The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Red Hat и Docker развивают систему изолированных контейнеров для десктоп-приложений

10.07.2014 22:45

Кристиан Шаллер (Christian Schaller), возглавляющий группу по развитию десктоп-систем в компании Red Hat, рассказал о работе над технологией изолированного выполнения десктоп-приложений для GNOME, которая развивается для Fedora Workstation совместными усилиями разработчиков из Red Hat и проекта Docker.

Суть проекта в подготовке средств, которые бы позволили использовать Docker для создания контейнеров для десктоп-приложений, по аналогии с существующими средствами создания контейнеров для серверных и web-приложений. При этом в случае десктоп-приложений возникает необходимость организации взаимодействия из контейнера с API графической подсистемы и обеспечение доступа к данным пользователя. В настоящее время уже подготовлен прототип контейнера для запуска приложения Cheese, в котором используется концепция "порталов", предоставляющих доступ к ресурсам вне контейнера через API DBus. Например, для Cheese таким способом обеспечен доступ к web-камере и микрофону.

Одновременно, Алан Дей (Allan Day), сотрудник компании Red Hat и член команды дизайнеров GNOME, рассказал о мотивах использования дополнительной изоляции и некоторых идеях по распространению, установке и обновлению десктоп-приложений, оформленных в виде самодостаточных контейнеров. Выполняемые в контейнере приложения смогут получить доступ только к ограниченному набору системных интерфейсов. При необходимости работы с дополнительными API (например, работа камерой, GPS, микрофоном) или обращения к данным пользователя предлагается запрашивать у пользователя подтверждение полномочий.

Кроме повышения уровня безопасности и приватности контейнеры позволят задействовать для приложения зависимости, которые не предоставляются текущей операционной системой, а также отделить установку и обновление контейнеров от основной операционной системы. Например, если программа требует более новый выпуск библиотеки, то её поставка в контейнере избавит от необходимости перехода всей системы на новую библиотеку с обновлением всех зависимостей. Поставка в контейнерах также даст возможность не нагромождать систему лишними зависимостями, так как вместо доустановки в систему зависимостей, необходимых только одному приложению, проще использовать данное приложение в форме контейнера.

Разработчики приложений, особенно тех, что не включены в штатные репозитории дистрибутивов, смогут распространять программы в виде контейнеров, включающих все зависимости, что избавит от необходимости формирования отдельных сборок для каждого дистрибутива. Пользователь же получит дополнительные гарантии, что оформленное в виде контейнера приложение не выйдет за границы дозволенного и будет полностью подконтрольно при выполнении операций с его данными.

  1. Главная ссылка к новости (http://blogs.gnome.org/uraeus/...)
  2. OpenNews: Первый стабильный выпуск cистемы управления контейнерной виртуализацией Docker
  3. OpenNews: Обсуждение развития GNOME, как привязанной к Linux системы
  4. OpenNews: Разработчики GNOME собираются реализовать самодостаточные пакеты приложений, не зависимые от дистрибутивов
  5. OpenNews: Представлена начальная реализация системы управления установкой приложений для GNOME
  6. OpenNews: Коллекция самодостаточных Linux-приложений, оформленных в виде одного файла
Лицензия: CC-BY
Тип: К сведению
Короткая ссылка: https://opennet.ru/40176-gnome
Ключевые слова: gnome, sandbox
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (68) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, sysstartd (ok), 23:33, 10/07/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    всё к этому и ишло, если попрёт то через пару лет больше половины дистрибутивов просто вымрет
     
     
  • 2.3, Crazy Alex (??), 23:38, 10/07/2014 [^] [^^] [^^^] [ответить]  
  • –12 +/
    Например Redhat
     
     
  • 3.12, sysstartd (ok), 00:50, 11/07/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    по правде говоря у Ubuntu намного больше шансов утонуть чем у Redhat, возьмем к примеру последние тенденции:
    Ubuntu:Upstart, Mir, Unity
    Redhat:systemd, Wayland, GNOME Shell
    а Docker может оказаться последним гвоздём в гроб Убунту и ей подобных.
     
