背景公司使用的是交老的k8s版本（1.16），由于老版本的K8s对于现在很多新特性不支持，所以需要升级到新版本。目前2023年7月11日最新版本的k8s是v1.27.3。通过参考官方文档进行k8s部署工作。其中涉及到操作系统配置、防火墙配置、私有镜像仓库等。环境操作系统：centos7.9机器：1个master和1个node节点安装设置系统#所有机器设置hostnamehostnamectlset-hostnamemaster1hostnamectlset-hostnamenode1#所有机器增加内网ip和master1对应关系vi/etc/hosts如：master1192.168.1.1n

什么是ShimShim一词的原本含义是“垫片”或者“楔子”，而首先将这个词应用到软件工程领域的似乎是微软。根据Wikipedia的总结：AshimisalibrarythattransparentlyinterceptsAPIcallsandchangestheargumentspassed,handlestheoperationitselforredirectstheoperationelsewhere.ShimscanbeusedtosupportanoldAPIinanewerenvironment,oranewAPIinanolderenvironment.Shimscanalsobe

1.故障现象：阿里云ECS服务器：WelcometoUbuntu22.04.2LTS(GNU/Linux5.15.0-73-genericx86_64)上用docker部署elasticsearch服务。因为偷懒直接用的snap软件包管理器安装的docker。安装docker的版本信息为：部署es或者redis等服务时，发现用docker挂载一直比较奇怪。要么是报错：docker:Errorresponsefromdaemon:failedtocreateshimtask:OCIruntimecreatefailed:runccreatefailed:unabletostartcontaine

K8s部署：2023年K8s发布第一个大版本K8s1.27变动？运行时Containerd一起来安装看看！一、主机准备1.1Kubernetes1.27版本集群部署环境准备1.1.1主机操作系统说明序号操作系统及版本备注1CentOS7u91.1.2主机硬件配置说明需求CPU内存硬盘角色主机名值8C8G1024GBmasterk8s-master01值8C16G1024GBworker(node)k8s-worker01值8C16G1024GBworker(node)k8s-worker021.1.3主机配置1.1.3.1主机名配置由于本次使用3台主机完成kubernetes集群部署，其中1台

简介nerdctl是用于containerd并且兼容dockercli习惯的管理工具，主要适用于刚从docker转到containerd的用户，操作containerd的命令行工具ctr和crictl不怎么好用，所以就有了nerdctl。要特别说明的是：nerdctl操作的是containerd而非docker，所以nerdctlimages和dockerimages看到的内容不同，它只是用法保持了dockercli的习惯，实质上操作的是containerd。nerdctl的使用和docker一致，与docker具有相同的体验，主要特征如下：✅与docker的UI/UX相同✅支持docker-

基于containerd容器运行时部署k8s1.28集群一、主机准备1.1主机操作系统说明序号操作系统及版本备注1CentOS7u91.2主机硬件配置说明需求CPU内存硬盘角色主机名值8C8G1024GBmasterk8s-master01值8C16G1024GBworker(node)k8s-worker01值8C16G1024GBworker(node)k8s-worker021.3主机配置1.3.1主机名配置由于本次使用3台主机完成kubernetes集群部署，其中1台为master节点,名称为k8s-master01;其中2台为worker节点，名称分别为：k8s-worker01及k

我的系统是ubuntu22.04，装的docker版本是24.0.5，但是在下载镜像之后去加载时报了这个错误docker:Errorresponsefromdaemon:failedtocreatetaskforcontainer:failedtocreateshimtask:OCIruntimecreatefailed:runccreatefailed:invalidrootfs:notanabsolutepath,orasymlink:unknown.ERRO[0000]errorwaitingforcontainer: 搜了很多文章，有的说是runc没有安装，我看了一下我的docker，

文章目录前言一、准备开始二、环境配置（所有节点操作）三、安装containerd（所有节点操作）3.1、安装containerd3.2、安装runc3.3、安装CNI3.4、配置加速器四、cgroup驱动（所有节点操作）五、安装crictl（所有节点操作）六、kubeadm部署集群6.1、安装kubeadm、kubelet、kubectl（所有节点操作）6.1.1、配置ipvs6.2、kubeadm初始化（master节点操作）6.3、部署网络（master节点操作）6.3.1、说明6.3.2、操作（calico下载）总结参考文档前言大家好，我是秋意临。今日分享，kuberneter-v1.2

漏洞修复-Dockerrunc容器逃逸漏洞CVE-2021-304651、背景2、漏洞描述3、影响版本4、安全版本5、修复建议6、升级影响7、修复步骤1、背景2021年5月31日，阿里云应急响应中心监测到国外安全研究人员披露CVE-2021-30465runc符号链接挂载与容器逃逸漏洞。针对该漏洞的整改过程。2、漏洞描述runc是一个轻量级通用容器运行环境，它允许一个简化的探针到运行和调试的底层容器的功能，不需要整个docker守护进程的接口。runc存在容器逃逸漏洞，该漏洞是由于挂载卷时，runc不信任目标参数，并将使用“filepath-securejoin”库来解析任何符号链接并确保解析

简介 Kubernetes从v1.20开始弃用Docker，并推荐用户切换到基于容器运行时接口（CRI）的容器引擎，如containerd、cri-o等。目前使用的环境中使用了Kubernetesv1.22.3，containerd1.4.3，containerd在配置私服配置上与直接使用docker有一定区别。今天简单聊一下如何配置私服，默认使用dockerhub官方镜像registry:v2和harbor配置的私服为http，未做配置时k8s拉镜像时会以https协议访问。假定已创建好的私服地址为http://10.211.55.2:5000，进行如下修改编辑worker节点上/etc/c