вот кстати вопрос: почему на всех митапах, конфереанциях и иже с ними активно впаривают какие-то сырые технологие? типа "становитесь альфа-тестерами, вам за это ничего не будет кроме как косяков зато мы кучу багов на фидбеках поправим и выйдем в лидеры"

на конференции через год потом счастливые доклады - мы не испугались, попытались и нам стало очень хорошо. Людей не очень нужно мотивировать использовать проверенные технологии, а вот с альфами - нужна и помощь и доработка и фидбек. А если выйти на сцену и начать рассказывать про то, что ты линукс используешь, он стабильный и проверенный - тебя не поймут.

А опеншифт кстати в проде? Он же вроде бета, не?

В проде, в проде. Я бы сказал, что он к проду готов гораздо лучше к8с

на конференции через год потом счастливые доклады - мы не испугались, попытались и нам стало очень хорошо. Людей не очень нужно мотивировать использовать проверенные технологии, а вот с альфами - нужна и помощь и доработка и фидбек. А если выйти на сцену и начать рассказывать про то, что ты линукс используешь, он стабильный и проверенный - тебя не поймут.

а где те кто "попробовал, мы охуели и слились" ?

В проде, в проде. Я бы сказал, что он к проду готов гораздо лучше к8с

OpenShift Ultras

а где те кто "попробовал, мы охуели и слились" ?

Такие тоже бывают, про микросервисы доклад слушал такой

> линукс используешь, он стабильный и проверенный - тебя не поймут будешь ржать, но я вчера прям пытался человека убедить

Просто красиво слиться - ещё уметь надо

> линукс используешь, он стабильный и проверенный - тебя не поймут будешь ржать, но я вчера прям пытался человека убедить

Ну явно не на опенсорс ИТ конференции

Просто красиво слиться - ещё уметь надо

ну это да)

про сливы микросервисов это уже баян... 50/50 команд ломаются и это норм

мне больше интересно "вот мы попробовали прометеус и как-то не пошло", или "вот кубернетес запустили но наш генеральный плохо утром сходил в туалет и закрыли финансирование потому-что..."... а? идея понятна?

OpenShift Ultras

Ага. Я вот читаю про плюшки к8с 1.6 и в недоумении. Вот например: "управление доступом на основе ролей (Role-Based Access Control, RBAC) тоже переведено в статус бета-версии, получило новые политики по умолчанию и возможности;"

Как после этого не орать "это есть в ОпенШифт из коробки"?)

мне больше интересно "вот мы попробовали прометеус и как-то не пошло", или "вот кубернетес запустили но наш генеральный плохо утром сходил в туалет и закрыли финансирование потому-что..."... а? идея понятна?

это я про CEPH вечно слышу. "Смотрите, у нас харды тормозят, сервера сгорели, а виноват был CEPH"

Как после этого не орать "это есть в ОпенШифт из коробки"?)

Если не использовать опеншифт, то это весьма приятная новость

Если не использовать опеншифт, то это весьма приятная новость

В каком смысле, не использовать? Не нравится ОпенШифт - придется реализовывать руками.

Вы просто даже не представляете себе как реализовывать изоляцию подов друг от друга, например, в к8с.

Теперь не придётся

Теперь не придётся

Так это только начало и в бете. Можно сто лет ждать хорошего и правильного к8с, или взять шифт.

Да даже ранчер - и то решение)

Зависит от целей, да)

Зависит от целей, да)

Ну, в прод я бы к8с не взял.

Если я несу за это реальную ответственность.

Ну, в прод я бы к8с не взял.

Хочется больше аргументов

Ну, в прод я бы к8с не взял.

А почему, какие подводные камни? Ну, если не делать кубернетес хостинг, а просто докеры с аппками крутить

Хочется больше аргументов

Если коротко - безопасность.

давай уже подлиннее

По моему мнению к8с одна большая дыра.

потому как по мне дак безопасноть это проблема _везде_

чем куб отличается?

давай уже подлиннее

Ок. Есть в к8с штука такая - неймспейсы. Нужна для разделения наборов подов - так?

Но почему из коробки поды из одного неймспейса ходят к другому как к себе домой?

По факту, любой лом конкретного сервиса - и привет вся инфраструктура внутри к8с.

Калико с этим решает вопрос

Я не говорю, что этого нельзя решить. Я говорю, что это не решено из коробки.

Калико с этим решает вопрос

Типично.

Ну вот и рбак тоже из коробки было нельзя, а теперь можно

Мы возьмем к8с и напишем или докрутить на него сторонний софт, реализующий БАЗОВЫЙ функционал.

Ну вот и рбак тоже из коробки было нельзя, а теперь можно

Ага. В бете можно)

Базовый - это оркестрация

Хотел написать, и передумал.

