Search
9月24日,《女性的復仇》與《女性的復仇》,1982/2020時空穿梭,新加坡 #亞洲電影資料庫 連袂上映。
This 24th, The Women's Revenge will be in the program "Reframe: Fatal & Fallen" curated by XING(Jade Barget & Elizabeth Gabrielle Lee), @ Asian Film Archive, Singapore.
DOUBLE BILL:
The Women’s Revenge (2020) + Woman Revenger (1982)
Asian Film Archive
https://www.asianfilmarchive.org/event-calendar/double-bill-the-womens-revenge-2020-woman-revenger-1982-2/
ref: https://sysdig.com/blog/dockerfile-best-practices/
如果你常用到容器化、微服務架構,這些輕量化的架構當碰到問題時,背後的資安事件調查、報告、修復卻是影響甚鉅。然而,這些影響都可以透過「把安全意識擺在開發階段 (shifting left security)」來降低風險,而這篇文章就會講述 Dockerfile 的最佳實作手段有哪一些。
首先,我們會從幾個大面向來說明各種控制安全風險的細節,像是權限控管、降低攻擊層面、預防機敏資料洩漏,以及在發布 container image 時的注意事項。而你需要特別注意的是,其實 Dockerfile 也只是算是開發階段的一部份,所以這邊能提醒到的內容都屬於部署前(特別是開發階段)的準備。以下共提及 20 個你可以注意的重點,但因為篇幅較長,筆者將選出較重要的幾個來談談。
讓我們從「權限控管」說起:
Rootless container
根據報告結果顯示,有超過 58% 的 image 都是用 root 作為執行服務的使用者,所以在此也會建議透過 USER 參數來設定容器的預設使用者,同時,也可以利用執行環境/架構的設定來避免容器的預設使用者是 root。
Make executables owned by root and not writable
服務的 binary file 應該避免被任何人修改,容器的預設使用者只需要執行服務的權限,而不是擁有權。
至於「減少攻擊面」的部分:
Multistage builds小
在 image 的建立,可以透過 multistage build 來建立很多層 container,例如在第一層安裝編譯所需的套件,而第二層則只需安裝 runtime 所需的套件(如 openssl 等),再複製第一層所編譯出來的執行檔就可以了。其餘的因開發/編譯所安裝的套件皆不需要放在最後的 image,這樣同時也可以把 image 的大小縮小。
Distroless & Truested image
採用最小/最輕量化的 base image 來作為你打造 image 的基礎,同時使用可信任來源的 image,避免不小心在未知的情況引入好幾個潛在的安全威脅。(在原文中,sysdig 也使用了自身開發的工具來檢測 image 是否有安全問題,如果有需要也能參考看看)
而再來關於「機敏資訊」的部分:
Copy
當你在從你的開發環境複製檔案到 image 當中時,需要非常小心,因為你很可能一不小心就把你的密碼、開發環境的 token、API key 等資訊複製進去了。而且不要以為把 container 裡面的檔案刪掉就沒事了,別忘了 container image 是一層一層堆疊起來的,就算刪掉了,還是能在前面的 layer 裡面找到。
但如果還是有需要用到這些機敏資料,也可以考慮使用環境變數(docker run -e 引入),或是 Docker secret、Kubernetes secret 也能夠幫你引入這些參數。如果是設定檔的話,則可以用 mount 的方式來掛載到你的 container 裡面。
總而言之,你的 image 裡面不該有任何機敏資料、設定檔,開發服務時讓服務在 runtime 的時候可以接受來自環境變數的參數才是相對安全的。
其他的部分:
其實文章當中還有提到很多製作 image 的注意事項,像是在 deployment 階段,可能你部署的 latest 與實際的 latest 因時間差而不同。又或是在 image 裡面加上 health check,也才能做到狀況監測。
在容器化服務的時代,開發者不僅需要具備撰寫開發程式的能力,也要對於虛擬化環境有足夠的理解,否則,在對架構不熟的情況就將服務部署上去,或把 image 推送到公開的 registry,都可能造成重要的資料外洩與潛在的資安危機。
本篇文章是一個深度介紹文,除了探討 K3S 與 K3D 的關係之外,還針對 K3D 的架構與使用方法很詳細的介紹一番,包含了
1. K3D v3 的特色與架構
2. 如何替換 K3D 裡面的 CNI
3. 如何替換 k3D 預設的 Ingress Controller
4. 使用 private registry 來處理
Kubernetes 的變化版本很多,除了 k3s 之外後來還有 k0s 的出現,每個版本都有自己想要解決的問題,而 k3s 則是一個非常輕量的 Kubernetes 版本,其特色有
1. 使用 Flannel 作為其預設 CNI,不講求太多複雜功能,單純用 VXLAN 打造一個 L2 的 overlay 網路
2. 使用 CoreDNS,與原生一樣
3. 使用 SQLite3 當作預設的 DB,而非 etcd3
4. 使用 Traefik 當作預設的 Ingress Controller,原生 K8s 則把這個主動權交給使用者
5. 使用 Containerd 當作預設的 Container Runtime
而 K3D 就是基於 K3S 的測試環境, K3S in Docker,跟 KIND 類似,只是運行的 Kubernetes 發行版本不同。
相較於 KIND 而已, K3D 的架構稍微複雜一點
1. 為了方便測試與存取,k3D 部署的時候也會部署一個 Nginx Server 來當作簡易的 Load-Balacner,讓 K3D 內的 Ingress 服務可以更簡易的被存取。使用者只需要存取該 Load-Balancer 即可,不需要去針對 Node(Docker) 的 IP 存取
2. 可以支援動態加入與刪除節點
本篇文章算是非常詳細的介紹各種參數用法,對於 K3D 這種測試環境有興趣的可以參考看看
https://yannalbou.medium.com/k3s-k3d-k8s-a-new-perfect-match-for-dev-and-test-e8b871aa6a42
- Mua AllDoCube IPlay 30 Pro: https://bit.ly/3qMrkmX
- Lazada sale to cuối năm 2020: https://bit.ly/2VVnpGh
- Nhóm săn hàng rẻ và mã giảm giá tại: https://bit.ly/3oFVOFf
Review Máy Tính Bảng Máy Tính Alldocube IPlay 30 Pro 10.5 Inch, Bộ Nhớ RAM 6GB, ROM 128GB, Android 10, Phiên Bản 4G LTE, IPlay 30 Pro
6GB RAM 128GB ROM6 GB RAM and super large 128 GB ROM not only deliver an ultra-smooth gaming experience, running multiple apps with ease but also provide ample storage space. It also comes with 256 GB of extendable storage using a microSD card, so you can make space for all your photos, files and gaming apps.
