По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Эта статья направлена на сохранение нервных клеток и времени наших читателей. Дело в том, что по умолчанию, разрешение имен (domain lookup) включено на каждом маршрутизаторе. Тем самым, роутер, интерпретирует каждую команду как имя хоста для подключения по Telnet и пытается разрешить этот хостнейм в IP – адрес, обращаясь к DNS серверу – но, само собой, безуспешно, так как обычно, это команда Cisco IOS, в которой просто допущена ошибка синтаксиса.
В статье мы покажем 3 способа, как можно избавиться от этого безобразия.
Router>en
Router#wiki.meironet.ru
Translating "wiki.meironet.ru"...domain server (255.255.255.255)
% Unknown command or computer name, or unable to find computer address
Способ №1: выключаем разрешение имен
Если вашему маршрутизатору не нужно разрешать доменные имена, то почему бы просто не отключить лукап? Делается это предельно просто:
Router>en
Router#conf t
Router(config)#no ip domain lookup
Router(config)#exit
Посмотрите на скриншот – мы отключили лукап и трансляция сразу перестала забирать наше время:
Способ №2: отключаем исходящие Telnet подключения
Если вам все – таки требуется оставить разрешение доменных имен на роутере, то можно пойти другим путем – отключить исходящие Telnet соединения с маршрутизатора, ведь как мы сказали в начале статьи, именно они являются причиной трансляций.
Router>en
Router#conf t
Router(config)#ip domain lookup
Router(config)#line con 0
Router(config-line)#transport output none
Router(config-line)#exit
Router(config)#exit
Вот что мы имеем на выходе:
Способ №3: регулируем тайм – аут подключения
Итак, финальный способ, это конфигурация таймаута подключения. По умолчанию, Cisco IOS пуляет коннекции с паузой в 30 секунд. Если способ №1 и способ №2 вам не подошли, то этот метод для вас. Сделаем тайм – аут 5 секунд, например:
Router>en
Router#conf t
Router(config)# ip tcp synwait-time 5
Setting syn time to 5 seconds
Router(config)#exit
Контейнеры Docker и Kubernetes - движущая сила современного жизненного цикла разработки программного обеспечения. Хотя Docker - более безопасный вариант, чем работа непосредственно на главном компьютере, при работе с контейнерами может возникнуть множество потенциальных проблем безопасности.
В эту статью включены десять рекомендаций по безопасности контейнеров, которые помогут предотвратить атаки и нарушения безопасности.
1. Регулярно обновляйте Docker и хост
Убедитесь, что ваш хост и Docker обновлены. Используйте последнюю версию ОС и программное обеспечение для контейнеризации, чтобы предотвратить уязвимости системы безопасности. Каждое обновление включает критические исправления безопасности, необходимые для защиты хоста и данных.
Обновление Docker не ограничивается самой платформой. Запущенные контейнеры не обновляются автоматически. Вы также должны обновить контейнеры и образы, на которых они основаны.
2. Настройте квоты ресурсов.
Чтобы избежать взлома контейнеров, которые чрезмерно потребляют ресурсы, установите ограничения на использование памяти и ЦП Docker.
Не настраивая квоты ресурсов, вы предоставляете контейнеру доступ ко всем ресурсам ОЗУ и ЦП хоста. Поскольку это настройка по умолчанию, рекомендуется ограничить количество ресурсов, которые может использовать контейнер, чтобы это не нарушило работу других служб.
Это не только предотвращает использование контейнером всех ресурсов, но также помогает поддерживать эффективность среды Docker. Квоты ресурсов обеспечивают работу контейнеров с ожидаемой скоростью и повышают безопасность.
3. Используйте пользователей без полномочий root
Docker позволяет запускать контейнер в привилегированном режиме. Хотя это может быть более быстрый способ обойти некоторые протоколы безопасности, вы всегда должны воздерживаться от использования этой практики.