Спасибо

Докер же маунтится в рид онли файловую систему, довольно большой пласт этим закрывается, типа обходов относительных путей с рекваерами итп

Спасибо

Обращайтесь.

Ну есть же базовые принципы. Минимум полномочий, изоляция и т.д.

Изоляция обеспечивается на уровне сети и ее реализации

ну тот же опеншифт же на кубернейтсе сделан, что они свое не сделали?

Полномочия на уровне docker'a, rkt и т.п.

и под каждую версию они будут подстраиватся

то что нет галочки в гуе, печаль, но думаю когда-нить допилят)

ну тот же опеншифт же на кубернейтсе сделан, что они свое не сделали?

Я тоже задаю себе этот вопрос) не знаю.

то что нет галочки в гуе, печаль, но думаю когда-нить допилят)

Я с Шифтом в гуе почти не работаю. Зато гуй можно отдать деву и не думать о том, что он сломает тебе или другим.

у меня девы не хотят с гуем работать

Да это плюс, если он покрывает все подтребности

А чего стоит OpenShift?

А чего стоит OpenShift?

OpenSource.

А чего стоит OpenShift?

нам по пиву с Василием)

хочется поподробнее узнать про опеншифт, потому что беглым осмотром я не вижу там супер преимуществ

нам по пиву с Василием)

))

OpenSource != Free Software

да не, безопасность это пиздец конечно... как бывший безопасник подтверждаю что это все работает до первого грамотного вторжения но, с другой стороны, я не вижу например отличий от других систем: везде есть проблемы с отсутствием шифрования трафика, везде есть проблемы с разделением и обходом полномочий, везде есть проблемы... (да сотни их, называй любую) я к тому что это не чисто трабла данной технологии, а больше общего подхода и в целом глобальново пофигизма "бизнес вроде ок а программистам пофиг лишь бы деньги давали"

Вы приходите на митап, расскажите про OpenShift, там и пиво будет

OpenSource != Free Software

Я в курсе. Я имел ввиду, что исходники открыты и распространяются бесплатно в виде отдельной ветки ОС - Origin. А стоит он - времени специалиста.

Вы приходите на митап, расскажите про OpenShift, там и пиво будет

Мы на одном уже были и рассказывали)

Мы на одном уже были и рассказывали)

Другой Миша уже пообещал на следующий митап доклад)

Другой Миша уже пообещал на следующий митап доклад)

Молодец какой) про шифт и цеф?)

да не, безопасность это пиздец конечно... как бывший безопасник подтверждаю что это все работает до первого грамотного вторжения но, с другой стороны, я не вижу например отличий от других систем: везде есть проблемы с отсутствием шифрования трафика, везде есть проблемы с разделением и обходом полномочий, везде есть проблемы... (да сотни их, называй любую) я к тому что это не чисто трабла данной технологии, а больше общего подхода и в целом глобальново пофигизма "бизнес вроде ок а программистам пофиг лишь бы деньги давали"

Одно дело обходить препятствия, а другое дело идти по чистому полю)

да не, безопасность это пиздец конечно... как бывший безопасник подтверждаю что это все работает до первого грамотного вторжения но, с другой стороны, я не вижу например отличий от других систем: везде есть проблемы с отсутствием шифрования трафика, везде есть проблемы с разделением и обходом полномочий, везде есть проблемы... (да сотни их, называй любую) я к тому что это не чисто трабла данной технологии, а больше общего подхода и в целом глобальново пофигизма "бизнес вроде ок а программистам пофиг лишь бы деньги давали"

И кстати, к8с не технология, а реализация. К технологии претензий-то нет.

Глобально)

крепость цепи равна крепости самого слабого ее звена :)

Вообще, на мой взгляд, одна из самых больших перспектив кубика-это нормальный локальный энв для работы. У кубика есть миникуб и есть миникуб воркфлоу, который покпзывает, как замаунтить локальную директорию в аппку и жить припеваючи, работая и обновляя код микросервис на лету. А минишифт у меня не взлетел, как раз из-за всяких версий 0.9 и бет и обновлений, то есть в интернетах рекомендовали откатываться куда то и танцевать с бубнами. Это вот прям типичная бета, поэтому я опеншифта побаиваюсь. Хоть и код открытый и можно почитать итп

крепость цепи равна крепости самого слабого ее звена :)

Будем оправдывать этой фразой к8с в проде?)

