a как Docker вообще относится к Go?))

1. Докер написан на Го. 2. Докер приведен в пример того, что не "только вебня" на Го пишется. 3. Докер - окружение, в котором го-приложение офигительно себя чувствует.

1. Докер написан на Го. 2. Докер приведен в пример того, что не "только вебня" на Го пишется. 3. Докер - окружение, в котором го-приложение офигительно себя чувствует.

точно, я даже забыл что докер на Go

нет проблемы, я про эти 12 пунктов :)

Предлагаешь по пунктам разобрать, для чего это нужно?

1. Докер написан на Го. 2. Докер приведен в пример того, что не "только вебня" на Го пишется. 3. Докер - окружение, в котором го-приложение офигительно себя чувствует.

а еще докер - это секьюрити-катастрофа :)

а еще докер - это секьюрити-катастрофа :)

дада. ужас просто!

точно, я даже забыл что докер на Go

на нем еще Kubernetes и много чего еще

а еще докер - это секьюрити-катастрофа :)

с чего бы ?

а еще докер - это секьюрити-катастрофа :)

хм... где?

Предлагаешь по пунктам разобрать, для чего это нужно?

где хранить секреты?

с того, что большинство вменяемых админов его не ставят в продакшен, потому что в нем реально находят эпичные баги

неужели через env передавать

с того, что большинство вменяемых админов его не ставят в продакшен, потому что в нем реально находят эпичные баги

у вас и у нас несколько разное понятие большинства.

Предлагаешь по пунктам разобрать, для чего это нужно?

предлагаю назвать это 12-ю разрозненными размышлениями на тему "как кто-то думает по абсолютно разным аспектам разных типов приложений и как это может или должно наверное может быть работать в некоторых случаях которые могут быть не вашим"

и если хочется сесурити - деплоить клиентский сайт через докер не стоит

неужели через env передавать

какбэ, да, например. См. п.3

но это же секрет!

и если хочется сесурити - деплоить клиентский сайт через докер не стоит

абсолютели.

епта

но при чем здесь докер? :)

а не 12фактороной моделью

какой енв

с того, что большинство вменяемых админов его не ставят в продакшен, потому что в нем реально находят эпичные баги

пример бага?

по рукам за такое

какой енв

есть vault

потом всякие wanna cry

и появляются

но там сложна :)

wanna cry в докере?)))

а при чем тут докер уже

ахах

сука

вы дикие

по рукам за такое

расскажите, кстати, как эксплуатировать это

но это же секрет!

фишка в том, что конечный пользователь этот самый секрет не увидит...

расскажите, кстати, как эксплуатировать это

поддержу

пример бага?

https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=2016-9962

env процесса, запущенного под другим пользователем недоступен для чтения

https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=2016-9962

докер не средство изоляции приложений с целью "штоб не вылезли", никогда не заявлялся и не заявляется.

This allows the main processes of the container, if running as root... - на if running as root посмотрели?

докер не средство изоляции приложений с целью "штоб не вылезли", никогда не заявлялся и не заявляется.

абсолютно верно, только слишком много людей так не думает

абсолютно верно, только слишком много людей так не думает

это не проблема докера

это проблема людей, которые думают, что докер - это виртуалки, только легкие и не тормозят

это не проблема докера

это проблема его маркетинга, как "изолирующей прослойки"

докер - это деплой

это проблема людей, которые думают, что докер - это виртуалки, только легкие и не тормозят

ты сейчас перечислил овер 80% юзеров докера :)

докер - это деплой

докер - это сборка зависимостей в одном месте

ты сейчас перечислил овер 80% юзеров докера :)

если по людям считать - да. если по контейнерам - процентов 5.

