

zhangguanzhang's Blog

zhangguanzhang's Blog

docker 和 apparmor



docker 和 apparmor

linux docker apparmor

字数统计: 2.8k阅读时长: 15 min

 2024/01/08   Share

• 
• 
• 
• 
• 

从搜索和源码探索 docker 如何处理 apparmor

由来

suse12sp5 上古系统记得之前接手还是 17.05 rpm 安装的，后续找了个 19.03.15 的 rpm 安装上的，之所以使用 rpm 是因为 docker static bin 安装起不来（忘记啥报错了来着），然后现在尝试了 24.0.5 的能起来，但是容器无法启动，发现和 apparmor 有关。apparmor、seccomp和 SELinux 都是用于增强 Linux 系统安全性的安全性模块。它们提供了对进程、应用程序和系统资源的额外访问控制层。

过程

报错信息

系统信息：

suse12sp5:~ # cat /etc/os-release 
NAME="SLES"
VERSION="12-SP5"
VERSION_ID="12.5"
PRETTY_NAME="SUSE Linux Enterprise Server 12 SP5"
ID="sles"
ANSI_COLOR="0;32"
CPE_NAME="cpe:/o:suse:sles:12:sp5"
suse12sp5:~ # uname -a
Linux suse12sp5 4.12.14-120-default #1 SMP Thu Nov 7 16:39:09 UTC 2019 (fd9dc36) x86_64 x86_64 x86_64 GNU/Linux
suse12sp5:~ # apparmor_parser --version
AppArmor parser version 2.8.2
Copyright (C) 1999-2008 Novell Inc.
Copyright 2009-2012 Canonical Ltd.
suse12sp5:~ # rpm -qa | grep libsecc
libseccomp2-32bit-2.3.1-10.1.x86_64
libseccomp2-2.3.1-10.1.x86_64

24.0.5 的 docker static bin 安装好后导入镜像，无法起容器，报错：

Error response from daemon: AppArmor enabled on system but the docker-default profile could not be loaded: running `/sbin/apparmor_parser apparmor_parser -Kr /data/kube/docker/tmp/docker-default1881723382` failed with output: AppArmor parser error for /data/kube/docker/tmp/docker-default1881723382 in /data/kube/docker/tmp/docker-default1881723382 at line 16: syntax error, unexpected TOK_OPENPAREN, expecting TOK_MODE

代码里搜报错 AppArmor enabled on system but the 搜到 ensureDefaultAppArmorProfile 方法里：

// https://github.com/moby/moby/blob/v24.0.5/daemon/apparmor_default.go#L27
func ensureDefaultAppArmorProfile() error {
	if apparmor.HostSupports() {
		loaded, err := aaprofile.IsLoaded(defaultAppArmorProfile)
		if err != nil {
			return fmt.Errorf("Could not check if %s AppArmor profile was loaded: %s", defaultAppArmorProfile, err)
		}

		// Nothing to do.
		if loaded {
			return nil
		}

		// Load the profile.
		if err := aaprofile.InstallDefault(defaultAppArmorProfile); err != nil {
			return fmt.Errorf("AppArmor enabled on system but the %s profile could not be loaded: %s", defaultAppArmorProfile, err)
		}
	}

	return nil
}

apparmor.HostSupports 是 os.Getenv("container") == "" 且 /sys/module/apparmor/parameters/enabled 里是 Y 且存在命令 /sbin/apparmor_parser 则满足
aaprofile.IsLoaded 是等同于 grep 'docker-default ' /sys/kernel/security/apparmor/profiles 判断 apparmor 策略 docker-default 加载没，没加载则加载

docker 的 apparmor 生成和加载

然后就是 profiles/apparmor/apparmor.go 里的 generateDefault 和 InstallDefault:

• docker daemon 进程读取 /proc/self/attr/current 为空则策略名为 unconfined
• 创建 os.CreateTemp 临时文件，并用模板 profiles/apparmor/template.go 生成到临时文件里
• 使用 /sbin/apparmor_parser -Kr <tmp_file> 加载策略
• 无论加载成功还是失败，最后会把这个临时策略文件删掉

