А вы все пишете. Вместо того, чтобы сходить на парад, выпить водочки, пойти посмотреть на труп в мавзолей, пишут о докерах и думают мозгом. Не духовно.

"толи слишком толсто, толи слишком тупо" (с)

"толи слишком толсто, толи слишком тупо" (с)

+1

@demeliorator ну если приложение умеет все тянуть из энва это удобно реально. Так то тебе нада под каждую аппликуху папочку с конфигами и маунтить ее как вольюм. А тут ты взял вызвал envconsul и притащил из консула все. а доставкой туда правильных конфигов, забота разрабов.

Без политики, ага

получается такой более общий кейс.

http://12factor.net/config

http://12factor.net/config

+1

http://12factor.net/config

С логгингом только не очень ясно

Логгингом чего?

Из приложения двенадцатифакторного

Там же есть секция про логи http://12factor.net/logs или ты просто с ней не согласен?

Я просто с ней не согласен, да

ой

вот про конфиги. они же пишут "ну можно хранить конфиги в репо но вдруг вы их закоммитите !"

это что реально пойнт из за которого в энве нужно конфиг тащить. Я тогда могу сказать "а вдруг вам в энв что то лишнее упадет и ваш код станет неожиданно работать"

потому что по неизвестной для вас причине какая то либа, используют эту энв переменную для чего то особенного своего. А вы просто не знали этого.

Ну типа я бы сделал обязательно префикс

все вот эти "а вдруг", хреновые аргументы какие то.

Ну а вот так, какой профит в env переменных еще ?

в отличие от конфига.

Реально профит в том, что когда исходники у тебя с сервера спиздят, то паролей от баз данных там не будет.

ой.

Ни паролей, ни хостов.

сухяли блять

cat /proc/pid/environ

и читай скока влезет

В исходниках я имею ввиду.

если ломают твое приложение, то оно само сможет уж их прочитать

ты сказал с сервера

Ну а где ще исходники то будут лежать? Не на сервере?

если твое приложение запущено на сервере, есть места откуда можно стащить всю эту инфу

Есть

или ты про какой сервер ? ) про гитхаб чтоли ? )

или то где билдится все ?

Но это тоже самое что оставить 2 велосипеда. Один дорогой со сложным замком, другой похуевве но с более простым. Там вот спиздят тот, что похуже.

Потому что проще.

А когда что то крадут, особо не разбираются.

Конфиги на паблик гитхаб... Дело!

аха )

99% в мире держат пароли в файлах

100% чувак )

Ну вот consul.. А можно даже vault

Ну короче это детали. Суть в том что когда кто то шерстит на сервере, и сходу не обнаружит креденшелов в файлах врятли будет их искать где то еще.

Но опять же, да. Я не говорю что он совсем не станет... Все относительно.

как это называется...

security by obscurity ?

помоему это нифига не секурити.

Да.

Так а здесь кто говорил о секюрити то?

Я писал о том что если сорцы сольют, то паролей не будет.

Не более.

а типа получение доступа к серверу, и слив втихаря сорцов это типа вполне себе санцкионированное действие ?

Прочитай еще раз про велосипеды.

помоему аналогия с велосипедами работает только для тех случаев когда тебя сломали брутом по словарю из 100к паролей, а потом пробежалиь по "основным местам с конфигами". И если так оно и есть то как бы ссзб.

Да случаев может быть миллон.

Начиная от того что разработчик ракоммитил бажный код и кто то багу нашел и залил шелл

ну тут сливай воду сразу.

без разницы где у тя пароли )

в энве или в файле

Так так обычно и бывает

чувак способный налить багу и способный залить шел, и способный найти файл с конфигами. легко посмотрит в ENV

Редко кто получает полноценный shell на сервер.

и поищет там какие нить токены

Может. Но скорее он сольет все сорцы чтобы делать это оффлайн и не быть запаленым.

Дальше все зависит от тебя, как быстро ты обнаружишь проникновение.

ERROR: S client not available

это вот твои "а скорее всего", так же как и ребят писавших 12факторов. Слишком много условностей и допущений.

Добро пожаловать в реальную жизнь, а не докер контейнер.

лол)

хм

сподвигаете на тему доклада по безопасности серверов с контейнерами? ?

Контейнер (LXC например) вообще не гарантирует безопасность.

http://www.slideshare.net/jpetazzo/docker-linux-containers-lxc-and-security

"вот это поворот !" (с)

ты сейчас себя таким колумбом видишь а мы такие туземцы да ? )

Просто зачем еще один доклад?

О том же.

а.

так то, обсосано.

ня?

колумбы, безопасность любой штуки начинается с человека

еще один )

Но послушайте

после беглого просмотра одним глазом последнего DC7499 полторы недели назад (или уже две) я йотой вообще пользоваться не буду

ENV это плоское неиерархическое пространство

Крайне неудобное

Для паролей есть vault

запихни в строку хэш, чо ты будь мужиком )

запихни в строку хэш, чо ты будь мужиком )

Началось

ой всё, у меня обед

а потом докеры ломать

это был сарказм, еси чо.

ENV это плоское неиерархическое пространство

А зачем там хранить что-то иерархичное? Можно пример?

плоское неирархичное можно же префиксами в имени превратить в иерархичное профит в иерархичности , для начала, общий - когда много tunables - надо как-то организовывать, чтоб легче находить

а вот такой вопрос позвольте

допустим я хочу cfg mgmt иметь чтоб cfg changes были trackable откатывать легко и тп

тут запихивать конфиги в тот же гит репозиторий так и просится , разве нет?