     
  • 4.21, ананим (?), 03:02, 11/07/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это в федора-тим такое поверие что ли Даже если в убунту будет системд, вяленый... большой текст свёрнут, показать
     
     
  • 5.24, Perl_Jam (?), 03:11, 11/07/2014 [^] [^^] [^^^] [ответить]  
  • +/
    у меня crux с LAMP взлетает быстрее, нежели arch с тем же набором... к чему бы это? =)
     
     
  • 6.25, Perl_Jam (?), 03:12, 11/07/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > у меня crux с LAMP взлетает быстрее, нежели arch с тем же
    > набором... к чему бы это? =)

    подсказка: arch на systemd, у cruxa свой bsd-like init

     
     
  • 7.29, ананим (?), 03:23, 11/07/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Ну дык. Каждому своё.

    А у меня шаблоны на генту с опенрк (тот же init в основе, но можно и runit использовать).
    Эксперементы с системд прекратил месяцев 9 назад. Поначалу действительно было быстрее, но с ростом функционала стал заметно медленнее, плюс не решённые "насущьные" прблемы (пример выше был), плюс новые траблы, которых раньше и не было (например — не могу размонтировать /tmp. И висит. Вечно висит).

    Всё-равно намёк на "какчество ын-тыр-прайса" тут не работает.
    Кому он был нужен, тот уже там.

     
     
  • 8.31, Perl_Jam (?), 03:40, 11/07/2014 [^] [^^] [^^^] [ответить]  
  • +/
    на опенрц я уже много лет и проблем не испытываю, когда-то был еще init-ng, помн... большой текст свёрнут, показать
     
     
  • 9.34, ананим (?), 03:49, 11/07/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Да usr то ладно Тут хоть думку думать надо D А tmp Вообще ж нафиг не нужна... текст свёрнут, показать
     
  • 9.35, Аноним (-), 03:53, 11/07/2014 [^] [^^] [^^^] [ответить]  
  • –5 +/
    одминоватники итт, не способные в документацию и саморазвитие мусолят свои субъе... текст свёрнут, показать
     
     
  • 10.59, Владимир (??), 10:32, 11/07/2014 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Говсподин Кличко, залогинтесь ... текст свёрнут, показать
     
  • 8.83, Аноним (-), 15:48, 12/07/2014 [^] [^^] [^^^] [ответить]  
  • +/
    А отмонтировать tmp в дистре с systemd не все могут Вернее, могут не только ли... текст свёрнут, показать
     
  • 5.33, sysstartd (ok), 03:47, 11/07/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Это в федора-тим такое поверие что ли?

    по правде говоря ни федора ни редхат никогда на железе у меня не стояли, предпочитаю Арч и Дебиан.

    > Даже если в убунту будет системд, вяленый и гном, всё-равно будут её использовать.

    да, ты прав, ведь останутся по сути нескучные обои от Убунту, как же без них будут начинающие пользователи. Даже сейчас многие предпочитают Мяту, а Убунта всё дальше отходит на второй план. И если в ближайшие пару лет не втянутся китайцы то Убунту ждёт незавидная участь.

    Да и вообще спор сейчас бессмысленный, всё будет более менее ясно через год-два, кто на коне а кто на щите.

     
     
  • 6.38, ананим (?), 04:03, 11/07/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    А ещё деб-срц с кучей софта различных версий и вариантов И можешь дальше ёрнича... большой текст свёрнут, показать
     
     
  • 7.44, Perl_Jam (?), 04:17, 11/07/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> Даже сейчас многие предпочитают Мяту
    > А мята — это от слова "федора"? Не?

    строго говоря, это ubuntu-based Linux Mint


     
     
  • 8.45, ананим (?), 04:39, 11/07/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Ну дык и я о чём В свою очередь убунту 8212 дебиан-бэйзед И никакие системд... текст свёрнут, показать
     
  • 5.66, Аноним (-), 13:09, 11/07/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >а системд решает те проблемы, которых до него и не было
    >...
    > и не решает те, которые были решены уже лет дцать

    Вот так и рождаются инновационные продукты. Хочу заметить. ;)

     
  • 5.82, анонисимус (?), 09:47, 12/07/2014 [^] [^^] [^^^] [ответить]  
  • +/
    с лора заглянул дурачок?
     
