Serie de videos de contenedores: contenedores sin raíz, separación de procesos y OpenSCAP

¿Has oído hablar de los contenedores sin raíz, pero no sabes realmente qué es? ¿Se pregunta qué impide que los procesos de un contenedor interactúen con los procesos de otro contenedor? ¿Le gustaría aprender a escanear imágenes de contenedores con OpenSCAP?

Si respondiste alguna de estas preguntas, recientemente publiqué una serie de videos de Container y Podman que podrían ayudarte.

Índice

Contenedores sin raíces usando Podman

Mire dos videos que cubren la ejecución de contenedores sin privilegios o "sin raíz" usando Podman.

el primer video es una descripción general de las opciones que tiene para elegir qué cuenta de usuario usar para ejecutar Podman y qué cuenta ejecutar procesos como en imágenes de contenedor. El video incluye una demostración de estas diferentes opciones en acción.

el segundo vídeo Explora en profundidad cómo funcionan los espacios de nombres de usuario en Podman sin root y presenta los siguientes temas:

  • Ejecute un contenedor con Podman sin root.
  • Mostrar espacios de nombres de usuario con el lsns pedido.
  • Utilizar el /etc/subuid archivo, que define los rangos de UID subordinados.
  • Utilizar el /proc uid_map archivo, que muestra el mapa UID del proceso.
  • Calcule el número de UID con el que se ejecuta un proceso en el host.
  • Utilizar el podman top para ver la asignación de usuarios entre el contenedor y el host.
  • Utilizar el podman unshare para ejecutar un comando en un espacio de nombres de usuario de contenedor.

Descripción de los espacios de nombres PID

El siguiente vídeo, Comprender cómo los contenedores usan espacios de nombres PID para proporcionar aislamiento de procesos, analiza en profundidad cómo funcionan los espacios de nombres PID. Los espacios de nombres, incluidos los espacios de nombres PID, son una de las tecnologías clave que permiten que los contenedores se ejecuten en entornos aislados.

Los espacios de nombres PID también permiten que los contenedores tengan el mismo número de PID ejecutándose en cada contenedor (así es como cada contenedor que se ejecuta en un sistema puede tener su propio PID # 1). Los espacios de nombres de PID asignan los números de PID entre el contenedor y el host, de modo que un proceso que se ejecuta en su contenedor tendrá un número de PID diferente desde el punto de vista del contenedor en comparación con el punto de vista del host, lo cual se explica en el video.

Después de ver este video, debe tener una comprensión sólida de cómo funcionan los espacios de nombres PID y los beneficios que brindan.

Cumplimiento de seguridad al escanear imágenes de contenedores con OpenSCAP

el ultimo video se llama Análisis de contenedores en busca de vulnerabilidades en RHEL 8.2 con OpenSCAP y Podman. En este video, analizo la nueva función en RHEL 8.2 que le permite escanear imágenes de contenedores con OpenSCAP usando el oscap-podman pedido. Este video cubre los siguientes temas:

  • Escanear imágenes de contenedores en busca de vulnerabilidades con el oscap-podman pedido.
  • Evalúe el cumplimiento de seguridad de una imagen de contenedor con la línea de base PCI-DSS utilizando el oscap-podman pedido.
  • Use Buildah para crear una nueva imagen con uno de los resultados de OpenSCAP corregidos.

Ejecutar un contenedor dentro de un contenedor (Podman en Podman)

Este video proporciona una descripción general de Podman en Podman, o en otras palabras, ejecutar un contenedor dentro de un contenedor. Esta es una característica de vista previa de la tecnología en Red Hat Enterprise Linux (RHEL) 8.3.

El video proporciona una descripción general de:

  • Desde el host RHEL 8.3, inicie un contenedor con el registrarse.redhat.io/rhel8/podman imagen del contenedor (con el --privilegiado opción)
  • En este contenedor, cree una nueva imagen de contenedor usando construcción de podman
  • Ejecutar un contenedor (dentro de un contenedor) usando la imagen del contenedor recién creada (Podman en Podman)

.

Conclusión

Espero que encuentre estos videos útiles y educativos. Quiero hacer varios videos más sobre las herramientas de contenedores de Red Hat en el futuro, así que esté atento al blog Enable Sysadmin y al Canal de vídeo de YouTube de Red Hat!

Artículos de interés

Subir