主页 / server / 问题

问题[apache-mesos](server)

Martin Hope
Erik-Jan Riemers
Asked: 2016-05-27 06:30:47 +0800 CST
  • 6

我正在尝试使服务器上的 docker 更加安全。主要问题是大多数人说“如果一个人可以访问 docker,那么他们也可以是 root”,因为管理员很少这样做,这不是您想要的。

详细地说,他们可以使用-v并挂载/etc/mnt容器中并更改影子文件并获得对主机的访问权限。他们也可以使用-d, 或特权选项来做更多事情。

所以基本上,我想“尝试”和限制一些事情。

  1. 卷绑定挂载
  2. 特权
  3. --add-cap
  4. -d(某些项目?)

到目前为止我的想法:

  • docker bash 脚本的别名,在其上使用 sudo 并正则表达式所有他们不应该做的事情。
  • 打开远程 api,保护它,也许用 nginx 和 nginx 中的正则表达式对其进行反向代理,这是他们不应该做的事情。
  • 使用其他工具?Mesos/马拉松/蜂群/造船厂/随便

可选项目是使容器提交到 git 代码,并让“检查器”验证内容Dockerfile并为它们创建图像。然后签署该映像并自动部署它。(但这不会再给他们太多的自由了)

此外,删除绑定卷也不是最好的。如果我们有一个 docker 插件,上面写着“你只能/data以用户 X 的身份挂载”,那会简单得多,其中那个USERDockerfile用户 X。

docker-novolume-plugin这样的东西已经是卷的一个很好的开始,虽然不限制绑定卷。

最后的问题是,我怎样才能让用户以他们自己的用户/docker 身份构建/拉取/运行 docker 映像,而不能 root 系统。不一定是完美的,只要它有效。

security docker kubernetes docker-compose apache-mesos
Martin Hope
scott_fakename
Asked: 2015-11-03 14:13:39 +0800 CST
  • 0

我在 redhat 6.6 机器上构建了 Apache Mesos。它已安装到我将调用的目录$INST中。

我设置$INST/etc/masters$INST/etc/slaves拥有主人和奴隶的主机名,然后$INST/etc/mesos-slave-env.sh像这样设置:

export MESOS_work_dir=/path/to/some/directory/$HOSTNAME/work
export MESOS_log_dir=/path/to/some/directory/$HOSTNAME/log
export MESOS_master=masternodename:5050

$INST/etc/mesos-master-env.sh完全一样,但没有MESOS_master定义。

/path/to/some/directory可以由所有节点共享,也可以在我遇到的行为的所有节点上唯一。

然后我$INST/sbin/mesos-start-cluster第一次跑。开始。我可以打开firefox masternodename:5050并查看 Web UI,它显示了所有附加的从站。

但是,如果我跑去$INST/sbin/mesos-stop-cluster.sh杀死集群,然后用 重新启动它mesos-start-cluster.sh,它就会永远挂起。curl masternodename:5050打开到端口的连接并永远等待数据,但没有数据。日志显示了这一点,并且从这里没有任何进展:

I1102 16:05:39.334799 27997 logging.cpp:172] INFO level logging started!
I1102 16:05:39.335925 27997 main.cpp:229] Build: 2015-11-02 20:29:24 by sbhaide
I1102 16:05:39.335942 27997 main.cpp:231] Version: 0.25.0
I1102 16:05:39.336308 27997 main.cpp:252] Using 'HierarchicalDRF' allocator
I1102 16:05:39.344976 27997 leveldb.cpp:176] Opened db in 7.787897ms
I1102 16:05:39.346916 27997 leveldb.cpp:183] Compacted db in 1.90886ms
I1102 16:05:39.347038 27997 leveldb.cpp:198] Created db iterator in 94694ns
I1102 16:05:39.347062 27997 leveldb.cpp:204] Seeked to beginning of db in 4003ns
I1102 16:05:39.347074 27997 leveldb.cpp:273] Iterated through 0 keys in the db in 513ns
I1102 16:05:39.347393 27997 replica.cpp:744] Replica recovered with log positions 0 -> 0 with 1 holes and 0 unlearned
I1102 16:05:39.351538 28017 recover.cpp:449] Starting replica recovery
I1102 16:05:39.352499 27997 main.cpp:465] Starting Mesos master
I1102 16:05:39.352665 28017 recover.cpp:475] Replica is in EMPTY status
I1102 16:05:39.356853 28023 replica.cpp:641] Replica in EMPTY status received a broadcasted recover request
I1102 16:05:39.356978 28025 master.cpp:376] Master 6fa2ccac-3527-4522-a72d-8eeba06f55eb (xxxxxx.xxx.xxxxxxxx.xxx.xxx) started on 10.148.0.101:5050
I1102 16:05:39.357002 28025 master.cpp:378] Flags at startup: --allocation_interval="1secs" --allocator="HierarchicalDRF" --authenticate="false" --authenticate_slaves="false" --authenticators="crammd5" --authorizers="local" --framework_sorter="drf" --help="false" --hostname_lookup="true" --initialize_driver_logging="true" --log_auto_initialize="true" --log_dir="/path/to/log/directory/xxxxxxxx/log" --logbufsecs="0" --logging_level="INFO" --max_slave_ping_timeouts="5" --port="5050" --quiet="false" --recovery_slave_removal_limit="100%" --registry="replicated_log" --registry_fetch_timeout="1mins" --registry_store_timeout="5secs" --registry_strict="false" --root_submissions="true" --slave_ping_timeout="15secs" --slave_reregister_timeout="10mins" --user_sorter="drf" --version="false" --webui_dir="/install/directory/path/share/mesos/webui" --work_dir="..." --zk_session_timeout="10secs"
I1102 16:05:39.357393 28025 master.cpp:425] Master allowing unauthenticated frameworks to register
I1102 16:05:39.357405 28025 master.cpp:430] Master allowing unauthenticated slaves to register
I1102 16:05:39.357467 28025 master.cpp:467] Using default 'crammd5' authenticator
W1102 16:05:39.357502 28025 authenticator.cpp:505] No credentials provided, authentication requests will be refused
I1102 16:05:39.358242 28025 authenticator.cpp:512] Initializing server SASL
I1102 16:05:39.359158 28011 recover.cpp:195] Received a recover response from a replica in EMPTY status
I1102 16:05:39.360354 28029 recover.cpp:566] Updating replica status to STARTING
I1102 16:05:39.361856 28016 leveldb.cpp:306] Persisting metadata (8 bytes) to leveldb took 1.183548ms
I1102 16:05:39.361889 28016 replica.cpp:323] Persisted replica status to STARTING
I1102 16:05:39.362313 28014 recover.cpp:475] Replica is in STARTING status
I1102 16:05:39.363344 28014 replica.cpp:641] Replica in STARTING status received a broadcasted recover request
I1102 16:05:39.363711 28016 recover.cpp:195] Received a recover response from a replica in STARTING status
I1102 16:05:39.364202 28007 recover.cpp:566] Updating replica status to VOTING
I1102 16:05:39.364570 28029 leveldb.cpp:306] Persisting metadata (8 bytes) to leveldb took 222611ns
I1102 16:05:39.364594 28029 replica.cpp:323] Persisted replica status to VOTING
I1102 16:05:39.364678 28022 recover.cpp:580] Successfully joined the Paxos group
I1102 16:05:39.364972 28022 recover.cpp:464] Recover process terminated