解决过程

上面报错就是策略文件内容有问题，但是 docker daemon 会把策略文件删掉，最开始 clone 源码修改不删掉临时文件后 make 替换，但是后面发现了个简单粗暴套路：

cp /sbin/apparmor_parser /sbin/apparmor_parser_REAL
cat > /sbin/apparmor_parser << 'EOF'
#!/bin/bash

echo "$*" >> /root/apparmor_parser_arg_log

if [ $# -eq 2 ]; then
    cat $2 > /root/apparmor_parser_profile_log
fi

/sbin/apparmor_parser_REAL $*
EOF

然后 docker start 后 /root/apparmor_parser_profile_log 就生成内容了：

#include <tunables/global>


profile docker-default flags=(attach_disconnected,mediate_deleted) {

  #include <abstractions/base>


  network,
  capability,
  file,
  umount,
  # Host (privileged) processes may send signals to container processes.
  signal (receive) peer=unconfined,
  # dockerd may send signals to container processes (for "docker kill").
  signal (receive) peer=unconfined
,
  # Container processes may send signals amongst themselves.
  signal (send,receive) peer=docker-default,

  deny @{PROC}/* w,   # deny write for all files directly in /proc (not in a subdir)
  # deny write to files not in /proc/<number>/** or /proc/sys/**
  deny @{PROC}/{[^1-9],[^1-9][^0-9],[^1-9s][^0-9y][^0-9s],[^1-9][^0-9][^0-9][^0-9/]*}/** w,
  deny @{PROC}/sys/[^k]** w,  # deny /proc/sys except /proc/sys/k* (effectively /proc/sys/kernel)
  deny @{PROC}/sys/kernel/{?,??,[^s][^h][^m]**} w,  # deny everything except shm* in /proc/sys/kernel/
  deny @{PROC}/sysrq-trigger rwklx,
  deny @{PROC}/kcore rwklx,

  deny mount,

  deny /sys/[^f]*/** wklx,
  deny /sys/f[^s]*/** wklx,
  deny /sys/fs/[^c]*/** wklx,
  deny /sys/fs/c[^g]*/** wklx,
  deny /sys/fs/cg[^r]*/** wklx,
  deny /sys/firmware/** rwklx,
  deny /sys/kernel/security/** rwklx,

  # suppress ptrace denials when using 'docker ps' or using 'ps' inside a container
  ptrace (trace,read,tracedby,readby) peer=docker-default,
}

执行 /sbin/apparmor_parser -Kr /root/apparmor_parser_profile_log 和上面一样的报错，尝试后发现去掉 signal 和 ptrace 行才可以，然后在 rpm 19.03 环境上面这样 hack 后拿到的策略文件也是没有 signal 和 ptrace 行的，删掉这俩类型后加载就只报警告：

# -KR 卸载
$ apparmor_parser -Kr /root/apparmor_parser_profile_log
Warning from test (test line 38): profile docker-default mount rules not enforced
$ aa-status
...
   docker-default (xxxx) 
   docker-default (xxxx) 
   docker-default (xxxx)
   ...

容器也能启动了，固化就把这个文件存放到 /etc/apparmor.d/docker-default ，这样提前加载后，docker daemon 判断加载了就不加载它的内置模板了。后续加了下下面几行：

@{PROC}/sys/kernel/ r,

apparmor 和一些其他信息

规则文件解释

#include 后面不是就绝对路径则是 /etc/apparmor.d/ 内的，提供一些变量命名和目录权限
profile <name|bin-path> flags=(xx,xxx,xxxx) { 名字（供外部 docker/k8s 使用该策略）或者二进制路径限制，flags 后面可以逗号或者空格分隔
- attach_disconnected 允许连接端口的进程
- mediate_deleted 允许进程访问已被删除的文件
- complain 默认是 enforce 模式，操作会被拒绝，complain 则会记录日志，kill 则 deny 的时候 kill 掉，查看进程模式可以通过 cat /proc/<pid>/attr/current 可以查看进程的策略名和模式，例如 dodcker-default enforce
还有其他属性就不介绍了，例如文件，网络，mount 啥的，自行搜下文档

开启打印后，可以系统日志里看到信息

echo 0 > /proc/sys/kernel/printk_ratelimit
echo -n "all" > /sys/module/apparmor/parameters/audit

docker 示例

搜相关 issue 的时候发现，之前的模板里有判断 apparmor_parser 的版本，后面又去掉了，是因为有人提交了

$ ls -l contrib/apparmor/
total 12
-rw-r--r-- 1 root root  916 Jan  8 21:25 main.go
-rw-r--r-- 1 root root 5357 Jan  8 21:24 template.go

看了下代码，可以生成参考的策略内容：

$ go run contrib/apparmor/*.go 111
$ cat 111
@{DOCKER_GRAPH_PATH}=/var/lib/docker

profile /usr/bin/docker (attach_disconnected, complain) {
  # Prevent following links to these files during container setup.
  deny /etc/** mkl,
  deny /dev/** kl,
  deny /sys/** mkl,
  deny /proc/** mkl,

  mount -> @{DOCKER_GRAPH_PATH}/**,
  mount -> /,
  mount -> /proc/**,
  mount -> /sys/**,
  mount -> /run/docker/netns/**,
  mount -> /.pivot_root[0-9]*/,

