尔会出现Connection Reset的现象，如果直接在容器内部访问服务端，没有问题，可以确定故障本身和服务端没有关系，应该是出现在转发的地方。在新版本（ipvs）、老版本（iptables）中都出现过这个坑。iptables+conntr

三星Galaxy新品发布会5款新产品一览

Galaxy Note 20 系列的设计变化以及你想知道的一切

三星的Galaxy Note 20是今年的三星旗舰高端机，他们带来了令人惊讶的设计，强悍的配置，以及吓人的价格。三星的 Galaxy Note 20 Ultra 5G拥有非常时尚的轮廓，特别是其神秘古铜色相当抢眼，后置凸起的相机模块尽显张扬，当然，作为

上滑加载更多 ↓

很多人没有意识Docker隔离性差，刚刚我就把主机干崩了

k8s RBAC 一个角色绑定多个namespace

k8s存储卷在线扩容

为啥k8s Nodeport需要做SNAT

k8s CSI 存储适配器

k8s三大适配器：CRI CSI CNI

TCP漫谈之为啥需要timewait状态

k8s CNI网络适配器

边缘计算与云计算

容器运行时两大江湖流派

云计算真的是新瓶装旧酒吗

k8s CRI容器适配器

kata Container 2.0 更快更安全

k8s中网络Connection Reset故障分析

三星Galaxy新品发布会5款新产品一览

Galaxy Note 20 系列的设计变化以及你想知道的一切

容器运行时两大江湖流派

k8s CRI容器适配器

特朗普签署行政命令禁止 Tiktok，微信，除非我们公司购买

由于高通芯片的漏洞，全球 40% 的 Android 手机面临黑客

为啥Java应用迁移到容器后会出现OOM？

Docker内核技术原理（二）之PID Namespace

Docker内核技术原理（一）之namespace概述

docker exec无法进入容器，咋办？

k8s为啥引入一个Pause容器

Linux经典面试题：网卡接收数据后，经过几次拷贝才能到用