Blog
Thoughts on engineering, design, and building great products.
seccomp-bpf: BPF Cổ Điển Lọc Syscall Trong Mọi Container
Trước eBPF có cBPF — BPF cổ điển, thứ tcpdump dùng. Và nó vẫn đang chạy: seccomp-bpf lọc syscall bằng cBPF, là lớp sandbox nền của container. Bài này phân biệt cBPF với eBPF, soi seccomp thật trên cụm (pause container và CSI sidecar bị giới hạn, pod privileged thì không, systemd-resolved chồng 28 filter), rồi tự viết một filter cBPF chặn mkdir bằng EPERM — tám lệnh thao tác trên struct seccomp_data, cài bằng prctl, chặn thật trong khi printf vẫn chạy.
Kubernetes Là Gì và Vì Sao Cần Orchestration
Mở đầu series: từ một container đơn lẻ tới việc chạy hàng chục container trên nhiều máy — vấn đề mà Kubernetes sinh ra để giải. Vì sao 'orchestration' và 'trạng thái mong muốn' là hai ý quan trọng nhất, minikube là gì, và lộ trình cả series.
Docker Là Gì và Vì Sao Nên Dùng
Mở đầu series: Docker giải quyết vấn đề gì, khác máy ảo ra sao, các khái niệm cốt lõi (image, container, registry), và lộ trình học từ cơ bản tới Docker Swarm.
Cài Đặt Docker và Chạy Container Đầu Tiên
Cài Docker theo hệ điều hành, rồi chạy container đầu tiên và nắm trọn vòng đời: run, ps, logs, exec, stop, rm. Kèm sơ đồ trạng thái container và phần dọn dẹp.