  / r,

  umount,
  pivot_root,
  signal (receive) peer=@{profile_name},
  signal (receive) peer=unconfined,
  signal (send),
  network,
  capability,
  owner /** rw,
  @{DOCKER_GRAPH_PATH}/** rwl,
  @{DOCKER_GRAPH_PATH}/network/files/boltdb.db k,
  @{DOCKER_GRAPH_PATH}/network/files/local-kv.db k,
  # For user namespaces:
  @{DOCKER_GRAPH_PATH}/[0-9]*.[0-9]*/network/files/boltdb.db k,
  @{DOCKER_GRAPH_PATH}/[0-9]*.[0-9]*/network/files/local-kv.db k,

  # For non-root client use:
  /dev/urandom r,
  /dev/null rw,
  /dev/pts/[0-9]* rw,
  /run/docker.sock rw,
  /proc/** r,
  /proc/[0-9]*/attr/exec w,
  /sys/kernel/mm/hugepages/ r,
  /etc/localtime r,
  /etc/ld.so.cache r,
  /etc/passwd r,

  ptrace peer=@{profile_name},
  ptrace (read) peer=docker-default,
  deny ptrace (trace) peer=docker-default,
  deny ptrace peer=/usr/bin/docker///bin/ps,

  /usr/lib/** rm,
  /lib/** rm,

  /usr/bin/docker pix,
  /sbin/xtables-multi rCx,
  /sbin/iptables rCx,
  /sbin/modprobe rCx,
  /sbin/auplink rCx,
  /sbin/mke2fs rCx,
  /sbin/tune2fs rCx,
  /sbin/blkid rCx,
  /bin/kmod rCx,
  /usr/bin/xz rCx,
  /bin/ps rCx,
  /bin/tar rCx,
  /bin/cat rCx,
  /sbin/zfs rCx,
  /sbin/apparmor_parser rCx,

  # Transitions
  change_profile -> docker-*,
  change_profile -> unconfined,

  profile /bin/cat (complain) {
    /etc/ld.so.cache r,
    /lib/** rm,
    /dev/null rw,
    /proc r,
    /bin/cat mr,

    # For reading in 'docker stats':
    /proc/[0-9]*/net/dev r,
  }
  profile /bin/ps (complain) {
    /etc/ld.so.cache r,
    /etc/localtime r,
    /etc/passwd r,
    /etc/nsswitch.conf r,
    /lib/** rm,
    /proc/[0-9]*/** r,
    /dev/null rw,
    /bin/ps mr,

    # We don't need ptrace so we'll deny and ignore the error.
    deny ptrace (read, trace),

    # Quiet dac_override denials
    deny capability dac_override,
    deny capability dac_read_search,
    deny capability sys_ptrace,

    /dev/tty r,
    /proc/stat r,
    /proc/cpuinfo r,
    /proc/meminfo r,
    /proc/uptime r,
    /sys/devices/system/cpu/online r,
    /proc/sys/kernel/pid_max r,
    /proc/ r,
    /proc/tty/drivers r,
  }
  profile /sbin/iptables (complain) {
    signal (receive) peer=/usr/bin/docker,
    capability net_admin,
  }
  profile /sbin/auplink flags=(attach_disconnected, complain) {
    signal (receive) peer=/usr/bin/docker,
    capability sys_admin,
    capability dac_override,

    @{DOCKER_GRAPH_PATH}/aufs/** rw,
    @{DOCKER_GRAPH_PATH}/tmp/** rw,
    # For user namespaces:
    @{DOCKER_GRAPH_PATH}/[0-9]*.[0-9]*/** rw,

    /sys/fs/aufs/** r,
    /lib/** rm,
    /apparmor/.null r,
    /dev/null rw,
    /etc/ld.so.cache r,
    /sbin/auplink rm,
    /proc/fs/aufs/** rw,
    /proc/[0-9]*/mounts rw,
  }
  profile /sbin/modprobe /bin/kmod (complain) {
    signal (receive) peer=/usr/bin/docker,
    capability sys_module,
    /etc/ld.so.cache r,
    /lib/** rm,
    /dev/null rw,
    /apparmor/.null rw,
    /sbin/modprobe rm,
    /bin/kmod rm,
    /proc/cmdline r,
    /sys/module/** r,
    /etc/modprobe.d{/,/**} r,
  }
  # xz works via pipes, so we do not need access to the filesystem.
  profile /usr/bin/xz (complain) {
    signal (receive) peer=/usr/bin/docker,
    /etc/ld.so.cache r,
    /lib/** rm,
    /usr/bin/xz rm,
    deny /proc/** rw,
    deny /sys/** rw,
  }
  profile /sbin/xtables-multi (attach_disconnected, complain) {
    /etc/ld.so.cache r,
    /lib/** rm,
    /sbin/xtables-multi rm,
    /apparmor/.null w,
    /dev/null rw,

