Это не панацея, а защита ото некоторого вектора атаки.

Ну и удобство докера, и тп

Ну и удобство докера, и тп

я ждал упоминания докера от тебя:D

Это не панацея, а защита ото некоторого вектора атаки.

Это ерунда, что случится такое что получили доступ к www-data, но выполнять под ним не могут. Хотя из под него выполняется сервер. А если могут, то легко сэмулируют что надо и получат любую информацию

Ну и удобство докера, и тп

И не важно докер не докер

Им приводишь примеры уязвимостей, когда можно было прочитать любой доступный файл, а они говорят "хуита"

и передача через окружение тебе поможет от этого защититься?

Вообщем-то в теории да, если злоумышленник читает файлики в контейнере, а контейнер запускается с передачей настроек через окружение. Может оправдано для крупных проектов. Но для обычного сайта на джанго средней руки тащить эти оверхеды с докерами и прочей мутью какой смысл. Должен быть какой-то баланс между удобством разработки и секюрностью.

а если так? cat /proc/self/environ

Подразумевается что он не выполняет команды среды, а может только получить контенты файлов через какую-то уязвимость по http например

Опять таки как я и говорил это все довольно сомнительно вплане не надежности, а в плане нужности

это через какую тогда? настройки же не в корне вебсервера лежат

если можно читать вне корня вебсервера, то я показал бессмысленность передачи параметров через окружение

не знаю, человек приводит в пример какую-то уязвимость в обработке картинок, которая позволяет читать файлы в системе

на пхп

если вы хотите по-нормальному - то это в любом случае через контейнеры, один контейнер с Postgres, другой с Python/uWSGI/Django

другие способы работают, но морально устарели

Ну в теории мало ли в будущем. И все такое) Конечно контейнеры помогают избежать таких вещей. Но если это средней руки интернет магазин, который к тому же не хранит номера кредиток пользователей. Тянуть эти оверхеды с докерами финансово не оправдано. Это мое личное мнение)

с докером нету оверхеда

он как раз позволяет сделать быстро и качественно

я докера только касался по минимуму

А как же несколько копий ос, которое выполняется на уровне ядра системы, не жрет дополнительные ресурсы?

всосать образ, наставить пакетов, накидать код, стартануть

надо на ансибле сделать плейбуки или качнуть и изучить готовые, но времени нет

так там не копия ос, а копия фс

докер - это в первую очередь способ доставки на сервер

несколько сервисов работающих на одном сервере по ресурсам одно и оже что несколько контейнеров? нет

там оверхёд порядка 1% максимум

с докером нету оверхеда

есть и административный и технический ансибль лучше, хоть и под разное они создавались

если ты заметишь этот 1% - у тебя и так и так проблемы

докер подходит прям для фармы зоопарка, чтобы хоть както рулить хаосом если система более менее ровная, он не нужен, достаточно ансибля + терраформа

там оверхёд порядка 1% максимум

это на личном опыте или есть подтвержденные данные с тестами?

докер - это конкурент ftp / pit pull для доставки кода)

то есть в первую очередь речь о доставке новой версии

А как же виртуализация и все такое?

это на личном опыте или есть подтвержденные данные с тестами?

где-то полгода назад я видел графики

там самое худшее было 3%

А как же виртуализация и все такое?

докер легковесный контейнер, на виртуализацию у него минимальные расходы, не существенные

ну точнее не сам докер конечно, а lxc, докер лишь набор скриптов, обертка

у меня не Docker, у меня Rkt, который обёртка над systemd-nspawn

с кучей неудобства

я пока на ансибле, но к докеру надо подлезть, для общего развития

я пока на ансибле, но к докеру надо подлезть, для общего развития

терраформа, и ансбиль-докер

у меня не Docker, у меня Rkt, который обёртка над systemd-nspawn

и там нет никакого значимого овёрхёда в итоге

ниче не сказало :)

ниче не сказало :)

https://www.terraform.io https://www.ansible.com/docker https://github.com/ansible/ansible-docker-base

