man7.org > Linux > man-pages| man7.org
containerd 1.7 版本有比较多的实验特性。在这里,我会介绍 containerd 对 UserNamespace Stateless Pod 支持的情况,算是个人对 containerd 1.7 版本特性介绍系列的开篇。 1. UserNamespace 安全特性 Linux 内核是基于进程的 credentials(7) 凭证来做访问控制,比如进程的拥有者标识 UID/GID 和用于系统资源访问控制判定的 Effective UID/GID 等凭证。而 user_namespace(7) 提供了安全隔离特性。在不同的 user namespa...| Posts on Fu, Wei
Index ·| www.freedesktop.org
在 GO 1.23 版本中,GO Linker 将来会限制 //go:linkname 直接引用标准库中不可访问的对象。 看到这个消息后,我立刻用 GO 1.23.0 编译了 containerd,发现即使不加 -checklinkname=0 也能正常工作。 之前为了支持 ID-mapped mount, 我在 containerd 项目里使用了 GO runtime 的隐藏功能,算是语言层面的灵活运用。 现在可倒好,GO 团队直接在代码里把 containerd 列为 Hall of shame 成员。 这种强行拉入群的...| Fu, Wei
man7.org > Linux > man-pages| man7.org
man7.org > Linux > man-pages| man7.org
man7.org > Linux > man-pages| man7.org