(数据有些匿名)

我第一次启动它时它工作得很好,但第二次就永远挂起,我不知道为什么。它必须在某处存储状态信息,但lsof没有向我显示它在运行期间可能会影响任何节点的任何文件!

任何想法在哪里看或可能导致这种情况?

apache-mesos
Martin Hope
WestCoastProjects
Asked: 2015-08-31 12:13:55 +0800 CST
  • 1

我刚刚从 apache repo 下载了 mesos。这是bin目录:

$ ll bin
total 92
-rw-r--r--.  1 stack stack 1769 Jul 17 23:14 valgrind-mesos-tests.sh.in
-rw-r--r--.  1 stack stack 1769 Jul 17 23:14 valgrind-mesos-slave.sh.in
-rw-r--r--.  1 stack stack 1772 Jul 17 23:14 valgrind-mesos-master.sh.in
-rw-r--r--.  1 stack stack 1769 Jul 17 23:14 valgrind-mesos-local.sh.in
-rw-r--r--.  1 stack stack 1026 Jul 17 23:14 mesos-tests.sh.in
-rw-r--r--.  1 stack stack  901 Jul 17 23:14 mesos-tests-flags.sh.in
-rw-r--r--.  1 stack stack 1019 Jul 17 23:14 mesos-slave.sh.in
-rw-r--r--.  1 stack stack 1721 Jul 17 23:14 mesos-slave-flags.sh.in
-rw-r--r--.  1 stack stack 1366 Jul 17 23:14 mesos.sh.in
-rw-r--r--.  1 stack stack 1026 Jul 17 23:14 mesos-master.sh.in
-rw-r--r--.  1 stack stack  858 Jul 17 23:14 mesos-master-flags.sh.in
-rw-r--r--.  1 stack stack 1023 Jul 17 23:14 mesos-local.sh.in
-rw-r--r--.  1 stack stack  935 Jul 17 23:14 mesos-local-flags.sh.in
-rw-r--r--.  1 stack stack 1466 Jul 17 23:14 lldb-mesos-tests.sh.in
-rw-r--r--.  1 stack stack 1489 Jul 17 23:14 lldb-mesos-slave.sh.in
-rw-r--r--.  1 stack stack 1492 Jul 17 23:14 lldb-mesos-master.sh.in
-rw-r--r--.  1 stack stack 1489 Jul 17 23:14 lldb-mesos-local.sh.in
-rw-r--r--.  1 stack stack 1498 Jul 17 23:14 gdb-mesos-tests.sh.in
-rw-r--r--.  1 stack stack 1527 Jul 17 23:14 gdb-mesos-slave.sh.in
-rw-r--r--.  1 stack stack 1530 Jul 17 23:14 gdb-mesos-master.sh.in
-rw-r--r--.  1 stack stack 1521 Jul 17 23:14 gdb-mesos-local.sh.in
drwxr-xr-x.  2 stack stack 4096 Jul 17 23:21 .
drwxr-xr-x. 10 stack stack 4096 Jul 17 23:21 ..

两件事:没有一个文件是可执行的。他们也 这是关于什么的?

apache-mesos