докер или не докер, так или иначе, запущенное приложение, да тот же друпал, от имени рута - это гигантская дыра безопасности

возможно, стоит отказываться от таких технологий. но есть ряд причин их использовать: не все технически подкованы и грамотны. что делать в таком случае?

gosu

ЧУВАК это же докер, какие привелегии? внутри всё рут, снаружи всё, уж лучше бы было рут, я надеюсь ничьи мечты не побью, если раскрою что если вы кого то добавили в группу докера, то он с доккерами творить может наверное всё что можно

Я прошу прощения, это было мне адресовано?

не, скорее @hitmaker про всякие ваши go я не в курсах

У меня нода и эрланг, суть от этого не меняется. gosu помогает пониизить привилегии

применимо так-же к друпалу

кому докер процессу?

контейнеризованному приложению

зачем докер процессу чтото выставлять?

/me посыпает голову пеплом, чуваки там тоже про внутри контейнера, ну тогда ладно, но в обзоре по безопасности, не упомянуть что снаружи это кака, как то странно

Бывает :)

проблема в том, что ядро можно ломануть из контейнера

с привилегиями рута внутри контейнера это немножко проще

Кэптн!

чвднст

Дискутировать про докер и безопасность можно очень долго ;)

Дискутировать про докер и безопасность можно очень долго ;)

Что, не безопасен?

Дырокер

Че прям ваще нельзя небезопасный код запускать?

Можно, чтоб нет

Что, не безопасен?

есть мнение, что докер таки ортогонален безопасности, хотя местами он конечно делает робкие попытки, но как понял не сильно преуспевает

печально

это вот вы сейчас все набрасываете на какую тему ?

это вот вы сейчас все набрасываете на какую тему ?

да какая разница, утро же, а вообще тут вчера что то про как сделать докер безопасным было

Да безопасен он, чо вы! Ничего он него не подхватишь, можно прививки у метро не делать

есть те кто разворачивал дев и прод среду для бекенда + фронтенда через docker-compose

есть те кто разворачивал дев и прод среду для бекенда + фронтенда через docker-compose

какого ответа ты ждешь ?

что кто то скажет да) ну и тогда более конкретно задам вопрос)))

задавай более конкртено.

к чему эти вступления :)

если таковых нет смысл разглагольствовать

потому что: 1) ты отдаляешь время от ответа 2) многие этого не делали вполне осознанно и на твой вопрос обьяснят почему так не надо 3) меньше бессмысленного спама

есть мнение, что докер таки ортогонален безопасности, хотя местами он конечно делает робкие попытки, но как понял не сильно преуспевает

+ Все нормально с безопасностью только у полной виртуализации вроде KVM, да и то можно ночью иногда вздрагивать.

если таковых нет смысл разглагольствовать

Но вообще на практике, если задать конкретный вопрос, а не вопрос "кто здесь работал с докером", то вероятность получить ответ повышается на порядок. Причем иногда даже спустя несколько дней могут ответить.

В общем есть задача: Есть backend часть на php(symfony 2), все зависимости подтягиваются через composer работает в связке с mysql, отдает все данные через nginx+php-fpm Есть frontend(angular), все зависимости через bower, сборка через gulp, на dev машине gulp чекает все изменения и авторелойдит через browser-sync Необходимо 1) на дев машине, что бы при изменении исходников можно было моментально просматривать изменения в идеале(авторелоад browser-sync) 2) на тестовом сервере все собиралось, прогонялись тесты делался билд имеджей и отправлялся в hub 3) на продакшене брался имедж ставился пробрасывались папки к логам, загружаемым файлам и к бд, сорсы не доступны для изменения из вне контейнера

моментально просмотривать изменения ? это же php, f5 -> новая версия

"сорсы не доступны для изменения из вне контейнера" это вот как? Ну и в остальном, а что не получается то?

в целом задача типовая и решеная миллион раз

у меня тоже есть только один ответ. Ест задача - делай. Вопрос то в чем?

