|
2.2, angra (ok), 09:16, 22/02/2015 [^] [^^] [^^^] [ответить]
| –3 +/– |
cgroups никогда не предназначались для полной изоляции. Хочется нормальной безопасности - используйте OpenVZ/Virtuozzo.
| |
|
3.3, Аноним (-), 09:22, 22/02/2015 [^] [^^] [^^^] [ответить]
| –1 +/– |
тогда почему хипсторы так радостно взялись использовать именно докер для изоляции сервисов? чтобы анб порадовать?
| |
|
4.4, Аноныч (?), 09:33, 22/02/2015 [^] [^^] [^^^] [ответить]
| +8 +/– |
Дык название "прикольное", молодёжное, а не эти ваши аббревиатуры из рекурсивных акронимов.
| |
|
5.11, Аноним (-), 10:41, 22/02/2015 [^] [^^] [^^^] [ответить]
| –2 +/– |
> Дык название "прикольное", молодёжное, а не эти ваши аббревиатуры из рекурсивных акронимов.
Докерищи когда (хоть половину) закроют?
| |
|
4.6, _KUL (ok), 10:04, 22/02/2015 [^] [^^] [^^^] [ответить]
| +5 +/– |
Контейнерная виртаулизация давным давно была придумана, а сейчас сделали обертку, чтобы смогли школьники разобраться. Далее прошел пиар, на всяких хабрах, лорах, опеннетах, и вот, молодёжь ссытся, что появилось, что то, якобы которого не было.
| |
4.10, angra (ok), 10:40, 22/02/2015 [^] [^^] [^^^] [ответить]
| +/– |
Откуда мне знать, почему они это делают. Я ведь не хипстер. Могу лишь отметить, что у OpenVZ есть свои недостатки, а большинство предпочитает удобство безопасности.
| |
|
5.15, Аноним (-), 10:54, 22/02/2015 [^] [^^] [^^^] [ответить]
| +7 +/– |
> лишь отметить, что у OpenVZ есть свои недостатки,
При том абсолютно фатальный для десктопа - требует кастомное ядро. Доисторическое.
При этом уже пофигу какая там безопасность: это ядро мое железо не поддерживает.
| |
|
6.22, Владимир (??), 13:15, 22/02/2015 [^] [^^] [^^^] [ответить]
| –2 +/– |
Ничего что новые OpenVZ уже вполне себе на ванильных ядрах работают с небольшими ограничениями?
| |
|
5.55, Аноним (-), 18:57, 23/02/2015 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Откуда мне знать, почему они это делают. Я ведь не хипстер.
Я тоже. Но я ффтыкнул отчего такой hype :)
Они его юзают как инсталлер 8-0
Ну то есть воткнул контейнер с софтиной, поигрался, не пошло - выкинул. Без последствий для базовой системы. А на безопасности у них прибор лежит что с Docker-ом что без :)
| |
|
4.19, Аноним (-), 11:52, 22/02/2015 [^] [^^] [^^^] [ответить]
| +5 +/– |
Потому что хипсторы. Орешки кешью, узкие джинсы, борода, очки, айфончик, systemd, теперь вот docker.
| |
|
5.25, cmp (ok), 14:51, 22/02/2015 [^] [^^] [^^^] [ответить]
| +1 +/– |
Рэпчик забыл)). Названия прочих публикаций просто кричат об этом.
| |
|
6.31, Xasd (ok), 15:54, 22/02/2015 [^] [^^] [^^^] [ответить]
| –1 +/– |
>> узкие джинсы
> Рэпчик
ды вы что, ребят? что-то тут не так
| |
|
|
4.21, Аноним (-), 12:40, 22/02/2015 [^] [^^] [^^^] [ответить]
| +/– |
поясняю специально для экспертов-нехипсторов: запуск контейнеров по дефолту требует прав рута. И если вы привыкли раздавать их всем подряд, то вы ССЗБ
| |
|
5.34, Аноним (-), 16:22, 22/02/2015 [^] [^^] [^^^] [ответить]
| +/– |
> поясняю специально для экспертов-нехипсторов: запуск контейнеров по дефолту требует прав
> рута. И если вы привыкли раздавать их всем подряд, то вы
> ССЗБ
а ещё месяц назад была новость, что подписывается в докеровом репозитории не сам образ контейнера, а его описание, так что с правами рута хипстор запускает радость какира
| |
|
4.59, Dmitry77 (ok), 18:58, 27/02/2015 [^] [^^] [^^^] [ответить]
| +/– |
>тогда почему хипсторы так радостно взялись
>использовать именно докер для изоляции сервисов?
