راه رسیدن به ظروف ایمن طولانی و پر پیچ و خم است.
یکی از توقف هایی که باید در این سفر انجام دهید غیرفعال کردن ماژول های هسته غیر ضروری در ظروف لینوکس شما است.
Kubernetes یک سیستم مدیریتی باورنکردنی ظرف است.
اما توسعه دهندگان و سرپرستان مسئولیت زیادی با آن قدرت دارند.
اگر ظروف ایمن را در خوشه های مستقر مستقر نکنید ، از همان ابتدا در یک جنگ باخت می جنگید.
خوشبختانه این مربوط به لینوکس است ، بنابراین می توانید کارهای زیادی انجام دهید. برای حدود
یك كار بسیار مهمی كه می توانید انجام دهید جلوگیری از بارگیری ماژول های هسته ناخواسته در ظروف خود است.
شما از تعجب چند بار ماژول هنگام بارگیری شگفت زده خواهید شد – بسیاری از آنها احتمالاً شما نمی خواهید.
بیایید ببینیم چگونه آن را انجام دهیم!
من این کار را با استفاده از یک کانتینر بر اساس آخرین تصویر سرور اوبونتو نشان می دهم.
من این کار را با ابزار Multipass انجام می دهم.
اگر شما از Multipass استفاده نکنید ، همه شما هستید شما می توانید از این مسئله مراقبت کنید ، بدون توجه به اینکه در صورت استفاده از کانتینرهای خود مبتنی بر لینوکس از چه فناوری کانتینری استفاده می کنید.
نحوه استقرار و دسترسی به ظرف اوبونتو
اجازه دهید ابتدا یک کانتینر جدید را با Multipass مستقر کنیم.
Ubuntu Daily 20.04 با استفاده از دستور:
چند بار راه اندازی روزانه: 20.04
پس از شروع ظرف ، نام مستقیمی برای استقرار به شما ارائه می شود.
اگر این نام را جست و خیز کنید ، می توانید آن را با دستور مشاهده کنید:
لیست multipass
اکنون که این ظروف گسترش یافته است t ، با استفاده از دستور ، به پوسته خود دسترسی پیدا کنید:
multipass shell NAME
که در آن نام نام تولید شده به طور تصادفی ظروف است.
نحوه غیرفعال کردن و ماژول های لیست سیاه
ما قصد داریم لیست ماژول ها را بدست آوریم.
برای انجام این کار ، ابتدا باید بدانید که کدام ماژول ها بارگیری می شوند.
برای لیست کردن همه ماژول های بارگذاری شده ، دستور را وارد کنید:
lsmod [19659022] با ماژول هایی که در حال حاضر در هسته بارگذاری می شود به شما ارائه می شود:
Prolis به این فهرست بروید و تمام ماژول هایی را که نمی خواهید در هسته ظرف شما بارگیری شود پیدا کنید.
از آنجا که کانتینرها معمولاً هدف خاصی دارند ، احتمالاً می توانیم ماژول ها را سیاه کنیم.
قبل از اینکه واقعاً ایجاد کنیم لیست سیاه ماژول هایی که نمی خواهیم در زمان بوت شدن بارگذاری کنیم ، باید آنها را غیرفعال کنیم.
چرا؟
این یک کانتینر است ، نه یک ماشین مجازی یا یک سیستم عامل استاندارد ، بنابراین شما نمی توانید راه اندازی مجدد کنید.
به همین دلیل ما باید به صورت دستی ماژول ها را خاموش کنید.
برای بارگیری دستی برای اجرای یک ماژول کار ، دستور را وارد کنید:
sudo modprobe -r MODULENAME
جایی که MODULENAME نام ماژول است.
اگر دستور lsmod را اجرا کردید ، باید دید که ماژول دیگر وارد هسته نمی شود.
پس از تهیه لیست خود ، فایل لیست سیاه را برای ویرایش با این دستور باز کنید:
sudo nano /etc/modprobe.d/blacklist.confociation19659022-03 در این فایل تمام ماژول های مورد نظر خود را برای حذف اضافه می کنید ، به شکل:لیست سیاه MODULENAMEکه در آن MODULENAME نام ماژول است.
به عنوان مثال ، می خواهید بارگیری ماژول هسته فلاپی را ممنوع کنید:
floppy list blackتوجه داشته باشید. شما باید مراقب باشید که ماژول هایی را که برای سیستم عامل حیاتی هستند و یا اینکه بستگی به چه بستگی دارد ، در لیست سیاه قرار ندهید. بنابراین ، قبل از اینکه ماژول را سیاه کنید ، حتما کمی مطالعه کنید. این ماژول.
در این مرحله ، شما به صورت دستی تمام ماژول های هسته ای را که نمی خواهید بارگیری کنید ، حذف کردید و یک لیست سیاه ایجاد کردید تا آنها هرگز بارگیری نشوند.
ما باید متوقف شویم و ظرف را شروع کنیم و ببینیم که این ماژول ها لیست بیشتری دارند بارگیری نکنید.
با این حال ، اگر پیدا کنید ببینید که ماژول ها هنوز در حال بارگیری هستند ، این بدان معنی است که تصویر هنوز از نسخه قدیمی و پرچم شروع نامه استفاده می کند که شامل تغییرات شما نمی شود.
بازسازی دستورات با این دستور:
دفعه دیگر که متوقف شده و ظرف خود را شروع می کنید ، متوجه می شوید که ماژول های لیست سیاه احتمالاً بارگیری نخواهند شد.