ок

Ansible клёвая штука на Python'е, но она больше подходит для разворачивания инфраструктуры всё же, например, купили новый сервер, нужно его настроить, вот Ansible отлично справится

а если какое-нибудь облако - то тут лучше смотреть в сторону Kubernetes

слишком много сущностей

Ansible клёвая штука на Python'е, но она больше подходит для разворачивания инфраструктуры всё же, например, купили новый сервер, нужно его настроить, вот Ansible отлично справится

для зоопарка инфрасуктртуры терраформа подходит лучше чем докер

слишком много сущностей

+ докер ну прям особо страдает этим, причем создавая искуственные ограничения в плане управлением связями между контейнерами

просто король энтропии

у ансибля с терраформой задача ровно наоборот, подчинить зоопарк единой системе

докер кривой да

слишком много сущностей

+ Все это для гиков, красивое ради красивого. А в рельности. Если интернет магазин. Который прекрасно работает скажем на VPS. Скажем над ним работает пара разработчиков через git. начерта им докеры, тераформы, ансибле и прочий зоопарк.

я в итоге его использую только для билдов образов

+ Все это для гиков, красивое ради красивого. А в рельности. Если интернет магазин. Который прекрасно работает скажем на VPS. Скажем над ним работает пара разработчиков через git. начерта им докеры, тераформы, ансибле и прочий зоопарк.

чтобы была единая система обновления, чтобы был BGD

я ансиблом структуру проекта разворачиваю, она может быть замороченной, ну и доп команда для деплоя кода

сделал новую версию, она не пошла, нужно быстро и автоматически откатиться

как?

или CI/CD

система непрерывной доставки

сделал коммит - он собрал, протестировал, сам задеплоил на сервер

Так они и так через гит обновят 1-й командой? Не? Ну можно еще migrate Там вписать и будет пару строк. Версия не пошла, сделал откат в гите

ну, это не автоматически

как?

откат в гите, управление бекапами и тд

ну, это не автоматически

рольку в ансибле всего лишь

ERROR: S client not available

и всё это ансиблом ,да

BGD это когда у тебя есть 2 версии контейнера, старая и новая, если новая с багом, он понимает и возвращает старую на место

самое элементарное и тупое: снепшот всей виртуалки

такое можно сделать и с Ansible'ом

просто есть удобнее механизмы

ну, это не автоматически

Понятное дело если у тебя 10 серваков, то обновление должно быть автоматом. Тут кто спорит для крупных проектов нужны контейнеры и виртуализация. А для примеров, которых большинство

у меня вот как раз такой случай - просто systemd-сервисы

они запускают контейнеры

я 1 раз закачал туда эти сервисы и всё

самое критичное это бд, а у нее другие средства

расслоение файлов легко решаемо

вот еще там не скинул https://github.com/ansible/ansible-container

да, норм вещь

видел

использовать все плюшки докера не выходя из ансибля

у меня вот как раз такой случай - просто systemd-сервисы

Если тебе так удобно конечно это хорошо. Я просто не понимаю почему начинают пихать виртуализацию туда где она не нужна, потому что модно

модно не думать о доставке

мне всё равно, что там за сервис, на Java, на Go, на Python'е

он обновляется одинаково

это не мои проблемы вообще

это может быть даже ещё не существующий язык программирования

а я уже сейчас знаю, что и проект на нём будет обновляться точно так же

вот завтра придумают новый модный язык PythonGoGo, и на нём будет так же))

Отлично но вернемся к моему примеру. К владельцу интернет магазина, который написан на 1-м языке. Заем ему весь этот зоопарк.

ну, так завтра магазин перепишут на другом языке

или на другой системе

а ты админ

и ты не хочешь вникать в то, что там программисты накодили

твоя задача - поддерживать сервис в рабочем состоянии

может, сегодня там Python, а завтра программист выпендрится и на Haskell'е перепишет

а тебе оно надо, изучать, как там этот Haskell правильно деплоить?

или там Scala какую-нибудь