    /proc r,

    capability net_raw,
    capability net_admin,
    network raw,
  }
  profile /sbin/zfs (attach_disconnected, complain) {
    file,
    capability,
  }
  profile /sbin/mke2fs (complain) {
    /sbin/mke2fs rm,

    /lib/** rm,

    /apparmor/.null w,

    /etc/ld.so.cache r,
    /etc/mke2fs.conf r,
    /etc/mtab r,

    /dev/dm-* rw,
    /dev/urandom r,
    /dev/null rw,

    /proc/swaps r,
    /proc/[0-9]*/mounts r,
  }
  profile /sbin/tune2fs (complain) {
    /sbin/tune2fs rm,

    /lib/** rm,

    /apparmor/.null w,

    /etc/blkid.conf r,
    /etc/mtab r,
    /etc/ld.so.cache r,

    /dev/null rw,
    /dev/.blkid.tab r,
    /dev/dm-* rw,

    /proc/swaps r,
    /proc/[0-9]*/mounts r,
  }
  profile /sbin/blkid (complain) {
    /sbin/blkid rm,

    /lib/** rm,
    /apparmor/.null w,

    /etc/ld.so.cache r,
    /etc/blkid.conf r,

    /dev/null rw,
    /dev/.blkid.tab rl,
    /dev/.blkid.tab* rwl,
    /dev/dm-* r,

    /sys/devices/virtual/block/** r,

    capability mknod,

    mount -> @{DOCKER_GRAPH_PATH}/**,
  }
  profile /sbin/apparmor_parser (complain) {
    /sbin/apparmor_parser rm,

    /lib/** rm,

    /etc/ld.so.cache r,
    /etc/apparmor/** r,
    /etc/apparmor.d/** r,
    /etc/apparmor.d/cache/** w,

    /dev/null rw,

    /sys/kernel/security/apparmor/** r,
    /sys/kernel/security/apparmor/.replace w,

    /proc/[0-9]*/mounts r,
    /proc/sys/kernel/osrelease r,
    /proc r,

    capability mac_admin,
  }
}

suse 的一些信息

suse secrets 的 patch

一些故障

UOS 系统上容器无法启动：

root@user-PC:~# cat /etc/os-release 
PRETTY_NAME="UnionTech OS Server 20 Enterprise"
NAME="UnionTech OS Server 20 Enterprise"
VERSION_ID="20"
VERSION="20"
ID=UOS
HOME_URL="https://www.chinauos.com/"
BUG_REPORT_URL="http://bbs.chinauos.com"
VERSION_CODENAME=fou
root@user-PC:~# uname -a
Linux user-PC 4.19.0-arm64-server #3211 SMP Thu Apr 15 10:21:53 CST 2021 aarch64 GNU/Linux
root@user-PC:~# lscpu
Architecture:        aarch64
CPU op-mode(s):      64-bit
Byte Order:          Little Endian
CPU(s):              64
On-line CPU(s) list: 0-63
Thread(s) per core:  1
Core(s) per socket:  32
Socket(s):           2
NUMA node(s):        4
Vendor ID:           0x48
Model:               0
Model name:          HUAWEI Kunpeng 920 5231K
Stepping:            0x1
BogoMIPS:            200.00
L1d cache:           4 MiB
L1i cache:           4 MiB
L2 cache:            32 MiB
L3 cache:            128 MiB
NUMA node0 CPU(s):   0-15
NUMA node1 CPU(s):   16-31
NUMA node2 CPU(s):   32-47
NUMA node3 CPU(s):   48-63
Flags:               half thumb fastmult vfp edsp neon vfpv3 tls vfpv4 idiva idivt lpae evtstrm
root@user-PC:~# docker info
Client:
 Version:    25.0.5
 Context:    default
 Debug Mode: false

