前言 前不久看到几篇实战文章用到了docker逃逸技术，自己之前没接触过，整理复现下常用的Docker逃逸方法，可能存在认知错误的地方，希望各位大佬指出，感激不尽。Docker是当今使用范围最广的开源容器技术之一，具有高效易用的优点。然而如果使用Docker时采取不当安全策略，则可……

克隆安装文件 git clone https://github.com/rook/rook.git 修改yaml文件 修改Rook CSI镜像地址，原本的地址可能是gcr的镜像，但是gcr的镜像无法被国内访问，所以需要同步gcr的镜像到阿里云镜像仓库， cd rook/cluster/examples/kubernetes/ceph vim operator.yaml :% s/k8s\.gcr\.io\/sig\-storage/registry\.cn\-beijing\.aliyuncs\.com\/dotbalo/g 新版本rook默认关闭了自动发现容器的部署，可以找到ROOK_ENABLE_DISCOVERY_DAE……

https://www.cnblogs.com/goldsunshine/p/10740928.html……

K8S基本命令操作 kubectl 是一个命令行接口，用于对 Kubernetes 集群运行命令。kubectl 在 $HOME/.kube 目录中寻找一个名为 config 的文件。您可以通过设置环境变量 KUBECONFIG 或设置 --kubeconfig 参数指定其它 kubeconfig 文件。 kubectl官方使用文档：https://kubernetes.io/docs/reference/kubectl/ov……

NameSpace #将namespace的配置文件输出保存 kubectl get namespace ingress-nginx -o json > ingress-nginx.json #删除spec及status部分的内容还有metadata字段 kubectl proxy --port=8081 & # 另启一个终端执行 curl -k -H "Content-Type: application/json" -X PUT --data-binary @ingress-nginx.json http://127.0.0.1:8081/api/v1/namespaces/ingress-nginx/finalize Pods kubectl delete ns xxx --grace-period=0 --force Pvc……

1.系统优化 升级内核 #安装ELRepo软件仓库的yum源 rpm -Uvh http://www.elrepo.org/elrepo-release-7.0-3.el7.elrepo.noarch.rpm # 安装完成后检查 /boot/grub2/grub.cfg 中对应内核 menuentry 中是否包含 initrd16 配置，如果没有，再安装一次！ yum --enablerepo=elrepo-kernel install -y kernel-lt #查看已安装内核 sudo awk -F\' '$1=="menuentry " {print i++ " : " $2}' /etc/grub2.cfg # 设置开机从新内核启动 grub2-set-default 0 配置hosts cat <<EOF >> /etc/hosts 192.168.152.128 master-s 192.168.152.129 node EOF 确保MAC地址唯一 确保product_u……

下载离线包 RPM yum-plugin-downloadonly yum install --downloadonly --downloaddir=/data/mirrors/ 包名 ##依赖 需要安装yum-utils yumdownloader -–resolve(可选，意为下依赖包) -–destdir=软件存放位置 (可选) 软件包名 –downloadonly表示仅下载，–downloaddir指定下载到哪个目录 不指定默认/var/cac……

容器root权限 你一定很奇怪，明明进入容器内，可以看到是root用户啊，为什么还要设置容器的root权限？这是因为容器内虽然看起来是root，但是却没有root的所有功能。当需要修改系统文件时，就不被允许。如果你的app恰好就要去修改系统文件，那么就需要明白如何设置容器的root……