начинают работать законы толпы

группа людей ещё более несовершенна

группа людей + CI совершенна :)

тока про докер ты опять слилась как и про agile

пока что микросервисы 3/0 ведут

тока про докер ты опять слилась как и про agile

не очень поняла, в чём я слилась. Я юзаю Docker :) он удобнее OVZ для тестов в дженкинсе

пока что микросервисы 3/0 ведут

лол, что?

найдите в компании человека котоырй потратит час времени и расскажет вам всё. Я сам внутри компании делал доклад пару недель назад. За час уложился и с namespace/cgroup/capabilities/плюсы/минусы/причины успеха/мифы

Увы, но у меня нет людей, которые могли бы мне помочь "внтурии компании". Тк её нет и всё, что приходится мне делать - делаю сам. Начиная от кода на всевозможных языка, заканчивая менеджментом и прочими "радостями".

про "докер небезопасно, под рутом запускать нельзя"

Увы, но у меня нет людей, которые могли бы мне помочь "внтурии компании". Тк её нет и всё, что приходится мне делать - делаю сам. Начиная от кода на всевозможных языка, заканчивая менеджментом и прочими "радостями".

жаль, от этого индустрия страдает.

Увы, но у меня нет людей, которые могли бы мне помочь "внтурии компании". Тк её нет и всё, что приходится мне делать - делаю сам. Начиная от кода на всевозможных языка, заканчивая менеджментом и прочими "радостями".

мы с ребятами из hangops делаем каждый четверг \ каждый второй четверг онлайн митапчики

вчера вот рассказывали про шедулеры номад\ярн\куб\мезос.

вы заходите слушать

https://www.meetup.com/DevOps-Moscow-in-Russian/ вот тут объявленьица появляются

Спасибо за приглашение, обязательно загляну по возможности

про "докер небезопасно, под рутом запускать нельзя"

я не смотрела все релиз нотес. Раньше в бест практиках на оффсайте прямо запрещали пускать под рутом приложения внутри

я рада, что пофиксили

конкуренция пойдёт OVZ на пользу

что блять пофиксили

ну вот реально.

что блять пофиксили

ты же читал официальный бест практис?

при чём тут бестпрактис

ты знаешь как работает докер ?

там говорили, что небезопасно (для хост системы!) пускать внутри контейнеров рутовые демоны

ты знаешь как работает докер ?

оставь менторский тон для своей жены, плз :)

это просто вопрос

я не смотрела исходники впрочем, как смотрела исходники опенстека

тоесть не знаешь да ?

с моей точки зрения я не очень хорошо знаю, как он работает

но я думаю, лучше большинства в этом чате

давай расскажи

Человек вот послушает, узнает

давай расскажи

ты не мой преподаватель в вузе, а диплом я давно получила, сорри. Ну и не работодатель на интервью :)

очередной слив.

очередной слив.

если тебе так удобно думать

Люблю вас, ребят)

я допускаю, что ты лучше меня знаешь технологию, если смотрел исходники

я нет

и мы тебя Вань)

но документацию я читала всю

правда давно :(

года два назад

я не к тому чтобы попридираться

а к тому что кажется что человек заявляющий про "рут внутри контейнера это небезопасно", вобще не знает как это работает

ну вот официальный гайд, там не советовали пускать внутри рутовые сервисы, по тому, что дыряво

=)

что дыряво то ? )

cgroups :)

cgroups про ресурсы

а root это про пользователей

cgroups про ресурсы

namespaces тоже

и cgroups да

DoS никуда не делся, да

namespaces дырявы ?

под рутом он проще

namespaces дырявы ?

увы

и что там "дыряво" ? )

ты вот реально подумай что ты сказала

root может как бы управлять namespaces/cgroups. запуская процесс с правми root похеру где и как, это небезопасно. Вопрос. При чём тут докер ?

ты в хостовой тачке запускаешь прцоесс у которого полные права в системе, логично что есть там сигруппы \ неймспейсы, нет их, ему насрать на это. но по прежнему непонятно причём тут докер.

и все замолчали

root может как бы управлять namespaces/cgroups. запуская процесс с правми root похеру где и как, это небезопасно. Вопрос. При чём тут докер ?

Ну вот рут, например, может грузить модули ядра. А если он может их загрузить, то он может просто получить доступ к хост системе. Или если например мы разрешим raw sockets внутри докер контейнера, что бы опенвпн например пускать. Очевидно, без изолированных сетевых неймспейсов можно создать кучу проблем

и все замолчали

я перечитывала security guide официальный :)

в общем, без запуска виртуалки пер клиент, как в AWS,

докер нифига не безопасная штука,

если нужны расширенные привелегии для приложения

всё ещё

У тебя есть объяснения, почему Amazon запускает свои докеры внутри S2?

Ну вот рут, например, может грузить модули ядра. А если он может их загрузить, то он может просто получить доступ к хост системе. Или если например мы разрешим raw sockets внутри докер контейнера, что бы опенвпн например пускать. Очевидно, без изолированных сетевых неймспейсов можно создать кучу проблем

тока причём тут докер ?

можно объяснить, конечно, это тем, что у них уже такая инфраструктура

но, имхо, это так же хорошо объясняется и некоторым недоверием

и страхом в случае дырки в линукс ядре получить доступ ко всей ноде

Ты не ответила причём тут докер и чем именно он небезопасен

это как говорить что баш небезопасен потому что позволяет тебе запустить рутовый процесс

норм логика.

Ты не ответила причём тут докер и чем именно он небезопасен

где мы пускаем докер? Внутри кубернетеса, правильно? В остальных случаях он для сложного применения технически не готов (ну вот в jenkins можно пускать, а где-то ещё стрёмно, слишком много глюков у других оркестраторок), мы его используем для размещения нашего микросервисного приложения - всё по твоему феншую,

и часть микросервисов смотрит наружу

Я думаю, что монолиты с KVM гипервизором и опенстеком - не так страшно

и безопаснее

и снова нет ответа почему докер небезопасен

я напомню, что опенстек тоже умеет докеры

ну можно пускать внутри сети

в огороженном периметре,

что бы оверхеда не было, ту же сборку на дженкинсе

но default kvm

как и в кубернетесе докер

обоснуй своё же утверждение технически пожалуйста

и снова нет ответа почему докер небезопасен

по тому, что контейнеры небезопасны

контейнеры != докер

докер это просто запускалка контейнеров

это тупо тулинг

контейнеры != докер

контейнеры включают в себя докер как подмножество. Включают в себя его полностью

наоборот

все контейнеры небезопасны

по дизайну

глюки в qemu, напомню, можно ограничивать SELinux и apparmor

тоесть небезопасны контейнеры, а не докер так ?

т.е. баги в гипервизоре, не ядерной части, не проблема

тоесть небезопасны контейнеры, а не докер так ?

И докер

включая докер