  • 2.5, vitalif (ok), 23:41, 10/07/2014 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Да это только гемор лишний, нужный для проприетарщины. А проприетарщины нам тут извините, не надо)
     
     
  • 3.14, sysstartd (ok), 00:57, 11/07/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    проприетарщина может и без контейнеров спокойно себя чувствовать.
    Docker это всего лишь удобный инструмент который может приблизить вендекапец.
     
     
  • 4.16, Crazy Alex (ok), 01:51, 11/07/2014 [^] [^^] [^^^] [ответить]  
  • +/
    На кой мне вендекапец с виндовыми проблемами, перелезшими в линукс?
     
     
  • 5.20, sysstartd (ok), 02:59, 11/07/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Цель любой более-менее распостранённой ОС быть удобной для массового пользовател... большой текст свёрнут, показать
     
     
  • 6.26, ананим (?), 03:14, 11/07/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Цель любой более-менее распостранённой ОС быть удобной для массового пользователя.

    И в чём удобство то?
    Чиз в контейнере гонять?

    Вот скайп (проприетарь) в контейнер загнать — это да, это нужно.
    Да так, чтобы и гео-позицию определял в районе южного полюса, и контакты из адресной книги местных пингвинов, и тд.

    А опенсорс-проги загнать в рамки никогда не было проблемой.
    Для этого есть и селинух, и нэймспейсес, и сигроуп, и ещё 100500 способов. "выбирай, нихачу".

     
     
  • 7.32, ананим (?), 03:42, 11/07/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Зыж
    добавлю
    > Вот скайп (проприетарь) в контейнер загнать — это да, это нужно.

    дело за малым — заставить мс со своим скайпом (да и всех остальны. включая Линуса с kdbus) использовать эти "порталы", предоставляющие доступ к ресурсам вне контейнера через API DBus.

    В общем просто писать качественные программы сейчас для федорастов — это слишком мелко.
    Вот решать глобальные проблемы, это да.
    И чтоб ни один опенсорс-разработчик в стороне не остался и не остался безнаказанным.

     
  • 6.27, Perl_Jam (?), 03:18, 11/07/2014 [^] [^^] [^^^] [ответить]  
  • +/
    и превращения системы в адскую помойку но shared libs никто не отменял давайте,... большой текст свёрнут, показать
     
  • 6.46, jOKer (ok), 05:09, 11/07/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >Цель любой более-менее распостранённой ОС быть удобной для массового пользователя.

    Ну, тогда я предпочитаю не шибко распространенyю Gentoo, ибо для меня Linux - это ось удобная для грамотного инженера, а вовсе не для массового пользователя. А РедХат может брать своего "массвового" и гулять с ним в сад, где много-много бамбука для раскурки....

     
  • 2.9, Аноним (-), 00:27, 11/07/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Потому что можно будет запаковать свою софтину в контейнер, и она будет работать на любом дистре, который умеет в контейнеры?
     
     
  • 3.10, vitalif (ok), 00:30, 11/07/2014 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Ага, только судя по тому, что эти технологии с контейнерами выдумывает каждый кому не лень - будет ещё 10 разных конкурирующих видов контейнеров.
     
     
  • 4.30, Stax (ok), 03:26, 11/07/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Вы вообще в курсе, что такое docker - или так, лишь бы написать что-то?

    Это штука вроде libvirt в мире управления виртуализацией: прослойка для единообразного управления теми самыми "10 разными конкурирующими видами контейнеров" так, чтобы не особо заморачиваться, что там внутри - lxc или systemd-nspawn, например. И никто не заставляет ей пользоваться - она ничего *принципиально* нового не несет, можно и напрямую управлять контейнерами через специфические для каждого интерфейсы. Но дает возможность использовать ее для функциональности вроде описанной выше - автоматический запуск гномовских приложений в контейнерах - не заморачиваясь, какая в этом конкретном дистрибутиве и у этого пользователя любимая технология контейнеров.

