https://opennet.ru/openforum/vsluhforumID3/115990.html Состоялся (https://kubernetes.io/blog/2018/12/03/kubernetes-1-13-release-announcement/) релиз платформы оркестровки контейнеров Kubernetes 1.13 (http://kubernetes.io/), позволяющей как единым целым управлять кластером Linux-контейнеров, созданных с использованием таких инструментариев как Docker и rkt. В новой версии устранена критическая уязвимость (https://github.com/kubernetes/kubernetes/issues/71411) (CVE-2018-1002105 (https://security-tracker.debian.org/tracker/CVE-2018-1002105)) в реализации API, которая позволяет (https://access.redhat.com/security/vulnerabilities/3716411) любому пользователю получить полный контроль за кластером изолированных контейнеров. Проблема также устранена (https://groups.google.com/forum/m/#!topic/kubernetes-announce/GVllWCg6L88) в обновлениях 1.10.11, 1.11.5 и 1.12.3.<br><br><br>Для совершения атаки достаточно отправить через API специально оформленный запрос определения доступных бэкентов (discovery-запрос). Из-за ошибки данный тип запросов позволяет использовать сервер API (kube-a https://opennet.ru/openforum/vsluhforumID3/115990.html#64 Fri, 07 Dec 2018 11:11:07 GMT В параллельной stable-вселенной они и написаны на Си. А у нас testing-вселенная, так что, живём как живём... :(<br> https://opennet.ru/openforum/vsluhforumID3/115990.html#63 Fri, 07 Dec 2018 05:23:04 GMT &gt;у разработчиков Федора,на продакшене CentOS. <br>&gt;Баги у первых не воспроизводятся, но присутствуют <br>&gt;на центосе из-за разных версий зависимостей<br><br>Я так и не понял. В каких-то центосовых либах якобы баги, а в федоре нет (что уже звучит фантастично). Девки ваши соберут свою прожку с либами от федоры и выкатят в прод? Ну в пень, это не решение проблемы.<br><br>А если докер им нужен только для "более удобного дебага с центосовыми либами, сидя в федоре", то спрашивается, а зачем потом тащить этот ваш доцкер дальше машины девы? <br><br>То что доцкер решает какие-то проблемы никто не спорит, плохо то, что он привносит другие проблемы плюс оверхед _в разработку_. У меня есть на виду один фанатик. Иногда на банальных вещах стопорится на день. Чего-то там пересобирает, ковыряет, перенастраивает.<br><br>И в целом, от докерофилов много блабла про удобство работы и плюшки и тд, а по факту, из официальной yum репы софт обновляется как часы, а докерный софт дева висит месяцами протухший. Ну работает же.<br> https://opennet.ru/openforum/vsluhforumID3/115990.html#61 Thu, 06 Dec 2018 15:23:19 GMT Не только и не столько...<br>Суть в модульности и масштабируемости. И, как побочный эффект, - упрощение системы.<br> https://opennet.ru/openforum/vsluhforumID3/115990.html#60 Thu, 06 Dec 2018 15:20:36 GMT Вообще-то в Докер-контейнере нет ОС! Потому-то они и такие маленькие... и это их основное преимущество перед КВМ и пр.<br> https://opennet.ru/openforum/vsluhforumID3/115990.html#59 Thu, 06 Dec 2018 15:06:20 GMT Вообще-то альтернатива есть - Serverless!<br> https://opennet.ru/openforum/vsluhforumID3/115990.html#58 Thu, 06 Dec 2018 14:22:46 GMT &gt; Ну а использование докера в продакшене очень быстро приводит к внедрению k8s.<br>&gt; Ибо если не он, то что?<br><br>Соглашусь. Докер, конечно классный инструмент, но заставляет очень быстро деградировать. Причем, как админов, так и разработчиков.<br>Пример его полезности с точки зрения админа - мне недавно надо было поднять несколько кибан разных версий, для разных кластеров эластики. И один общий контейнер для эласталерта. Докер - отлично подошел. Городить это на виртуалках я бы задолбался, к тому же это лишние сущности.<br>Пример полезности с точки зрения разработчика - дев окружения, но крайней мере в веб разработке. Запушили, проект оттестировался, собрался и можно легко посмотреть результат.<br>Пример вреда докера - разработчики и новоиспеченные девопсы пытаются абсолютно все завернуть в докер. Файлшаринг(20Гб) для мелкого проекта на виртулке - это больше не по девопсовски, завернем его еще и контейнер, а хранилку маунтом прокинем. Дикость? Я считаю да. Наш новоявленный девопс считает, что только так и надо устанавл https://opennet.ru/openforum/vsluhforumID3/115990.html#57 Thu, 06 Dec 2018 10:37:51 GMT &gt; Во время сбокри имиджа волюм не используется<br><br>Имеется в виду "во время сборки для CI или продакшена", т.е. не во время разработки.<br> https://opennet.ru/openforum/vsluhforumID3/115990.html#56 Thu, 06 Dec 2018 10:33:06 GMT Вот простой пример из реальной жизни: у разработчиков Федора,<br>на продакшене CentOS. Баги у первых не воспроизводятся, но присутствуют на центосе из-за разных версий зависимостей (версии системных либ, и, вы будете удивлены, проект на питоне, но проблема всё же во внешних непитоновых зависимостях).<br><br>Как тут девелопить и дебажить? Юзать центос на десктопе как-то никто не хочет, да и админы, ответственные за рабочие станции, говорят что это плохая идея. Поднимать целую VM не вижу смысла, тем более, это неудобно даже с тем же "упрощающим разработку" Vagrant &#8211; не ясно как синхронизировать рабочий каталог в две стороны, да так, чтобы файлы оставались доступными из хоста когда VM остановлена.<br><br>Доцкер эту проблему успешно решает. Во время разработки каталог с кодом монтируется волюмом в контейнер и позволяет делать то что нам нужно (бесшовная двусторонняя синхронизация без задержек, т.к. по сути это mount в пределах локальной ФС). Во время сбокри имиджа волюм не используется, а производится чистый git clon https://opennet.ru/openforum/vsluhforumID3/115990.html#55 Thu, 06 Dec 2018 09:47:43 GMT И да, Swarm всех этих плюшек не имеет.<br>