太公_个人页

如何阅读代码

Linux高性能服务器设计

C10K和C10M 计算机领域的很多技术都是需求推动的，上世纪90年代，由于互联网的飞速发展，网络服务器无法支撑快速增长的用户规模。1999年，Dan Kegel提出了著名的C10问题：一台服务器上同时处理10000个客户网络连接。

Kubernetes NetworkPolicy：打造更安全的容器运行环境

传统上，通常使用防火墙实现网络层的访问控制，比如iptables rule，部署应用之后，通过iptables设置运行的ip白名单。在使用Kubernetes之后，由于Pod是动态分配到机器上，而且在运行过程中随时可能迁移到其他机器，显然不适合继续使用手工配置iptables的方式。

阿里云Kubernetes稳定性最佳实践

Kubernetes很酷，让我们的机器的资源利用率和运维效率都得到了提升。然而，要想用好Kubernetes，还是有些东西要注意的，否则可能会给自己带来一些小麻烦。在生产环境里，如何保证我们的应用能稳定可靠的运行在Kubernetes里呢？这篇文章将分享在阿里云容器服务上使用Kubernetes的一些有用的tips。

阿里云VPC下Kubernetes的网络地址段

kubernetes地址段划分 在阿里云上创建Kubernetes就能的时候，通常可以选择自动创建专有网络，完全不用操心地址分配的问题。然后事情并非总是真么简单，某些情况下，还是得自己规划ECS地址、Kubernetes Pod地址和Service地址。

容器服务安全组快速指南

提高容器服务的安全性

Docker containerd summit

美国西部时间2月23号，Docker举办了名为“containerd summit”的技术交流会议。邀请容器生态伙伴和containerd developer一起深度讨论containerd的设计、后续规划以及和其他系统的集成。

Docker日志收集新方案：log-pilot

今天，我们将隆重介绍一款新的docker日志收集工具：fluentd-pilot。你可以在每台机器上部署一个fluentd-pilot实例，就可以收集机器上所有Docker应用日志。fluentd-pilot具有如下特性 一个单独fluentd进程，收集机器上所有容器的日志。

脏牛（Dirty Cow）快速指南

快速了解脏牛漏洞

容器服务中使用ELK

容器服务中使用ELK 日志是IT系统的重要组成部分，记录了系统在什么时候发生了什么事情。我们可以根据日志排查系统故障，也可以做统计分析。通常日志存放在本机的日志文件里，需要查看日志的时候，登录到机器上，用grep等工具过滤关键字。但是当应用要部署在多台机器上的时候，这种方式查看日志就很不方便了，为

Docker的Pull Digest和Image ID

DockerCon 2016 深度解读: Docker安全

前端时间在乌云上出现了一篇很火的文章，从网上可以扫描到很多暴露控制端口到公网的Docker，并且没有配置认证策略，攻击者可以直接通过Docker Remote API控制Docker，而Docker通常又是用root权限启动的，所以攻击者等于完全获取的整个系统的权限。这件事...

所谓的"新姿势之Docker Remote API未授权访问漏洞分析和利用"

最近乌云上出现了一篇文章 http://drops.wooyun.org/papers/15892。这种作者就一个好，写文章比谁都快，可惜从来不愿意踏踏实实的分析，非得搞个大新闻，把Docker/Swarm批判一番。 先说结论，Docker采用C/S结构，但是它的client和server用的是同

学习Docker的User Namespace

本文假设你已经了解了Linux Container，CGroup和基本的Namespace概念。 User Namespace是Linux 3.8新增的一种namespace，用于隔离安全相关的标识和属性。使用了user namespace之后，进程在namespace内部和外部的uid/gid可

Docker Registry2.3的Cross Repository Push

Registry介绍 Docker用户肯定都是pull过镜像，这是最基本的Docker操作。Pull镜像就是把镜像从Registry下载到本地的过程。Registry是Docker的镜像存储、分发服务。Docker官方提供了默认Registry服务，第三方也可以部署自己的Registry服务。阿里

在阿里云容器服务上创建一个使用Redis的Python应用