Опасность запуска привилегированного контейнера заключается в том, что он открывает дверь для потенциальной вредоносной активности. Привилегированный пользователь Docker имеет те же привилегии, что и root. Это означает, что у него есть доступ к функциям ядра и другим устройствам на хосте. Злоумышленник может войти в вашу хост-систему через контейнер и подвергнуть опасности все, что находится на ней.
Придерживаться исключительно пользователей без полномочий root просто, так как это настройки Docker по умолчанию. Чтобы изменить конфигурацию по умолчанию, вам нужно будет добавить флаг --privileged в команду docker run. Однако это серьезная угроза безопасности и не должна использоваться.
4. Ограничьте возможности
Контейнеры имеют ограниченный набор возможностей Linux. Например, они могут позволить пользователю запускать контейнер с эффективностью root, но без полных привилегий root.
Ограниченные возможности Docker являются настройками безопасности по умолчанию, и они одинаковы для каждого контейнера. Поэтому рекомендуется изменить возможности, чтобы включить только то, что необходимо. Администратор управляет ими с помощью параметров --cap-add и --cap-drop.
Самый безопасный способ настроить возможности контейнера - удалить все (используя параметр --cap-drop = ALL), а затем добавить необходимые.
5. Запретить новые привилегии
Как видно из приведенного выше примера, Docker позволяет изменять возможности и привилегии контейнеров после их запуска. Чтобы предотвратить атаки повышения привилегий, рекомендуется определить привилегии контейнера.
Чтобы запретить процессам-контейнерам получать новые привилегии, используйте флаг --security-opt со значением no-new-privileges: true. Добавление флага в команду docker run перезаписывает все правила, которые вы установили с помощью параметров --cap-add и --cap-drop.
Кроме того, вы можете удалить или отключить двоичные файлы setuid и setgid в образах. Это гарантирует, что функция не будет использоваться для обхода/инъекции пути, переполнения буфера и атак с повышением привилегий.
6. Используйте надежные образы
При извлечении образа из онлайн-реестров убедитесь, что оно из безопасного и надежного источника. Самый безопасный вариант - использовать официальный центр Docker. Избегайте общедоступных сторонних реестров, в которых отсутствуют политики контроля.
При использовании онлайн-библиотек всегда просматривайте содержимое внутри образа. Кроме того, используйте инструменты сканирования образов для поиска уязвимостей перед загрузкой чего-либо в хост-систему.
Лучше всего зайти в Docker Hub и посмотреть, сможете ли вы найти там нужный образ. Это крупнейшая в мире библиотека и сообщество Docker с более чем 100 000 образов контейнеров.
7. Держите образы и контейнеры легковесными
Сведите к минимуму поверхность атаки контейнеров Docker, используя минимальный базовый образ и уменьшив количество компонентов контейнера. Сохранение небольшого размера образа помогает предотвратить нарушения безопасности и ускоряет работу контейнера.
8. Безопасные реестры
Реестр Docker - это система доставки контента, используемая для хранения и предоставления образов для ваших контейнеров. Вы можете использовать официальный онлайн-реестр Docker или настроить частный реестр на своем хосте.
Для решения для хранения образов корпоративного уровня следует использовать доверенный реестр Docker (DTR - Docker Trusted Registry ). Вы можете установить реестр за брандмауэром, чтобы предотвратить возможные нарушения.
9. Не открывайте сокет демона Docker
Docker взаимодействует с сокетом домена UNIX, который называется /var/run/docker.sock. Это основная точка входа для Docker API. Любой, у кого есть доступ к сокету демона Docker, также имеет неограниченный root-доступ.
Разрешение пользователю писать в /var/run/docker.sock или открывать сокет контейнеру - это серьезная угроза безопасности для остальной системы. По сути, это дает ему привилегии root.
Установка сокета Docker внутри контейнера не ограничивает его привилегированным доступом внутри контейнера. Это позволяет контейнеру полностью контролировать хост и все другие контейнеры. Следовательно, это не рекомендуемая практика.
10. Отслеживайте API и сетевую активность.