моментально просмотривать изменения ? это же php, f5 -> новая версия

моментально это значит не нужно жать f5 это значит есть вотчер который посмотрел что файл изменился и релоуднул

вотчер есть ?

"сорсы не доступны для изменения из вне контейнера" это вот как? Ну и в остальном, а что не получается то?

это значит что они прокинуты не через volumes а добавлены в контейнер

вопрос в том как сделать отдельно дев отдельно прод отдельно тест

у меня это дев контейнер который билдится на основе прод контейнера.

прод контейнер с исзодниками

в дев контейнер проброшены вольюмами сырсы

это один из двух способов.

тест делается на ci.

на основе продуктового контейнера внутырь которого проброшены вольюмом тесты

про докер, а что вы делаете когда заканчиваются сети? ERROR: failed to parse pool request for address space "LocalDefault" pool "" subpool "": could not find an available predefined network

тоесть как бы можно продолжать но каждой новой сети указывать сабнет вручную

Я всегда указывать сетям сабнеты

ну блин, ну тоесть появляется новый проект , пусть composeпроект, зашиваем сабнет и все?

а что на счет ipv6? никто не игрался ?

ну блин, ну тоесть появляется новый проект , пусть composeпроект, зашиваем сабнет и все?

следующий раз убеждаемся что сабнет не переекается со старыми, и снова зашиваем?

У меня все инхаус и нет композа, так что - да

ну у меня фактически также, ансибл фактически генерит сомпоз файлы и создает все необходимое предварительно

вопрос в том как сделать отдельно дев отдельно прод отдельно тест

https://12factor.net/config Может тут поможет, вполне неплохо написано

там лимит какойто около 30 сетей , а потом абзац

а что на счет ipv6? никто не игрался ?

грустно всё с ним, он как бы есть, но всё почти ручками, софта большинство или тупо о нём не знает или гордо вешается на IPv4-only и тупо перестаёт работать, так как у #IPv6 приоритет

а так и не удалось никому починить ERROR: for tower Driver overlay failed to remove root filesystem dc8ff628d0a2aa3b11162efd660ba53b60b74216e254d10d831e8ae3ee639f41: remove /var/lib/docker/overlay/607840c4f0a4a42881b8cf69f874982c3f84514882e01ba8b6d743046079701c/merged: device or resource busy ?

у меня уже два контейнера в состоянии dead меня это печалит

ERROR: S client not available

?? У меня каждый день под пару сотен имаджей билдится, тесты гоянются сотнями, каждое 5 удаление жалуется на это но контейнеров в деде нету

docker ps -a ?

обижаешь

нет просто удивляюсь

ну так поди какой нибудь процесс некоректно помирает вот и блочит, я как то что то подобное славливал, руками вроде по номеру контейнера легко убивается

где искать ?

кого? кто повис? я смотрел по docker ps, на наличие странного благо пока контейнеров не много да и что запускаю стопаю более мнее понятно

Чуваки, а ни у кого не бывает адских зависонов серваков с докером до состояния неответа и пустотой в логах? Или это нам конкретно с Хетцнером повезло?

нет не бывает

ось какая? ядро какое?

Дебиан 8 3.16.0-4-amd64

да у тебя я знаю

нет не бывает

какая ось и ядро?

rhel 7.2 штаное 3.10.0-327.18.2.el7.x86_64

дык докеру вроде 3.11 минимум надо?

rhel бекпортят

а рхел или центос?

Или сайнтифик?

рхел

дык докеру вроде 3.11 минимум надо?

эм... откуда ноги растут ?

https://docs.docker.com/engine/installation/binaries/

A 3.10 Linux kernel is the minimum requirement for Docker. Kernels older than 3.10 lack some of the features required to run Docker containers. These older versions are known to have bugs which cause data loss and frequently panic under certain conditions.

а, тогда сорян. гоню

мне кажется пацаны их рхел спецом потащили 3,10...

СлушаЙ, это ж у тебя подписка есть

девелоперская да есть

они их на право и лево раздают

живёшь на продакшне с дев.подпиской?

нет

на продакшене от зачказчика ось

(а я вот думаю)