容器优化OS示例

Question

我在这里遵循了所有的文档：https://cloud.google.com/container-optimized-os/docs/试图将我现有的使用容器-vm映像的配置升级到使用容器优化操作系统的新配置。但什么都没用！我不能让码头集装箱绑定到80个港口(即。-p 80:80)以及我的Docker容器似乎不能写入/var/run/nginx.pid (是的，我在Docker容器中使用了nginx )。我遵循了禁用AppArmour的说明，我还尝试为nginx创建AppArmour配置文件。毫无办法!他们是否有任何例子使用容器优化的操作系统，不只是使用繁忙的图像和打印"Hello“或睡眠！打开端口并写入文件系统的示例如何？

Answer 1

我刚刚在Container上安装了阿帕奇瓜卡莫，它工作起来很有魅力。有安全方面的一些限制因素。

根文件系统("/")以只读方式挂载，其中某些部分重新安装为可写文件系统，如下所示：

• /tmp、/run、/media、/mnt/disks和/var/lib/cloud都是使用tmpfs挂载的，虽然它们是可写的，但它们的内容不会在重新引导之间保存。
• 目录/mnt/statided分区、/var和/home是从有状态磁盘分区挂载的，这意味着这些位置可以用来存储在重新引导过程中持续存在的数据。例如，docker的工作目录/var/lib/docker在重新启动时是有状态的。
• 在可写位置中，只有/var/lib/docker和/var/lib/cloud作为“可执行文件”挂载(即没有noexec挂载标志)。

如果您需要接受来自任何源IP的HTTP (端口80)连接地址，在容器优化的OS实例上运行以下命令：

sudo iptables -w -A INPUT -p tcp --dport 80 -j ACCEPT

通常，建议您通过云init将主机防火墙配置为系统服务。

PS:容器优化的操作系统能够自动更新.此机制可用于更新计算机引擎实例群。

Answer 2

我不能让码头集装箱绑定到80个港口(即。-p 80:80)以及我的Docker容器似乎不能写入/var/run/nginx.pid (是的，我在Docker容器中使用了nginx )。

我想你可能遇到了一些GCE防火墙问题。最好的方法是一步一步地验证/调试它：

1. 尝试运行一个愚蠢的简单nginx容器："-d“要求Docker在守护进程模式下运行它，"-p 80:80”映射HTTP，并将“-name nginx-hello”名称映射到容器到nginx-hello。 docker run -d --名称nginx-hello -p 80:80 nginx
2. (可选)验证容器是否正确运行:您应该看到列出的“nginx”容器。 码头工人ps
3. 验证nginx在本地工作:您应该看到一个良好的HTTP响应。 卷曲寄主:80

如果您能够正确验证上述所有步骤，那么您可能面临GCE防火墙问题：

如何为GCE实例模板启用http流量？