10.5 inch Full HD IPS ScreeniPlay 30 Pro is a slick and slender tablet with a beautiful, visually pleasing Full HD IPS 1920x1200 10.5-inch display, full-viewing angle and minimised bezel for maximum view-ability. The display made with GFF (glass-to-film-to-film full lamination) technology, it has vivid and crystal clear representation and is ideal for watching and viewing your favourite contents.
MT6771 P60 Octa Core up to 2.0GHzIt is manufactured in a 12 nm FinFET (12FFC) process and is equipped with 4x big ARM Cortex-A73 cores and 4x small and power efficient ARM Cortex-A53 cores in two clusters.The cores can reach a frequency of up to 2 GHzThe processor also integrates a ARM Mali-G72MP3 GPU and a dedicated AI processing unit.Android 10.0 SystemThe new Android 10.0 OS decreases mounts of storage space required for apps and improves runtime device performance.4G LTE NetworkSupport 4G network and SIM card slot.GSM:B2/3/5/8WCDMA:B1/2/5/8TDS: B34/39FDD:B1/2/3/5/7/8/20/28ABTDD: B38/39/40/41Dual Band 2.4GHz / 5.0GHz WiFiMore bands for you to choose. 2.4GHz Band is better at penetrating obstacles while 5GHz band will offer faster connection speeds.
#MayTinhBang #LazadaUnwrapped #Lazada1212
This video I explain why you should be making Micro Movies as a start up filmmaker. Micro Movies are very short short films of 60 seconds or up to 3-4 minutes, because they are very short, they are easy and fast to produce and an easy way to fill up your portfolio, but also to get enough different kind of images to fill up your showreel with.
Also there are many Micro Movie competitions and festivals you can send them in to, often these micro movie entry are low to no entry fees, making them much easier to join then longer short film competitions which often cost money to enter. Plus if your Micro Movie get chosen to be shown you get some nice exposure by the viewers of the film festival.
You can find Micro Movie competitions and festivals here:
https://filmfreeway.com/festivals?utf8=%E2%9C%93&config%5B%5D=call_for_entries&config%5B%5D=event_type&config%5B%5D=niches&config%5B%5D=entry_fees&config%5B%5D=years_running&config%5B%5D=runtime&config%5B%5D=submit&has_query=1&ga_search_category=Festival&q=micro+movie&call_for_entries=0&ft_gold=0&ft_ff=0&ft_sc=0&ft_audio=0&ft_photo=0&ft_oe=0&project_category%5B%5D=9&fees=0%3B100&fees_currency=USD&years=1%3B20&runtime=Any&inside_or_outside_country=0&countries=&entry_deadline_when=0&entry_deadline=&event_date_when=0&event_date=&sort=relevance
Check out my Adobe Premiere Pro Effects tutorials here:
https://www.youtube.com/playlist?list=PLAdjMWVKvc3B2SqrDQB-r5EMxyrn29h6z
Edited with Adobe Premiere Pro - http://goo.gl/k2EagF
If you appreciate what I do, you can support me by donating any amount here on paypal:
http://paypal.me/ChungDha
? Facebook: http://www.facebook.com/chungdha
? Website: http://www.chungdha.nl
? Instagram: https://www.instagram.com/chungdha/
? Twitter: https://twitter.com/chungdha
For any Questions Please Join our Facebook Group: https://www.facebook.com/groups/chungdhagroup
Business Inquiries, Sponsors & Collaboration email contact@chungdha.com
Chung Dha © 2020 Tsuen Wan, Hong Kong
1968 年的美國,有個遠離城市繁囂小鎮─Mill Valley。Mill Valley邊緣有間屬於Bellows 家族的豪宅,曾住了一位充滿恐怖秘密的女孩莎拉,她把自己的悲慘人生寫成一本書。一群年輕人到豪宅探險,過程中發現了這本故事書,並發現書中所寫的故事都一一成現實…
Date: August 21 (Wednesday)
Time: 7:30pm
Venue: Festival Grand Cinema @又一城
Rating: IIB
Runtime: 110mins