Server:
 Containers: 1
  Running: 1
  Paused: 0
  Stopped: 0
 Images: 1
 Server Version: 25.0.5
 Storage Driver: overlay2
  Backing Filesystem: extfs
  Supports d_type: true
  Using metacopy: true
  Native Overlay Diff: false
  userxattr: false
 Logging Driver: json-file
 Cgroup Driver: cgroupfs
 Cgroup Version: 1
 Plugins:
  Volume: local
  Network: bridge host ipvlan macvlan null overlay
  Log: awslogs fluentd gcplogs gelf journald json-file local splunk syslog
 Swarm: inactive
 Runtimes: io.containerd.runc.v2 runc
 Default Runtime: runc
 Init Binary: docker-init
 containerd version: 7c3aca7a610df76212171d200ca3811ff6096eb8
 runc version: v1.1.12-0-g51d5e94
 init version: de40ad0
 Security Options:
  seccomp
   Profile: builtin
 Kernel Version: 4.19.0-arm64-server
 Operating System: UnionTech OS Server 20 Enterprise
 OSType: linux
 Architecture: aarch64
 CPUs: 64
 Total Memory: 255.4GiB
 Name: user-PC
 ID: 36c34e5e-d83f-4b96-902d-a5b3b605cec2
 Docker Root Dir: /data3/kube/docker
 Debug Mode: false
 Experimental: false
 Insecure Registries:
  reg.xxx.lan:5000
  treg.yun.xxx.cn
  0.0.0.0/0
  127.0.0.0/8
 Registry Mirrors:
  https://registry.docker-cn.com/
  https://docker.mirrors.ustc.edu.cn/
 Live Restore Enabled: false
 Product License: Community Engine

WARNING: No swap limit support

启动报错：

$ docker run -d --name t1 2e72
50e7dc221804297487e057055663c8315cd3a3218aacb631394798cdf9e9f8da
docker: Error response from daemon: failed to create shim task: OCI runtime create failed: runc create failed: unable to start container process: error during container init: unable to apply apparmor profile: apparmor failed to apply profile: write /proc/self/attr/exec: invalid argument: unknown.

搜了几个相关 issue，docker 和 runc 版本都足够新，机器上也有安装 /sbin/apparmor_parser ，之前有在 4.1x 内核上发现 apparmor 功能不完整， 关闭 apparmor 尝试下就好了：

# GRUB_CMDLINE_LINUX 或者 GRUB_CMDLINE_LINUX_DEFAULT
# 添加 apparmor=0 security=
vi '+:set mouse-=a' /etc/default/grub

更新 grub

systemctl disable --now apparmor
# apt
update-grub
# yum
grub2-mkconfig -o /etc/grub2.cfg

reboot

重启后的：

$ cat /proc/cmdline 
BOOT_IMAGE=/vmlinuz-4.19.0-arm64-server root=UUID=a17eff26-xxxx-4899-xxxx-975b0ec48ca4 ro splash quiet console=tty plymouth.ignore-serial-consoles apparmor=0 security= DEEPIN_GFXMODE=

参考

• github issue，关于signal (receive) peer=unconfined 是上游不支持
• Impossible to see contents of AppArmor Profile “docker-default”
• apparmor wiki
• libseccomp bug
• suse apparmor
• ubuntu apparmor

原文作者：Zhangguanzhang

原文链接：http://zhangguanzhang.github.io/2024/01/08/docker-apparmor/

发表日期：January 8th 2024, 9:05:30 pm

更新日期：January 8th 2024, 9:05:30 pm

版权声明：本文采用知识共享署名-非商业性使用 4.0 国际许可协议进行许可

• Next Post
  golang 代码层面构建和推送容器镜像到远端仓库
• Previous Post
  openat /etc/resolv.conf 卡住的一次排查

Powered by Hexotheme Archer

PV: :)

CATALOG

1. 1. 由来
2. 2. 过程
   1. 2.1. 报错信息
   2. 2.2. docker 的 apparmor 生成和加载
   3. 2.3. 解决过程
3. 3. apparmor 和一些其他信息
   1. 3.1. 规则文件解释
   2. 3.2. docker 示例
   3. 3.3. suse 的一些信息
4. 4. 一些故障
5. 5. 参考

• Archive
• Tag
• Cate

Total : 186



2024

• 09/16 hostPort 不通排查，以及挖掘问题根源
• 08/02 在 IPv6 单栈下适配部署 K8S、中间件、应用适配
• 07/25 [持续更新] - headscale 搭建和应用场景
• 07/21 [持续更新] - 安卓折腾笔记
• 06/17 hostPort 访问进来的源 IP 是 cni0 地址的排查
• 05/22 arm64 redis COW 检测
• 05/01 k8s node 热扩容内存导致的一次业务故障
• 04/22 开源容器镜像扫描 trivy 懒人重点指南
• 04/16 golang pprof 转 svg 的最小二进制依赖尝试
• 04/11 cri-dockerd 无法拉取需认证仓库上的 pause 镜像解决
• 04/08 docker 和 k8s 使用 gpu 笔记
• 02/06 高版本client-go在serviceAccountToken下invalid bearer token?
• 01/26 docker v2 registry 本地仓库如何只删除指定 tag 而非 manifest 下的所有 tag
• 01/16 golang 代码层面构建和推送容器镜像到远端仓库
• 01/08 docker 和 apparmor