API и сети играют решающую роль в безопасности Docker. Контейнеры Docker обмениваются данными через API и сети. Следовательно, чтобы избежать вторжения, архитектура должна быть настроена безопасно.
Администраторы безопасности недавно обнаружили новый тип атаки, использующий неправильно настроенные API-интерфейсы Docker. Хакеры используют плохо настроенные API-интерфейсы и сетевую безопасность, используют их для развертывания образа и запуска вредоносного контейнера в хост-системе.
Помимо безопасной настройки сетей и API, вам также необходимо отслеживать действия для выявления потенциальных аномалий.
При оценке плюсов и минусов Citrix XenServer (который сейчас называется Citrix Hypervisor) по сравнению с VMware vSphere ESXi первым делом следует отметить, что эти две программные системы разрабатываются и поддерживаются разными компаниями. VMware vSphere ESXi разработана компанией VMware Inc., тогда как XenServer - компанией Citrix.
Несмотря на то, что они выполняют схожие роли, у них есть несколько отличий, которые делают их уникальными. Основное различие между ними заключается в предполагаемом использовании программного обеспечения. Citrix XenServer используется частными пользователями, а также малым и средним бизнесом, в то время как VMware vSphere ESXi предназначена только для малого и среднего бизнеса и не структурирована для личного использования.
Технические характеристики
Обе эти программы работают на выделенных серверах без предусмотренной управляющей операционной системы,в то же время поддерживают архитектуры x86 и x64. Хотя они предусматривают различные типы виртуализации, такие как аппаратная виртуализация и паравиртуализация, только VMware vSphere ESXi поддерживает полную виртуализацию. Ни одна из них не поддерживает виртуализацию операционных систем.
Оба комплекта программного обеспечения поддерживают различные варианты хранения данных. Когда дело доходит до виртуализации, разница между ними заключается в том, что VMware поддерживает FCoE и SSD для Swap и не поддерживает USB, SATA, SAS, NFS, iSCSI, которые поддерживаются Citrix XenServer. Оба они поддерживают системы хранения DAS, FC и NAS, в то время как ни один из них не поддерживает eSATA или RDM. Множество пользователей в сфере образования, финансовых услуг, здравоохранения и правительства также используют эти системы.
Сравнение цен на Citrix Xenserver и Vmware vSphere
Сравнение цен на Citrix XenServer и VMware vSphere ESXi дает несколько интересных представлений о различных бизнес-моделях, которые они приняли на вооружение. XenServer является открытым и бесплатным исходным кодом, который предоставляет лицензирование для каждого сервера.
С другой стороны, VMware требует собственной лицензии и лицензируется для каждого процессора. Оба продукта имеют клиент по всему миру вне зависимости от их ценовой структуры.
Лимиты виртуальной машины
Эти решения имеют размер виртуального диска 2000 ГБ, но объем оперативной памяти на одну виртуальную машину зависит от VMware, поскольку он предлагает ошеломляющую емкость в 1024 ГБ, в то время как Citrix XenServer предлагает 128 ГБ на одну виртуальную машину.
Сервер XenServer имеет в общей сложности 16 виртуальных ЦП на одну виртуальную машину (VCPU), а VMware - вдвое больше, 32 VCPU. XenServer предоставляет в общей сложности 7 карт виртуального сетевого интерфейса (NIC) и 16 виртуальных дисков на одну виртуальную машину. С другой стороны, VMware vSphere ESXi имеет в общей сложности 10 виртуальных сетевых адаптеров и 62 виртуальных дисков на одну виртуальную машину.
Лимиты хост-сервера
VMware vSphere имеет в общей сложности 120 виртуальных машин на узел, при этом объем оперативной памяти составляет 2048 ГБ, а общий объем виртуальных дисков - 2048 на узел.
XenServer имеет в общей сложности 75 виртуальных машин на узел с оперативной памятью 1024 ГБ и 512 виртуальных дисков.