>чтобы анб порадовать?
докер делается не для безопасности, он позволяет легко развёртывать приложения. Например нужно устанвить джумлу:
1 установить бд, задать пароль администратора, пользователя
2 установить апч
3 устанвить джумлу прописать пароль к бд
с докером всё сводится к одному шагу - установить джумлу с зависимостями
| |
|
3.8, Алексей (??), 10:30, 22/02/2015 [^] [^^] [^^^] [ответить]
| +2 +/– |
cgroups ограничивает ресурсы, а изоляцией занимается namespaces
| |
|
4.12, Аноним (-), 10:42, 22/02/2015 [^] [^^] [^^^] [ответить]
| –2 +/– |
> cgroups ограничивает ресурсы, а изоляцией занимается namespaces
Нет. Все это уровни абстракции. А изоляцией занимается ядро.
| |
|
5.14, Аноним (-), 10:52, 22/02/2015 [^] [^^] [^^^] [ответить]
| +/– |
> Нет. Все это уровни абстракции. А изоляцией занимается ядро.
А cgroups и namespaces - это интерфейсы ядра, ВНЕЗАПНО. Но в ванили для 100% изоляции некоторых вещей не хватает, вот потому для ovz в нормальнмо виде и надо кастомное патченое ядро, где дополнительно запатчены лазейки из ванили.
| |
|
6.18, Аноним (-), 11:09, 22/02/2015 [^] [^^] [^^^] [ответить]
| +/– |
>> Нет. Все это уровни абстракции. А изоляцией занимается ядро.
> А cgroups и namespaces - это интерфейсы ядра, ВНЕЗАПНО. Но в ванили
> для 100% изоляции некоторых вещей не хватает, вот потому для ovz
> в нормальнмо виде и надо кастомное патченое ядро, где дополнительно запатчены
> лазейки из ванили.
Не спорю (по многим причинам). У них в разработке ядра своя кухня, и свой веник есть ;)
| |
6.46, Аноним (-), 20:00, 22/02/2015 [^] [^^] [^^^] [ответить]
| –1 +/– |
>> Нет. Все это уровни абстракции. А изоляцией занимается ядро.
> А cgroups и namespaces - это интерфейсы ядра, ВНЕЗАПНО. Но в ванили
> для 100% изоляции некоторых вещей не хватает, вот потому для ovz
> в нормальнмо виде и надо кастомное патченое ядро, где дополнительно запатчены
> лазейки из ванили.
сказки не будем рассказывать ?:) хоть бы код посмотрели, а не верили в маркетинг.
| |
|
|
|
3.13, Аноним (-), 10:51, 22/02/2015 [^] [^^] [^^^] [ответить]
| +/– |
> cgroups никогда не предназначались для полной изоляции.
Вообще-то namespaces, ламо. И таки для именно этого они и предназначаются, только недопилены пока.
| |
3.45, Аноним (-), 19:59, 22/02/2015 [^] [^^] [^^^] [ответить]
| +/– |
а чем openvz отличается от cgroups ? тем что оно на них основано ?:)
| |
|
2.16, Аноним (-), 10:54, 22/02/2015 [^] [^^] [^^^] [ответить]
| +1 +/– |
> контейнеры, но с дырочками.
Забавно смотрится /root/Downloads. Нормальное такое размещение диры...
| |
2.32, Отче (?), 15:55, 22/02/2015 [^] [^^] [^^^] [ответить]
| –1 +/– |
> контейнеры, но с дырочками.
А ты как хотел?