2023

• 12/01 openat /etc/resolv.conf 卡住的一次排查
• 11/03 [持续更新] - 容器非 root 启动改造的经验
• 10/20 proxmox 7.4 升级8 后开机卡在 Loading kernel 6.2.16-15
• 08/18 k8s 使用 nfs 下 pod 无法创建的解决思路
• 08/08 qemu-user-static 下 cgo go build 卡住的一次解决
• 07/13 为什么ipvs下externalIPs乱设置会崩
• 05/22 pod 的 /etc/resolv.conf 生成机制
• 04/12 国产系统上解决docker pull卡住的问题
• 03/07 利用 qemu user 模式和 binfmt_misc 构建其他架构的 docker 镜像
• 02/14 openstack 虚机上 rabbitmqctl 超时

2022

• 12/30 k8s java 容器未设置 requests.cpu 导致性能问题
• 11/03 如何打包一个不依赖 python 的 supervisor 的包去离线部署
• 10/09 磁盘问题宕机后 docker 的 containerd 无法启动
• 09/07 低版本docker veth没清理造成容器网络问题
• 07/28 exsi 使用 redhat8.4 搭建k8s集群，flannel vxlan 模式的不正常排错
• 07/12 k8s pod 没有 IP ，报错 failed to read pod IP from plugin/docker
• 06/03 docker info无warning，iptables规则正常，宿主机就是不转发
• 05/13 低版本内核下容器内部无法使用 unix socket 通信
• 04/23 nfc 折腾笔记，ACR122U/proxmark3
• 04/22 docker containerd 不定时的 segfault 的一次处理过程
• 04/21 ecs 中毒的一次处理过程
• 04/11 无数据的 tcp 链接被 SDN/防火墙 干掉的一种处理办法
• 03/24 python kubernetes client list permission
• 03/17 ttf转woff工具谷歌woff2的静态编译
• 03/16 server 端的 cannot assign requested address
• 02/24 keepalived static link build
• 02/18 proxmox 开机 error: disk 'lvmid/[vg uuid]/[lv uuid]' not found
• 02/10 18.09.03 docker daemon layer broken 的一次不优雅处理
• 01/26 利用 docker buildx 静态编译 nginx
• 01/22 EmuELEC 笔记

2021

• 12/19 openwrt 的在线升级固件和扩容的研究
• 12/12 docker数据盘损坏后启动报错 Error starting daemon: Error initializing network controller: Error creating default "bridge" network: package not installed
• 10/29 1.15 kubelet 在 nodefs 容量富裕下循环 reclaim ephemeral-storage
• 09/28 在非容器环境上实现散装的 IPVS SVC
• 09/16 解决 docker 的 read unix @->/run/containerd/s/xxx read: connection reset by peer: unknown
• 09/03 [持续更新] - Openwrt USB 网络
• 09/02 fio 静态编译和基础使用
• 09/01 ubuntu18下io调度算法是cfq导致mysql非常慢
• 08/27 干掉烦人的 open /run/xtables.lock: is a directory
• 08/25 flannel下集群有个节点网络不通的一次排查
• 08/24 一次 cni-plugins 导致集群 dns 无法解析的排错
• 08/16 kubelet 为系统配置预留资源
• 07/26 鲲鹏920的麒麟v10物理服务器断电后无法启动处理
• 07/20 dlv命令行的远程调试 golang 进程步骤(包含容器进程)
• 07/16 编译mips64le架构的consul
• 07/06 机器重启后 kube-apiserver 无法启动，etcd刷(error "EOF", ServerName "")
• 07/05 Job for docker.service canceled
• 06/08 openshift 4.5.9 etcd损坏+脑裂修复过程
• 05/26 docker-ce 18.09.3 启动panic: invalid freelist page: 56, page type is leaf的解决处理
• 04/30 一次单节点单个pod网络问题排查过程
• 04/08 kubelet 和 runc 编译关闭 kmem
• 03/23 iptables --wait -t nat -A DOCKER...: iptables NO chain/target/match by that name
• 03/22 Internal error occurred: jsonpatch add operation does not apply: doc is missing path: xxx
• 03/12 使用github action 配合 docker buildx 编译 arm64 docker-compose
• 02/02 集群节点关机导致dns在eviction pod之前几率不可用
• 01/24 e2fsck 太老报错 has unsupported feature(s): metadata_csum，从而尝试静态编译
• 01/23 chrony 静态编译和笔记

