э ?

это ж старье

http://aosabook.org/en/index.html

блин :(

теперь мне предстоит много читать...

спасибо я баиньки.

я сказал что старье, но это хорошая база )

Хороших книг по архитектурам, не художественных, не встречал последнее время. Хотя я книги мало читаю )

Хотите иронию жизненую )

Сейчас в проде есть 1 сервис который сделан просто идеально, со всеми переключениями, селф хилами, отказоустойчивостью необходимой на всех уровнях, базы кеши, беки сам, деплой бгд с докером, тесты, ролбеки автоматические.

прям красота

и как думаете какой рпс на сервисе ? )

0,7 ?

почти, 3

=)

думаю это селф лоад от мониторинга :)

не)

все теперь точно спать.

давай

там нет ничего оргиниального, все стандартное, что было модным года 3 назад )

что я только что прочитал?

Эти называется неприятие авторитетов

Хорошие авторитеты нужна не из-за того что им надо бездумно верить,а так как их статьи (книги) выглядят как - описание проблемы, ее причин и последствий, и только потом предлагается решение. Если авторитет очень классный - еще пачка антипаттернов будет, с объяснением их проблем

Вот когда кто-то долго долго публикует такие статьи и не публикует треш, мы, как физики, делаем вывод что он - авторитет

что я только что прочитал?

суботний бред

Инженеры из Delve Labs предоставили презентацию (и ее текстовое изложение) о параметрах Docker, направленных на обеспечение безопасности в продакшн. http://amp.gs/8L66

про, не запускайте от рута, смешно

всё правильно говорят. не стоит от рута работать

в контексте докера то какая разница?

он один хер в этом месте нефига не умеет

разница какая. ну давай подискутируем на предмет запуска программ от рута

докер или не докер, так или иначе, запущенное приложение, да тот же друпал, от имени рута - это гигантская дыра безопасности

возможно, стоит отказываться от таких технологий. но есть ряд причин их использовать: не все технически подкованы и грамотны. что делать в таком случае?

gosu

ЧУВАК это же докер, какие привелегии? внутри всё рут, снаружи всё, уж лучше бы было рут, я надеюсь ничьи мечты не побью, если раскрою что если вы кого то добавили в группу докера, то он с доккерами творить может наверное всё что можно

Я прошу прощения, это было мне адресовано?

не, скорее @hitmaker про всякие ваши go я не в курсах

У меня нода и эрланг, суть от этого не меняется. gosu помогает пониизить привилегии

применимо так-же к друпалу

кому докер процессу?

контейнеризованному приложению

зачем докер процессу чтото выставлять?

/me посыпает голову пеплом, чуваки там тоже про внутри контейнера, ну тогда ладно, но в обзоре по безопасности, не упомянуть что снаружи это кака, как то странно

Бывает :)

проблема в том, что ядро можно ломануть из контейнера

с привилегиями рута внутри контейнера это немножко проще

Кэптн!

чвднст

Дискутировать про докер и безопасность можно очень долго ;)

Дискутировать про докер и безопасность можно очень долго ;)

Что, не безопасен?

Дырокер

Че прям ваще нельзя небезопасный код запускать?

Можно, чтоб нет

Что, не безопасен?

есть мнение, что докер таки ортогонален безопасности, хотя местами он конечно делает робкие попытки, но как понял не сильно преуспевает

печально

это вот вы сейчас все набрасываете на какую тему ?

это вот вы сейчас все набрасываете на какую тему ?

да какая разница, утро же, а вообще тут вчера что то про как сделать докер безопасным было

Да безопасен он, чо вы! Ничего он него не подхватишь, можно прививки у метро не делать

есть те кто разворачивал дев и прод среду для бекенда + фронтенда через docker-compose

есть те кто разворачивал дев и прод среду для бекенда + фронтенда через docker-compose

какого ответа ты ждешь ?

что кто то скажет да) ну и тогда более конкретно задам вопрос)))

задавай более конкртено.

к чему эти вступления :)

если таковых нет смысл разглагольствовать

потому что: 1) ты отдаляешь время от ответа 2) многие этого не делали вполне осознанно и на твой вопрос обьяснят почему так не надо 3) меньше бессмысленного спама

есть мнение, что докер таки ортогонален безопасности, хотя местами он конечно делает робкие попытки, но как понял не сильно преуспевает

+ Все нормально с безопасностью только у полной виртуализации вроде KVM, да и то можно ночью иногда вздрагивать.

если таковых нет смысл разглагольствовать

Но вообще на практике, если задать конкретный вопрос, а не вопрос "кто здесь работал с докером", то вероятность получить ответ повышается на порядок. Причем иногда даже спустя несколько дней могут ответить.

В общем есть задача: Есть backend часть на php(symfony 2), все зависимости подтягиваются через composer работает в связке с mysql, отдает все данные через nginx+php-fpm Есть frontend(angular), все зависимости через bower, сборка через gulp, на dev машине gulp чекает все изменения и авторелойдит через browser-sync Необходимо 1) на дев машине, что бы при изменении исходников можно было моментально просматривать изменения в идеале(авторелоад browser-sync) 2) на тестовом сервере все собиралось, прогонялись тесты делался билд имеджей и отправлялся в hub 3) на продакшене брался имедж ставился пробрасывались папки к логам, загружаемым файлам и к бд, сорсы не доступны для изменения из вне контейнера

моментально просмотривать изменения ? это же php, f5 -> новая версия

"сорсы не доступны для изменения из вне контейнера" это вот как? Ну и в остальном, а что не получается то?

в целом задача типовая и решеная миллион раз

у меня тоже есть только один ответ. Ест задача - делай. Вопрос то в чем?

моментально просмотривать изменения ? это же php, f5 -> новая версия

моментально это значит не нужно жать f5 это значит есть вотчер который посмотрел что файл изменился и релоуднул

вотчер есть ?

"сорсы не доступны для изменения из вне контейнера" это вот как? Ну и в остальном, а что не получается то?

это значит что они прокинуты не через volumes а добавлены в контейнер

вопрос в том как сделать отдельно дев отдельно прод отдельно тест

у меня это дев контейнер который билдится на основе прод контейнера.

прод контейнер с исзодниками

в дев контейнер проброшены вольюмами сырсы

это один из двух способов.