Обе системы имеют 160 логических ЦП на узел, а VMware может иметь в общей сложности 2048 виртуальных ЦП на узел. Однако на сервере XenServer нет виртуальных ЦП.
Функции управления виртуализацией
Одной из областей, где эти программы, как правило, отличаются друг от друга, и в значительной степени объясняют различия между ними в уровнях потребления и принятия запроса, является управление виртуализацией.
Единственной функцией управления ключами, поддерживаемой обеими продуктами, является тонкая резервация памяти.
Несмотря на то, что VMware не поддерживает управление активами и сопоставление конфигураций, XenServer поддерживает эти две функции управления в дополнение к "тонкому" выделению ресурсов, но не поддерживает такие ключевые функции, как динамическое выделение ресурсов, переключение на резервный ресурс и динамическая миграция. С другой стороны, эти три важные функции полностью поддерживаются VMware vSphere ESXi.
Однако следует отметить, что при поиске других дополнительных функций, таких как автоматизированные рабочие процессы, высокая доступность (HA), режим обслуживания, общий пул ресурсов и резервное копирование/восстановление виртуальных машин, рекомендуется опробовать другие программные средства, такие как VMware vSphere Essentials.
Поддерживаемые операционные системы хоста
Следующей областью, отличающей эти две системы, является поддержка операционных систем хоста. Без сомнения, слабым местом VMware vSphere является количество операционных систем хоста, поддерживаемых программой.
VMware vSphere поддерживает только MS-DOS и Free BSD в качестве хостов.
С другой стороны, Citrix XenServer поддерживает множество операционных систем, таких как Novell Linux Desktop, Red Hat Enterprise Linux AS, Linux ES, Linux WS и Red Hat Linux. Другая поддерживаемая ОС включает Windows 2000 Professional и сервер Windows 98 и 95, Windows Me, Сервер Windows NT, Терминальный сервер Windows NT, Автоматизированное рабочее место Windows NT, Предприятие Windows Server 2003, сеть и стандартные Выпуски и Windows XP Home и профессиональные дополнения.
Поддерживаемые гостевые операционные системы
На этом фронте битва между Citrix XenServer и VMware vSphere ESXi относительно ровная, поскольку обе они поддерживают следующие гостевые операционные системы: Novell Linux Desktop, Red Hat Enterprise Linux AS, Red Hat Linux ES, Red Hat Linux WS, Red Hat Linux, Windows 2000 Professional, Windows 2000 Сервер, Windows 98, Windows 95, Windows Me, Сервер Windows NT, сервер терминалов Windows NT, рабочая станция Windows NT, предприятие Windows Server 2003, Windows 2003 Web, Windows 2003 Standard, Windows XP Professional и версия для домашнего использования Windows XP.
Исключением, однако, является то, что VMware поддерживает MS-DOS, Sun Java Desktop System и платформы Solaris x86 в качестве гостевых операционных систем, в то время как Citrix XenServer не поддерживает ни одну из этих трёх операционных систем ни в качестве хоста, ни в качестве гостевой операционной системы.
Техподдержка
Оба этих пакета программного обеспечения поддерживают различные виды технической поддержки, такие как форумы, обучающие видеоролики, онлайн-самообслуживание, базу знаний, обновления системы, телефон и технические документы.
Они также различаются в этой области, поскольку VMware не предоставляет техническую поддержку в виде блогов, брошюр, электронной почты и руководства пользователя, но, что наиболее важно, имеет хорошо укомплектованную службу поддержки, а также предлагает возможность дистанционного обучения.
Citrix XenServer, с другой стороны, обеспечивает техническую поддержку через блоги, электронную почту, брошюры и руководство пользователя / владельца, но не предоставляет эту поддержку через службу поддержки или посредством дистанционного обучения.
Заключение
На рынке VMware vSphere ESXi одержит победу над конкурентом. Теперь, когда вы знаете больше о обоих продуктах, вы можете определить, что лучше всего подходит для вашей карьеры.