2020

• 12/04 docker18.03 hang at 'restoring container'
• 11/23 ansible reload user group
• 11/23 ansible hang in docker container
• 11/20 永久关闭swap的正确姿势
• 11/06 银河麒麟arm64系统克隆机器上k8s vxlan跨节点不通的一次排查
• 10/30 统信USO 20 hostPort 无法访问
• 10/20 银河麒麟arm64系统上k8s集群跨节点不通的一次排查
• 09/18 openshift 4.5.9 离线安装
• 08/27 skopeo 静态编译
• 08/05 个人用 wireguard 笔记
• 07/30 prometheus的rate与irate内部是如何计算的
• 07/23 k8s master机器文件系统故障的一次恢复过程
• 07/05 Linux audit 审计
• 06/25 k8s pprof 分析 cpu 和内存
• 06/23 阿里云上使用flannel host-gw跨节点pod不通的解决
• 06/19 [未写完]使用go开发一个Prometheus的exporter
• 05/23 v1.17+ k8s集群下CNI使用VXLAN模式SVC有63秒延迟的触发原因定位
• 05/13 proxmox x86软路由笔记
• 05/12 adguardhome dns FORMERR 错误
• 05/12 斐讯N1刷机和旁路由的设置
• 04/27 git工作流下golang项目的version信息该如何处理
• 03/26 一次deploy,rs,sts Mismatch 的处理
• 03/10 go mod的基础使用-科普
• 03/02 centos6中毒重启后卡在启动页面
• 03/02 记录一次request_module: runaway loop modeprobe binfmt-0000
• 02/27 使用microsoft-graph的api对接onedrive
• 01/15 Killing container "docker://xxx with 30 second grace period
• 01/08 docker-18.06.3-ce启动panic: invalid page type: 0: 0的解决处理

2019

• 12/05 opensuse的一次救援
• 12/03 从PTTYPE="dos"到TYPE="LVM2_member"的救援
• 11/24 [长期更新]--应大多数人要求写下kubeadm的基础使用
• 10/24 consul仅当服务发现在k8s无状态部署使用
• 10/21 手动修复v1.14-v1.15版本k8s的issue:76956
• 10/12 /boot目录被清空下物理机无法开机的一次救援
• 10/11 ansible数量限制上的幂等性
• 09/27 高可用的SSL consul cluster实践
• 09/05 修改源码更改prometheus的时区问题
• 08/24 gobot控制esp8266
• 08/06 ubuntu preseed无人应答安装
• 07/14 golang headless browser包chromedp初探
• 07/08 为什么我不用nodePort之偶然中奖几率
• 07/07 golang的net/http包的客户端简单科普
• 06/26 uefi模式下docker+交换机部署pxe批量安装
• 06/23 拟定excel表格服务器自动按照表格配置信息和安装的实现过程
• 06/12 SMASH CLP的一些笔记
• 06/02 golang cobra的一些笔记
• 05/11 standard_init_linux.go:211: exec user process caused "too many open files in system"
• 04/28 闲谈线上俩k8s环境同等limits下pod启动时间不一样解决过程
• 03/22 一次kube-controller-manager的bug导致的线上无法调度处理过程
• 03/15 不走etcd v2 api下二进制跑flannel的总结
• 03/11 k8s高可用涉及到ip填写的相关配置和一些坑
• 03/03 二进制部署Kubernetes v1.13.12 HA可选
• 02/19 docker部署jira(8.0.0)和confluence(6.14.1)
• 02/12 通用的dashboard部署和tls，SSL相关部署
• 01/30 fstab与systemd.mount自动挂载的一点研究和见解
• 01/22 proxmox里使用cloud-init和一些笔记

2018

• 12/04 prometheus的黑盒监控
• 11/24 对于初入k8s和kubeadm的一些建议
• 11/06 一次docker镜像的解耦--onlyoffice
• 11/05 记录一次十字符病毒清理过程
• 10/27 生成kubeconfig常规的两种方法
• 10/12 全手动部署prometheus-operator监控K8S集群以及一些坑
• 10/06 IngressController使用和它的高可用落地
• 09/24 跨VPC或者跨云供应商搭建K8S集群正确姿势
• 09/18 二进制部署Kubernetes v1.11.x(1.12.x) HA可选
• 08/03 Kubernetes v1.11.x HA全手动苦工安装教学
• 07/18 基于openstack的ecs上使用VIP
• 07/08 利用travis同步gcr.io镜像到dockerhub
• 06/25 记录一次线上k8s节点故障
• 06/03 kubernetes's Job总结和实战以及坑
• 06/02 kubernetes的PodAffinity的不解
• 05/05 [转载+修正]Kubernetes v1.10.x HA全手动苦工安装教学
• 04/29 kubernetes的configMap文件挂载不同的路径且不覆盖目录的解决方法
• 03/18 使用管理网当作业务网keepalived VIP的心跳线
• 02/15 Linux tc基础使用
• 02/05 docker无法删除掉镜像的解决方法
• 01/20 慎用docker的--rm选项!!!
• 01/10 docker的一些概念