Сейчас даже ложки дырявые в моде.
| |
2.49, Тот ещё аноним (?), 21:44, 22/02/2015 [^] [^^] [^^^] [ответить]
| –1 +/– |
Как ламер спрашиваю - как создать свой докер контейнер с нуля? Не предлагайте скачать от доброжелателей.
| |
|
3.51, epicfile (?), 11:02, 23/02/2015 [^] [^^] [^^^] [ответить]
| +/– |
гугли 'creating docker base image'. Вообще, частный случай для дебиана, например, это debootstrap.
| |
|
|
1.23, Stax (ok), 14:03, 22/02/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
> Организация вывода звука пока требует запуска контейнера в привилегированном режиме ("-v /dev/snd:/dev/snd --privileged"),
Бред они какой-то написали. Рут ради /dev/snd?? Нужно пробрасывать сокет pulse и ключ для dbus: "-v /run/user/${UID}/pulse:/run/user/${UID}/pulse -v /dev/shm:/dev/shm -v /etc/machine-id:/etc/machine-id" - работает идеально и никаких лишних прав не требуется.
| |
1.27, XXasd (?), 15:29, 22/02/2015 [ответить] [﹢﹢﹢] [ · · · ]
| –4 +/– |
> При запуске Gparted используется полный проброс в контейнер блочного устройства ("--device /dev/sda:/dev/sda"), что делает бессмысленным использования контейнера в этом случае.
При чём тут sda ? Может я sdb хочу разметмть?
врядли я стал бы использовать gparted ... Но всё равно -- где тут небезопасность?
| |
|
2.35, Аноним (-), 16:23, 22/02/2015 [^] [^^] [^^^] [ответить]
| +3 +/– |
наверное sdb будет в следующей версии хипстоинноваций, когда эппл запатентует sdb, и его станет модно размечать
| |
|
1.37, Нанобот (ok), 16:45, 22/02/2015 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
>При запуске Gparted используется полный проброс в контейнер блочного устройства ("--device /dev/sda:/dev/sda"), что делает бессмысленным использования контейнера в этом случае.
не совсем. если вдруг какой-то параноик захочет разметить один диск, а при этом боится, что gparted сольёт порн^W важную информацию в АНБ/MI-6/ZoG с другого, то докер поможет. хотя лично я считаю, что в этом случае следует бороться с причиной, а не со следствиями, т.е. лечить паранойю
| |
1.38, Аноним (-), 16:59, 22/02/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Контейнеры ради контейнеров, отсутствие безопасности и лишние неудобства.
| |
1.40, EuPhobos (ok), 17:41, 22/02/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
> "docker run -v /:/tmp ubuntu rм -rf /tmp/*"
Какой автор заботливый, комманда "rм" явно не отработает ))
| |
1.41, MPEG LA (ok), 17:45, 22/02/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
>Среди приложений: Skype, Chrome, Spotify, Gparted, Tor Browser,
т.е. я не должен доверять всем этим приложениям, а запускать от рута контейнеры с бугра, собранные непонятно кем - это Ъ-way?
| |
|
2.42, Аноним (-), 17:49, 22/02/2015 [^] [^^] [^^^] [ответить]
| +2 +/– |
Верить, в наше время, нельзя никому. Порой даже, самому себе. Мне - можно. (с)
| |
|
1.43, th3m3 (ok), 18:10, 22/02/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Эти контейнеры на самом деле нужны для узкого круга задач. Во всяком случае в таком виде, в котором они есть сейчас.
| |
1.47, earfin (??), 20:26, 22/02/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Наркоманы. А как же насчет "Docker not about security in production" или как там их главный недавно вещал?
| |
|
2.50, Михрютка (ok), 22:28, 22/02/2015 [^] [^^] [^^^] [ответить]
| –3 +/– |
найдите в словах Skype Spotify и Tor browser хоть одну букву из слова продакшн
| |
|
1.52, scorry (ok), 11:48, 23/02/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
> При запуске Gparted используется полный проброс в контейнер блочного устройства ("--device /dev/sda:/dev/sda"), что делает бессмысленным использования контейнера в этом случае.
На хрена тогда контейнер было делать? Чего же не сделали ещё контейнер, внутри первого?
| |
1.56, Аноним (-), 00:37, 24/02/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Чудовищно. Давно есть вменяемые средства дря запуска "всего и вся" в изоляции друг от друга. Нахрена этот баян? Ну для хостера да, я согласен. Но взрывать мозг хомякам каким-то скайпом в какойм-то докере? Очень мило.
| |
1.57, rex (??), 01:09, 26/02/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Вполне нормальный кейс, не связанный с безопасностью:
развернуть кучу проектов с конфликтующими зависимостями;
писать
port = 1048
вместо
port = portAllocator.reservedRangeXXFor(currentProjectId).from + 44
| |
|