     
     
  • 5.37, Аноним (-), 04:02, 11/07/2014 [^] [^^] [^^^] [ответить]  
  • –4 +/
    коллега, вы бисер мечите - тяжёло ожидать от одминоватников прочтения более трёх... большой текст свёрнут, показать
     
  • 5.74, anonymousZ (?), 16:52, 11/07/2014 [^] [^^] [^^^] [ответить]  
  • +/

    Docker - это  Docker. По сути еще один API (еще один велосипед) для работы с виртуализируемыми средами, наряду с lxc (тоже использует cgroups), xenapi, vmware и прочим (а libvirt, да, попытка все это объединить).
    Причем не для чего кроме как поиграться он сейчас не готов (в продакшене в лучшем случае для деплоя тестового окружения при разработке), и у меня стойкое ощущение что в ближайшие годы не будет.
    Использование его для десктопа действительно сделает linux очень похожим на винду, где к каждому приложению надо свой набор библиотек, а система всеми силами пытается эмулировать всю кучу abi, которые когда-то были нативными для приложений.

     
  • 3.28, Perl_Jam (?), 03:22, 11/07/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Потому что можно будет запаковать свою софтину в контейнер, и она будет
    > работать на любом дистре, который умеет в контейнеры?

    а еще можно гвозди забивать микроскопом

     

  • 1.8, Аноним (-), 23:53, 10/07/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    Давно пора. Линукс становится действительно тортом для десктопа. Скоро разрабам можно будет спокойненько паковать свои прожекты в контейнер и не парится где он там будет запущен с какой конфигурацией чего и какими либами. Выстрелил и забыл. Если конечно счастье наступит.
     
     
  • 2.11, vitalif (ok), 00:31, 11/07/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Давно пора. Линукс становится действительно тортом для десктопа. Скоро разрабам можно будет
    > спокойненько паковать свои прожекты в контейнер и не парится где он
    > там будет запущен с какой конфигурацией чего и какими либами. Выстрелил
    > и забыл. Если конечно счастье наступит.

    Нене. Нормальный софт распространяется в исходниках и пересобирается под новые версии либ. Контейнеры = винда.

     
     
  • 3.15, Аноним (-), 01:41, 11/07/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >пересобирается под новые версии либ

    или не собирается с новыми версиями и тихонько гниет

     
     
  • 4.17, Crazy Alex (ok), 01:52, 11/07/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Альтернатива - таскать старые дырявые и бажные либы - нравится больше?
     
  • 3.42, fyfx (?), 04:09, 11/07/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Совершенно верно, пересобирается под новые версии либ и помещается в контейнер.
     
  • 3.55, еще 1 аноним (?), 09:33, 11/07/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    я бы сказал что не винда а osx budles
     
     
  • 4.56, еще 1 аноним (?), 09:35, 11/07/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    *bundles
     

  • 1.13, rob pike (?), 00:55, 11/07/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > доступ только к ограниченному набору системных интерфейсов. При необходимости работы с дополнительными API (например, работа камерой, GPS, микрофоном) или обращения к данным пользователя предлагается запрашивать у пользователя подтверждение полномочий.

    В Андроиде и, частично, в Windows > Vista (UAC) эта модель уже показала свою несостоятельность для массового пользователя.
    Как в виде подтверждения доступа при установке программы, так и в виде подтверждения конкретного действия.

     
     
  • 2.18, Crazy Alex (ok), 01:52, 11/07/2014 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Причем оно умудряется совмещать оба типа неудобств - паршивую защиту и раздражение пользователя.
     
  • 2.19, Аноним (-), 01:56, 11/07/2014 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Кто о чем.. Кто о контейнерах, а кто о контроле учетных записей пользователей совершенно другой ОС.
     
  • 2.22, rshadow (ok), 03:05, 11/07/2014 [^] [^^] [^^^] [ответить]  
  • +/
    UAC это винда, и этим все сказано. В андроиде сделано топорно. Лучшая реализация контроля доступа, как бы это прискорбно не звучало, сейчас в iphone. Там привилегии запрашиваются по мере надобности и запоминаются для каждой программы отдельно. При этом есть нормальная админка в которой можно запретить/разрешить.
     
     
  • 3.54, ryoken (?), 09:17, 11/07/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > UAC это винда, и этим все сказано.

    (В порядке бреда)
    UAC это United Aerospace Corporation, к чему её опыты доводят, тоже хорошо известно.


     
  • 3.72, AlexYeCu (ok), 13:54, 11/07/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Там привилегии запрашиваются по мере надобности и запоминаются для каждой
    > программы отдельно. При этом есть нормальная админка в которой можно запретить/разрешить.