2017

• 12/24 docker容器访问宿主机
• 12/23 docker容器网络互联
• 08/03 Linux 上 iptables ipset 白名单
• 07/25 centos桥接测试
• 07/15 使用 dd 利用 iso 文件制作 USB 启动盘
• 07/06 windows 笔记
• 07/05 centos7 的一些常见软件的安装 mirror
• 06/26 lua列出所有upsteam
• 06/03 bash自定义补全
• 05/25 shell脚本的选项和参数处理
• 05/15 rpm包的制作笔记
• 05/12 ssh互信
• 05/06 shell利用快捷键提升命令输入和编辑
• 04/29 个人zabbix安装和坑的解决
• 04/26 正则零宽断言的一个注意点
• 04/25 [转载]awk中RS,ORS,FS,OFS区别于联系
• 04/20 记录LVM和raid的练习
• 04/20 虚拟化扩容硬盘大小
• 04/17 分享下自己做的外网控制硬件
• 04/15 shell多进程并发执行
• 04/15 shell的字符串截取
• 04/11 8266模块的烧写和sdk的坑
• 04/09 安卓安装linux并且源码编译安装搭建lnmp的坑和总结
• 04/03 centos配置bond
• 04/03 编写一个动态准入控制
• 03/28 Linux 僵尸进程处理
• 03/23 判断是否是 dhcp 获取ip的一个手段
• 03/20 vsftpd虚拟用户简单部署
• 03/15 源码编译安装lnmp
• 02/26 Altium Designer里走线开窗和挖除铺铜还有一些技巧
• 02/12 微信公众号接入自己服务器
• 02/02 lamp环境搭建总结
• 01/08 微信公众号接入图灵机器人api

2016

• 11/13 cad
• 10/30 记录下自己制作的led-vu
• 10/28 hello world

 linux  微信  diy  8266  总结  ipmi  CLP  k8s  Mismatch  Altium Designer  ansible  consul  docker  lnmp  安卓  Linux  kernel  prometheus  exporter  boot  grub  cad  tcp  golang  centos6  chromedp  chrony  kubernetes  cni-plugins  mips64le  kubeconfig  swap  dlv  adguardhome  dns  Dockerfile  e2fsck  fsck  keepavlied  ecs  xmrig  etcd  fio  flannel  ftp  go mod  go  gobot  esp8266  hello world  host-gw  mqtt  原创  jira  confluence  kube-controller-manager  java  springboot  vip  keepalived  ConfigMap  PodAffinity  kylin  arm64  Kylin  audit  fs  nginx  microsoft  graph  onedrive  nodeport  usb-net  overlay  kernal  preseed  Prometheus  openstack  cloud-init  python  containerd  keepalive  shell  bash  skopeo  ssh  kubelet  systemd  dockerhub  gcr.io  api  ubuntu18  initrd  tftp  uos  x86  openwrt  zabbix  zombie  正则  awk  EmuELEC  ingress  N1  cobra  hang  cifs  http  lvs  ipvsadm  kube-proxy  63s  timeout  lamp  nfc  pm3  coredns  openshift  ocp  squashfs  timezone  rpm  rpmbuild  segfault  suse  wireguard  raid  kubeadm  operator  exsi  redhat8.4  vxlan  veth  panic  supervisor  pyinstaller  ttf  woff  hostname  qemu  binfmt_misc  loongarch64  externalIP  cgo  nfs  ipset  proxmox  non-root  containers  vmware  hung  apparmor  serviceAccountToken  gpu  nvidia  cri-dockerd  pprof  trivy  redis  /etc/resolv.conf  hostPort  hotplug  android  headscale  derper  iptables



缺失模块，请参考主题文档进行安装配置：https://github.com/fi3ework/hexo-theme-archer#%E5%AE%89%E8%A3%85%E4%B8%BB%E9%A2%98

 日志  心得  闲搞  ipmi  kubernetes  ansible  kubelet  Linux  心得  prometheus  boot  Auto cad  boot  golang  kubeconfig  grub  linux  centos6  容器  docker  docker  容器  openstack  boot  vsftp  go  version  panic  gobot  闲聊  iptables  admission  kube-controller-manager  keepalived  k8s  Prometheus  Job  k8s  lua  microsoft  openwrt  preseed  Prometheus  proxmox  总结  CI  Kylin  ubuntu18  pxe  uos  graph  运维  zombie  技巧  travis  docker  onedrive  kickstart  consul  fstab  http  vxlan  coredns  node-cache  golang  kmem  suse  wireguard  raid  kubeadm  LVM  kickstart  prometheus  raid



