文章标签

cri o

• 基于 eBPF 构建轻量级容器安全解决方案：实时检测与恶意行为防御

  在云原生时代，容器技术得到了广泛的应用，但也带来了新的安全挑战。传统的安全方案往往无法有效地应对容器内部的恶意行为，例如未经授权的访问、恶意软件的执行等。eBPF（扩展伯克利封包过滤器）作为一种强大的内核技术，为我们提供了一种构建轻量级、...

  2025/6/20 0 323 0 0 0 eBPF容器安全运行时安全

• 边缘节点瘦身实战：将 Kata 容器 VM 镜像从 300MB 压缩到 128MB 的裁剪方案

  背景：当 Kata 遇到边缘计算 在边缘 Kubernetes 集群中，我们曾遇到一个典型困境：某工业网关设备仅有 8GB 内存和 32GB eMMC 存储 ，而 Kata Containers 默认的 kata-containe...

  2026/4/12 0 88 0 0 0 边缘计算内核裁剪

• 再见 Docker Socket：深度解析 Kaniko 在 Kubernetes 中的构建实践与坑点

  在 Kubernetes（K8s）生态中，如何安全、高效地构建容器镜像是每个 DevOps 工程师都绕不开的命题。过去，我们习惯于在 CI/CD 流水线中挂载宿主机的 /var/run/docker.sock ，或者使用受限颇多的 Do...

  2026/5/17 0 95 0 0 0 KanikoKubernetesCICD

• 云原生安全架构师的自白-我是如何设计云原生安全解决方案的？

  作为一名云原生安全架构师，我深知云原生环境的复杂性和动态性给安全带来了前所未有的挑战。与传统的安全模型相比，云原生安全必须更加敏捷、自动化和集成化。今天，我就以一个“过来人”的身份，跟大家聊聊我是如何设计云原生安全解决方案的，希望能帮助大...

  2025/5/10 0 427 0 0 0 云原生安全安全架构DevSecOps

• 深入浅出 Kubernetes Pause 容器：Pod 背后那个默默无闻的“沙箱”

  在 Kubernetes 的世界里，我们每天都在跟 Pod 打交道。你可能已经知道，Pod 是 K8s 的最小调度单元，它由一个或多个紧密关联的业务容器组成。 但如果你登录到一个 K8s 节点，通过 docker ps 或 cr...

  2026/5/25 0 29 0 0 0 KubernetesPause 容器容器网络

• 无需重启Pod：如何动态调整Kubernetes临时容器的安全上下文与特权

  在 Kubernetes 集群中，当线上服务出现死锁、内存泄露或异常网络丢包时，我们通常会使用 kubectl debug 注入一个临时容器（Ephemeral Container）进行排查。 然而，默认注入的临时容器往往遵循极低...

  2026/6/6 0 18 0 0 0 Kubernetes临时容器安全上下文

• K8s 运行时深剖：Containerd 与 CRI-O 在 Pod Sandbox 创建流程上的底层机制差异

  在 Kubernetes 架构中，Pod 是最小的调度单元，而 Pod 的物理实体在容器运行时（Container Runtime）眼中，首先表现为一个 Pod Sandbox（沙箱） 。无论是轻量级的 Containerd，还是专为 ...

  2026/6/6 0 19 0 0 0 KubernetesContainerdCRI-O

• 深入 Kubelet 与 Containerd 源码：剖析 CRI 通信机制与高并发瓶颈定位

  在 Kubernetes 集群中，Kubelet 与容器运行时（Containerd）的交互效率直接决定了 Pod 的拉起速度和集群的响应能力。当面对大规模并发调度（如大促弹性扩容、批量批处理作业）时，底层的 gRPC 通信链路往往会成为...

  2026/6/7 0 15 0 0 0 KubernetesContainerdgRPC

• 大规模 K8s 集群中 RunPodSandbox 频繁超时的深层诱因与落地调优指南

  在 Kubernetes 集群规模迈向数百甚至数千个节点时，平台工程师或 SRE 经常会遭遇一个经典而顽固的“幽灵故障”：新调度的 Pod 长期卡在 ContainerCreating 状态，查看 Kubelet 日志或 K8s Ev...

  2026/6/6 0 21 0 0 0 KubernetesCNI

• 打破 PLEG 抖动噩梦：Kubelet syncPod 核心机制与 CRI 异步化演进深度解析

  在 Kubernetes 大规模集群的管理实践中，任何一位资深 SRE 或 K8s 研发工程师，大概率都遭遇过那个令人头疼的报错—— PLEG is unhealthy 。 伴随而来的，通常是节点变为 NotReady 、Pod...

  2026/6/7 0 14 0 0 0 KubernetesKubeletCRI

• 从内核到源码：Cgroup v2 如何终结 Containerd 高并发创建容器时的锁冲突

  在 Kubernetes 节点进行大规模、高并发的 Pod 扩容或执行短期批处理任务（如 Serverless 函数计算）时，系统耗时往往会发生非线性暴涨。通过 perf 或 bcc/bpftrace 工具抓取内核热点，通常会发现...

  2026/6/7 0 15 0 0 0 Cgroup v2Containerdrunc

• 容器启动速度大比拼：Docker、containerd、CRI-O，谁是快男？

  容器启动速度大比拼：Docker、containerd、CRI-O，谁是快男？ 你好，我是老码农张三。 作为一名在技术圈摸爬滚打多年的老兵，我经常被问到关于容器的问题。特别是在容器编排领域，大家对容器启动速度的关注度越来越高。毕竟...

  2025/3/18 0 505 0 0 0 DockercontainerdCRI-O

• Docker、containerd 和 CRI-O 启动速度对比实践

  在当今的容器化时代，Docker、containerd 和 CRI-O 是三种常见的容器运行时工具。它们各有优劣，本文将通过一个简单的 Web 应用，对比这三种工具在启动速度上的表现。 首先，我们需要准备一个简单的 Web 应用。这个...

  2025/3/18 0 242 0 0 0 DockercontainerdCRI-O

• 基于 eBPF 的容器运行时安全策略引擎：细粒度访问控制与安全审计实战

  基于 eBPF 的容器运行时安全策略引擎：细粒度访问控制与安全审计实战 作为一名容器平台工程师，我经常被问到：“容器安全到底怎么做？仅仅依靠镜像扫描和漏洞补丁就够了吗？” 答案显然是否定的。在容器化应用日益普及的今天，容器运行时安全面...

  2025/5/18 0 459 0 0 0 eBPF容器安全运行时安全

• 用eBPF给容器上把安全锁-限制系统调用和网络访问，逃逸？不存在的！

  用eBPF给容器上把安全锁-限制系统调用和网络访问，逃逸？不存在的！ 各位容器大佬，有没有遇到过这种情况？辛辛苦苦部署的容器，总感觉像在裸奔，心里没底啊！万一被拖出去“斩首示众”，那可就惨了！今天，咱就来聊聊如何用eBPF给你的容器加...

  2025/5/18 0 248 0 0 0 eBPF容器安全系统调用限制

• 如何在不同场景下选择合适的容器初始化方案

  在当今的软件开发中，容器技术已经成为不可或缺的一部分。无论是微服务架构、持续集成/持续部署（CI/CD）流程，还是云原生应用，容器都扮演着关键角色。然而，面对不同的应用场景，如何选择合适的容器初始化方案，却是一个需要深入思考的问题。 ...

  2025/3/17 0 253 0 0 0 容器技术初始化方案场景选择

• 基于eBPF的容器逃逸检测系统设计与实践：实时监控与防御

  容器逃逸？云原生安全的阿喀琉斯之踵 容器技术，特别是 Docker 和 Kubernetes 的兴起，极大地推动了云计算和微服务架构的发展。然而，容器的安全问题也日益凸显，其中容器逃逸更是安全领域的一大挑战。想象一下，攻击者一旦突破容...

  2025/5/17 0 420 0 0 0 eBPF容器安全逃逸检测

• 云原生容器安全攻防实战：镜像、运行时、网络，一个都不能少！

  作为一名云原生时代的“老兵”，我深知容器技术在提升应用交付效率、简化运维管理方面的巨大价值。但与此同时，容器安全也成为了我们不得不面对的严峻挑战。容器安全并非一蹴而就，而是需要我们在镜像构建、运行时环境、网络策略等各个环节进行全方位的考量...

  2025/5/11 0 260 0 0 0 容器安全云原生安全最佳实践