    Вы описали работу SuperSU в Андроид. Должен заметить, в сравнении с настройками прав доступа в нормальных системах — жуткая жуть. Вообще весь этот UAC-подобный цирк и Ubuntu/OpenSolaris-стайл дурости вроде всемогущего беспарольного sudo/pfexec к безопасности не относятся никаким боком, лишь вызывают сомнения во вменяемости разработчиков таких решений.

     

  • 1.52, AV (??), 08:31, 11/07/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Простая тема - программы для людей, и люди полюбят Вас с Вашим результатом труда.

    Ещё бывают программы для себя лично, в кругу единомышленников. Но они мало кому нужны. Сколько там процентов Linux десктопов. 1-5% ? Вот им они и нужны в том виде, как есть.

    Кто-то пытается приспособить накопленное для людей. Таких довольно много и много пользы от их труда.

    Т.е., в общем, оно всё полезное, во всех видах. :)

     
  • 1.57, arsenicum (??), 09:55, 11/07/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Господа комментаторы, причём тут Windows? Это же чистой воды яблочный App Sandbox.
     
  • 1.58, iZEN (ok), 10:10, 11/07/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    ///---
    Кроме повышения уровня безопасности и приватности контейнеры позволят задействовать для приложения зависимости, которые не предоставляются текущей операционной системой, а также отделить установку и обновление контейнеров от основной операционной системы. Например, если программа требует более новый выпуск библиотеки, то её поставка в контейнере избавит от необходимости перехода всей системы на новую библиотеку с обновлением всех зависимостей. Поставка в контейнерах также даст возможность не нагромождать систему лишними зависимостями, так как вместо доустановки в систему зависимостей, необходимых только одному приложению, проще использовать данное приложение в форме контейнера.
    ---///

    Что и было реализовано в PBI. Но линуксоиды подняли такой вой и срач, что BSDшникам стало стыдно, и они вынуждены были притушить идейку.

     
     
  • 2.61, ананим (?), 10:59, 11/07/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Да когда тебе стыдно то было?
    Не шмагла ты, вот и усё.
     
  • 2.63, Пончик (?), 11:21, 11/07/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну ты за всех то не отвечай. Как минимум один BSD-шник делает ту же самую идейку: http://www.bsdstore.ru/ru/xorg_in_jail.html
     
     
  • 3.76, iZEN (ok), 19:20, 11/07/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Ну ты за всех то не отвечай. Как минимум один BSD-шник делает
    > ту же самую идейку: http://www.bsdstore.ru/ru/xorg_in_jail.html

    Неплохо.


     

  • 1.60, жабабыдлокодер (ok), 10:41, 11/07/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    То есть, с использованием Докера можно будет держать несколько разных версий одной программы на компьютере? Даже если совсем старая версия будет ссылаться на совсем старые библиотеки?
     
     
  • 2.70, AlexYeCu (ok), 13:47, 11/07/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Это можно и сейчас без всяких докеров.
     
  • 2.84, одмин (?), 20:41, 13/07/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    chroot сто лет в обед.
    docker - это chroot на стероидах. Тоесть проблемы и решения теже что и при использовании chroot, только в новой, экологически-чистой упаковке.
     

  • 1.62, Аноним (-), 11:02, 11/07/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    А разве SELinux и AppArmor не тем-же самым занимаются? Ну за исключением подтягивания старых либ? А вообще все идет то-ли к винде, то-ли к йафоне, разработчики забыли, что linux не является ни первым, ни вторым и у него свой путь.
     
     
  • 2.65, Аноним (-), 12:36, 11/07/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Я тоже не понял почему решили отказаться от SELinux и пр., если основная задача состоит в изоляции
     
  • 2.67, Аноним (-), 13:16, 11/07/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >разработчики забыли, что linux не является ни первым, ни
    > вторым и у него свой путь.

    Вся суть Линукса в ядре. Все остальное к Линуксу не относится. Сколько раз уже можно об этом писать?!