кубик в проде уже ничем не оправдать, остается только мириться :)

Вообще, на мой взгляд, одна из самых больших перспектив кубика-это нормальный локальный энв для работы. У кубика есть миникуб и есть миникуб воркфлоу, который покпзывает, как замаунтить локальную директорию в аппку и жить припеваючи, работая и обновляя код микросервис на лету. А минишифт у меня не взлетел, как раз из-за всяких версий 0.9 и бет и обновлений, то есть в интернетах рекомендовали откатываться куда то и танцевать с бубнами. Это вот прям типичная бета, поэтому я опеншифта побаиваюсь. Хоть и код открытый и можно почитать итп

Ок. Я не агитирую за шифт, а общем-то. Это так - зарядка для ума . Но, есть куча разного опыта. Ваш оказался отрицательным. Мой - положительным.

кубик в проде уже ничем не оправдать, остается только мириться :)

Ну вот. Мне от этого грустно. Потому что после лавины докладов о кубике в проде придет лавина докладов о ломах и разваленных продах на кубике. И бизнес забьется в норку и вернется к классическим способам виртуализации. А нафига хоронить то, что летит? - но блин, нужно же с умом подходить и видеть не только лозунги сейлов или восторженных д******ов.

90% сидят на GKE и амазоновском-че-там-то-же-самое-не-помню-как-называется, и им норм, неважно какой негативный фидбек придет они уже окупили расходы и получили низкий порог вхождения, так что взлетело однозначно (я так говорю потому что к ним отношусь :)

90% сидят на GKE и амазоновском-че-там-то-же-самое-не-помню-как-называется, и им норм, неважно какой негативный фидбек придет они уже окупили расходы и получили низкий порог вхождения, так что взлетело однозначно (я так говорю потому что к ним отношусь :)

Ну, проблема будет в том, что к8с похоронтюят и начнут сначала. И все будет так же)

Безопасность вашего прода совсем не обязана целиком и полностью обеспечиваться кубиком. Вы же не ждете от него защиты от ддоса?(хотя не удивлюсь, если она там есть). Так же и атаки, всякие там свеже обнаруженные уязвимости попытки скл инъекций, xss итп. Это дело отдельного сервиса, например нашего wallarm.com :)

отлично вставил, респект :)

Безопасность вашего прода совсем не обязана целиком и полностью обеспечиваться кубиком. Вы же не ждете от него защиты от ддоса?(хотя не удивлюсь, если она там есть). Так же и атаки, всякие там свеже обнаруженные уязвимости попытки скл инъекций, xss итп. Это дело отдельного сервиса, например нашего wallarm.com :)

Да, но должна обеспечиваться хотябы в основах)

Рбак в 1.6 в стадии бета - это как бы то, что должно было быть сначала)

Основа это рид онли докера)

Имхо)

Основа это рид онли докера)

И опять я хотел комментировать, но не буду.

В общем, коллеги, спасибо за конструктив, но я пойду спать)

Ну например. Дебиан стейбл. Руби стейбл. Бах и мы приплыли к динозавру 1.9.3. у него рекваер содержит точку, можно, если прикинуть как то исполняемый файл-его исполнить изнутри. Но с докером не выйдет

Я не безопасник, я рубист, безопасник коллеги отвечают на мои глупые вопросы

Если рид онли докера не закрывает дофига ходов-то, пожалуйста, поправьте, я могу еще заблуждаться)

Харт блид она вподе не закроет?)

Я не безопасник, я рубист, безопасник коллеги отвечают на мои глупые вопросы

Вы просто сравните грубо то, что предлагает VMWare в качестве виртуализации и то, что предлагает докер и к8с.

Я не безопасник, я рубист, безопасник коллеги отвечают на мои глупые вопросы

И я тоже не безопасник)

И я тоже не безопасник)

и я тоже :)

А вы найдите безопасника и девопса и пограммиста одновременно, такого фулстека я знаю одного, он вроде здесь есть, но чет молчит)

А вы найдите безопасника и девопса и пограммиста одновременно, такого фулстека я знаю одного, он вроде здесь есть, но чет молчит)

Читает и смеется)

В общем, забавно, что вчера я отстаивал на встрече контейнеры, а сейчас занимаю позицию против)

Молодец какой) про шифт и цеф?)

я про цеф и кубик, он про опеншифт

Ну опять же. 12 факторов нам например говорят, что всякие секреты и конфиги мы храним в энве и это типовое cat /etc/passwd не отрабатывает. В лекции какого изобретателя DDD говорится, что до контейнеров все только говорили о том, что у каждого сервиса своя изолированная от остальных бд, а поддерживаемо и работоспособно это стало только с ними, тк раньше все равно упиощвли и шарили так или иначе бд. Это же тоже база безопасности прода, как никак

А вы найдите безопасника и девопса и пограммиста одновременно, такого фулстека я знаю одного, он вроде здесь есть, но чет молчит)

интересно что недавно в понятие "фулстек" включался только человек знающий бэкенд и фронтенд... а тут уже и безопасник, и девопс (причем девопс это методология а не специализация)... эйчары молодцы как по мне, работают девченки

Упрощали