докер - это деплой

а девопс - не человек

докер - это сборка зависимостей в одном месте

ну как бы там еще и сборка приложения вполне себе может быть, и непосредственно деплой на выходе

а девопс - не человек

вот кстати да

ну как бы там еще и сборка приложения вполне себе может быть, и непосредственно деплой на выходе

может, но, повторюсь, в продакшен деплоить докером будет чаще всего человек, не имеющий представления о сесурити и думающий, что докер ему чем-то в этом поможет

может, но, повторюсь, в продакшен деплоить докером будет чаще всего человек, не имеющий представления о сесурити и думающий, что докер ему чем-то в этом поможет

это очень смелое представление, основанное в основном на исследовании чатика ру-девопс

это проблема людей, которые думают, что докер - это виртуалки, только легкие и не тормозят

Вот золотые слова!!!

это очень смелое представление, основанное в основном на исследовании чатика ру-девопс

это скорее представление, возникшее после беседы с девопсами из разных компаний, включая топовые

это скорее представление, возникшее после беседы с девопсами из разных компаний, включая топовые

значит у нас с вами категорически разные представления о топовости компаний, с которыми мы беседуем.

значит у нас с вами категорически разные представления о топовости компаний, с которыми мы беседуем.

я беседовал с линкедином, яндексом и дропбоксом

я беседовал с линкедином, яндексом и дропбоксом

расскажите, что вам рассказали про яндекс.

*взял попкорн*

и что, прямо так и сказали, "докер — несекьюрное говно" ?

расскажите, что вам рассказали про яндекс.

что зависит от отдела, но многие девопсы рекомендуют не деплоить сервисы в продакшен в докере. У них выстроен CI, основанный на нормальной сборке пакетов и установке из них на виртуалках

что зависит от отдела, но многие девопсы рекомендуют не деплоить сервисы в продакшен в докере. У них выстроен CI, основанный на нормальной сборке пакетов и установке из них на виртуалках

вот оно что.

вот оно что.

именно

продолжайте. (если что реальность в яндексе несколько, хм, иная)

продолжайте. (если что реальность в яндексе несколько, хм, иная)

если что, нет

если что, нет

ну нет так нет. вам виднее.

яндекс большой, как слон

вы же поговорили с кем-то из яндекса.

каждый слепец может выбрать себе часть для ощупывания

ну нет так нет. вам виднее.

ну да, у тебя информации, конечно, больше априори :)

яндекс большой, как слон

да, то что описывает Николай, было (и вероятно есть) в маленьком его кусочке.

каждый слепец может выбрать себе часть для ощупывания

все так :)

да, то что описывает Николай, было (и вероятно есть) в маленьком его кусочке.

в нескольких стратегических крупных сервисах, да

в нескольких стратегических крупных сервисах, да

нет, не в стратегических крупных точно.

нет, не в стратегических крупных точно.

я не буду спорить, просто мой инсайд таков

я вот только все не могу понять, чем конкретно докер в виртуалке менее секурен, чем опакеченное приложение в той же виртуалке?

тем, что настраивает себе iptables

а поконкретнее можно?

а?!

куда конкретнее-то?

не подумайте, не в целях выпада, действительно разобраться хочу

вы видели, что он там добавляет в файрвол при старте контейнера?

А потом его ещё /etc/init.d/ferm reload убивает к чертям:)

вы видели, что он там добавляет в файрвол при старте контейнера?

ща посмотрю

вы видели, что он там добавляет в файрвол при старте контейнера?

--iptables=false --ip-masq=false ? :) всегда так делаю

--iptables=false --ip-masq=false ? :) всегда так делаю

тоже не уменьшает гемор

тоже не уменьшает гемор

ну да, правила надо самому потом написать

ну да, правила надо самому потом написать

а есть ли минусы при этом еще и --net=host юзать?

а есть ли минусы при этом еще и --net=host юзать?

вы можете делать все, что вам заблагорассудится. это же ваши серверы и ваша ответственность.

я не запрещаю, если вам важно

это понятно, я имел ввиду в общем

про докер не ясно, to be or not to be?

это понятно, я имел ввиду в общем

если это вам нужно - почему нет?

про докер не ясно, to be or not to be?

всегда от задачи надо идти

коллеги, а вот скажите - зачем для go докер?

что вы такое прячете в образ?