     

  • 1.64, Аноним (64), 11:45, 11/07/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Только меня пугают перспективы security апдейтов контейнеров?
    Скажем нашли heartbleed и redhat пропатчил базовую систему, а провайдер контейнера месяц пытается патчит свою поделку, оставляя дыру незакрытой
     
     
  • 2.71, AlexYeCu (ok), 13:49, 11/07/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Только меня пугают перспективы security апдейтов контейнеров?
    > Скажем нашли heartbleed и redhat пропатчил базовую систему, а провайдер контейнера месяц
    > пытается патчит свою поделку, оставляя дыру незакрытой

    Фиг знает, если только все не проектоспецифичные либы будут (хард)линками на базовые? Иначе в гробу я такие контейнеры видал.

     
     
  • 3.75, anonymousZ (?), 17:28, 11/07/2014 [^] [^^] [^^^] [ответить]  
  • +/

    Нет там линков.
    Это буратины (разработчики докера) придумали сделать базовый образ не персистентным (надо явно комитить все нужные изменения запущенной базовой системы, для этого они использую различные COW бэкэнды, с соответствующей производительностью). Как при этом следить безопасностью контейнеров совершенно не понятно.
    Сами он говорят что докер не должен применяться как средство обеспечения безопасности (было в недавней новости про уязвимость в docker). Каково же назначение сей системы, они по ходу и сами не очень понимают.
     

  • 1.68, Ник (??), 13:22, 11/07/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Мне кажется, это решение подойдет для защиты массового хостинга, админы которых настолько тупы, что до сих пор не смогли освоить неймспейсы и цгруппы =)

    В остальном будет дикий оверхед от одновременно подгруженных в память 100500 одинаковых либ, для каждого ПО своим инитом и прочим хламом, который сейчас разделяемый.

     
  • 1.69, AlexYeCu (ok), 13:47, 11/07/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    В Андроиде тоже своего рода контейнеры — там каждое приложение от своего пользователя запускается, без рута может писать только свой каталог, куча разрешений и т.д. Но считать эту систему безопасной я лично не могу, а вот уровень безопасности прочих никс-подобных меня более-менее устраивает.
     
  • 1.77, Seyko (?), 19:21, 11/07/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Как через D-bus можно выйти из контейнера? И как этот выход отражается в хост-системе (именованные каналы или что)?
     
  • 1.78, via (??), 19:32, 11/07/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Что такое "Fedora Workstation"?

    Этим ребятам на заметку. Если в lxc гостя поставить xorg, и логиниться туда ssh -X, это почти что готовый контейнер для "десктоп приложений". С весны с выходом 14.04LTS c LXC1.0 он еще и "продакшин-реди" (а вообще это все работало и в 12шке )

    lxc конечно не так понтово звучит, как ДОКЕР. И репозитария готовой +100500 ботвы в сети я не припомню... Но все-же, все же, мне представляется данная конкретная затея очередным велосипедостроительством by fedora&gnome team.

     
     
  • 2.81, Аноним (-), 22:16, 11/07/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну так, ведь для redhat важен и wayland. Поэтому приходится переизобретать сетевую прозрачность :)
     

  • 1.79, Anonym0uz (?), 19:34, 11/07/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Идея с контейнерами вроде как передовая, но по сути это "избавление от зависимостей" есть путь к инсталляторам-блобам, то что используется уже в макоси и виндовс, когда вместо разбиения программы на зависимости, которые реюзаются разным по, каждая программа тащит это всё в себе. Да, конечно это передовая реализация на новом технологическом уровне и всё такое, но сути это не меняет — регресс, шаг назад от идей пакетных систем дистрибуции.
     
     
  • 2.85, puresaredager (?), 12:00, 24/03/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Ну как же вы не понимаете? Никто у Вас не отнимает пакетный менеджер. Я согласен - у контейнеров есть свои минусы, но и плюсов тоже дофига. Вот и используйте их в зависимости от ситуации. Например мне всё равно какой версии у меня обычные программы(плеер, браузер и т.д.) мне главное использовать последнюю версию например графического редактора. Так вот благодаря контейнерам можно не трогая свою стабильную настроенную систему установить только редактор, зная что ты получишь новые плюшки но при этом скажем другие программы не полетят к черту или не изменят своё поведение(да-да, на каком-нибудь стабильном Centos'e или Debian'e поставить Krita 2.9 и не париться с компиляцией, чрутом и всякой фигнёй).
     

  • 1.80, Аноним (-), 20:22, 11/07/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ubuntu со своим SDK и рядом не валялась, да.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру