впрочем ансибл с их 4к вряд ли кто-то догонит

Это все скопом ведь, не только по сесурити ?

Эм ?

https://github.com/docker/engine срятали ишью ?

Хады!

Это все скопом ведь, не только по сесурити ?

в ансибле вообще все, ну я к тому что весь опенсорс активно развивающийся такой, багов везде полно, вопрос в том мешают ли они тебе работать

а вот где ишью https://github.com/moby/moby

а вот где ишью https://github.com/moby/moby

Ну, возможно, умысла удалять и скрывать их не было, а это попросту результат переосмысления структуры проекта ?

Ну, возможно, умысла удалять и скрывать их не было, а это попросту результат переосмысления структуры проекта ?

да это старая тема, у них разработка в moby, докера же де юре не существует уже пару лет

Кто знает хотя бы одного живого юзера докер ее?

гг, забавно, я как раз ток что сидел читал

я думаю те люди в чатиках не сидят. во-первых там код другой, во-вторых баги чинит саппорт и на вопросы отвечает

а он вообще не про безопасность, ее там архитектурно нет, чуваки из редхата уже переписали как раз - podman называется.

как нет архитектурно если багов вагон тут https://www.cvedetails.com/vulnerability-list/vendor_id-13534/product_id-28125/Docker-Docker.html

как нет архитектурно если багов вагон тут https://www.cvedetails.com/vulnerability-list/vendor_id-13534/product_id-28125/Docker-Docker.html

прочитай что я написал

прочитай что я написал

не суть это баги пусть все от ред хата — ничего не менят

я понял уже что ты писатель, а не читатель

у редхата podman

там все ок с сесурити

и селинукс есть

я понял уже что ты писатель, а не читатель

на читаю но может просто не все понимаю

я написал что у докера в принципе не было идеи и цели делать безопасно поэтому все эти типа секьюрити фиксы это набрр подпорок и костылей - там проще переписать,. что и сделал редхат

у редхата podman

не суть как заваетмся все равно конкетреры не белые а красные — как не назови сути не меняет

не суть как заваетмся все равно конкетреры не белые а красные — как не назови сути не меняет

Что?

Я не понимаю Вас, коллега. О чем речь ? Баги есть везде. Я это гарантирую. Даже в софте Боинга

Касательно докера - в нем вопрос секьюрити изначально проработан не был. Поэтому куча cveшек и прочего. И действительно редхат делает полезное дело, переписывая управление на podman

не суть как заваетмся все равно конкетреры не белые а красные — как не назови сути не меняет

баги не из-за того что это контейнеры, а из-за того что у докера никогда не было задачи для того что бы сделать секьюрити. Podman сделан изначально с оглядкой на безопасность

docker ce , docker ee или от ред хат — если баги есть архитектурно косячат то есть все все чисто с архитерой если сложно вернули

Касательно багов докера и докер-компоуза - ну, я лично сталкивался с десятком. Которые бесят. Но в принципе есть воркераунды. Чем и пользуемся

docker ce , docker ee или от ред хат — если баги есть архитектурно косячат то есть все все чисто с архитерой если сложно вернули

что?

ладно у меня нет пока экспертизы что бы слудить глубинно

пока вывод — баги есть и их море

ну да, во всем ПО на планете море багов

Ну, это не отменяет того, что докер реально хорош для разработки. Для продакшена - можно, но с очень большой осторожностью

ок

Нарол после запускал docker-compose up --build появляются логи nginx, есть урл метод запроса итп, но нет юзерагента и реферера, как то можно добавить? Причем в настройках самого nginx вывод логов вообще отключен

чем отличается nginx в докере и без него? прочитай как включать логирование на сайте nginx и сам прикрути конфиг - не вижу проблем

как я понял так поступи подруби образ и по фикси конфиг в директерии контейнера после его заливи образа с инета так один образ файла превратиться в конфиги и в либы докером после его установки в контейнер . я прав?

и потом пересоререшь из конейтера в образ если нужно

реальных проблем после 1.12 занесите

У меня была смешная проблема с профилем аппармора и докером. Сигнал стоп не посылался в контейнер

по-моему это совсем не смешная, а очень грустная проблема

У меня была смешная проблема с профилем аппармора и докером. Сигнал стоп не посылался в контейнер

а говорите сесурити нет

а говорите сесурити нет

Я такого не говорил. Но ошибки с сесурити тоже были. Недавная cve с docker exec тому пример

реальных проблем после 1.12 занесите

А, еще была проблема. Кажется в 18.03 с тем что если приходил оом на тачку, то иногда контейнеры убивались, а статус оставался раннинг

После обновления до версии с containerd 1.2 стало норм

ну частично готов принять, но такое, если у вас контейнеры без лимитов на ресурсы то ссзб, у линукса вообще в районе оома болячка, им ща принято из юзерспейса управлять

ну частично готов принять, но такое, если у вас контейнеры без лимитов на ресурсы то ссзб, у линукса вообще в районе оома болячка, им ща принято из юзерспейса управлять

Не вижу в чем ссзб, если это чисто бага докера, что он некорректно стейт контейнеров определяет)

И ее пофиксили, в 18.09 или 18.06

Не вижу в чем ссзб, если это чисто бага докера, что он некорректно стейт контейнеров определяет)

в том что в принципе допускать оом плохая идея, киллер абсолютно невменяемо работает., он грохнуть может даже ссшд сервис

в том что в принципе допускать оом плохая идея, киллер абсолютно невменяемо работает., он грохнуть может даже ссшд сервис

Ну это уже другой вопрос. То что оом не оч приятный я согласен

в том что в принципе допускать оом плохая идея, киллер абсолютно невменяемо работает., он грохнуть может даже ссшд сервис

oom killer не рандомно выбирает процесс для убиения, sshd он вряд ли выберет

oom killer не рандомно выбирает процесс для убиения, sshd он вряд ли выберет

даавай расскажи мне, а потом посмотри код ядра и как работает это говно

badness_for_task = total_vm_for_task / (sqrt(cpu_time_in_seconds) * sqrt(sqrt(cpu_time_in_minutes)))

миллион раз на rhel ловил

вот формула

вот документ: https://www.kernel.org/doc/gorman/html/understand/understand016.html

badness_for_task = total_vm_for_task / (sqrt(cpu_time_in_seconds) * sqrt(sqrt(cpu_time_in_minutes)))

да да и она работает. именно поэтому придумали всякие oomd

свои фантазии держи при себе )

oom работает ровно так, как написано

свои фантазии держи при себе )

очевидно что у тебя мало опыта в большом продакшене если ты такое утверждаешь

очевидно что у тебя мало опыта в большом продакшене если ты такое утверждаешь

конечно, ты ж один опытный

фантазер

ну очевидно что ты нет. еще и фанатик походу

в гугле миллион ссылок по типу https://www.tummy.com/blogs/2010/08/24/avoiding-your-ssh-daemon-being-killed-during-oom/

и так уже лет 20

oomd придумали как раз не для этого, для чго ты сейчас намекнул

а для того, чтобы убивать менее ценные процессы, оставляя боевой (а именно он подразумевается кушающим)

https://news.ycombinator.com/item?id=13851049

ну так вот я тебе говорю из коробки оомд убивает любого кто попадется ему на глаза

в голосовалке 7 раз из 10 есть бедняга ssh демон

ну так вот я тебе говорю из коробки оомд убивает любого кто попадется ему на глаза

нет, не любого, а в соответствии с формулой

ты молодец конечно что выучил что там формула есть. только она не работает

кто подошел больше всего - тот умер

системные процессы умирают точно так же

ты молодец конечно что выучил что там формула есть. только она не работает

она прекрасно работает

ну поговорим когда поопытнее будешь

и каждый конкретный случай можно разобрать и убедиться

а то люди тупые написали ирлирум и оомд

а то люди тупые написали ирлирум и оомд

зачем их написали я уже ответил

очевидно что у тебя мало опыта в большом продакшене если ты такое утверждаешь

Поддержу

Поддержу

опыт и компетенция, коллеги, штука, о которой лучше не говорить вне комнаты для интервью. у меня компетенции больше, чем у вас двоих вместе взятых, но разговор не об этом. разговор об отрицании очевидного: есть исходник ядра, где все можно посмотреть, есть официальный документ (не один), где прекрасно все расписано. есть даже описание этих прекрасных проектов, таких как oomd и прочих, где их авторы понятно объясняют, зачем они их сделали... заметьте, я не говорю, что механизм oom killer отрабатывает всегда так, как каждому из нас надо, я говорю, что он отрабатывает так, как написано в документации и запрогано, не более того. но, коллеги, я понимаю, что вы в том возрасте, когда очень хочется быть правым во всех вопросах ? только вы напоминаете тех, кто доказывает, что земля круглая, а на фото из космоса отвечают "это вид сверху" или "это подделка" ?

опыт и компетенция, коллеги, штука, о которой лучше не говорить вне комнаты для интервью. у меня компетенции больше, чем у вас двоих вместе взятых, но разговор не об этом. разговор об отрицании очевидного: есть исходник ядра, где все можно посмотреть, есть официальный документ (не один), где прекрасно все расписано. есть даже описание этих прекрасных проектов, таких как oomd и прочих, где их авторы понятно объясняют, зачем они их сделали... заметьте, я не говорю, что механизм oom killer отрабатывает всегда так, как каждому из нас надо, я говорю, что он отрабатывает так, как написано в документации и запрогано, не более того. но, коллеги, я понимаю, что вы в том возрасте, когда очень хочется быть правым во всех вопросах ? только вы напоминаете тех, кто доказывает, что земля круглая, а на фото из космоса отвечают "это вид сверху" или "это подделка" ?

короче, понты, понятно. Досвидос

детский сад

о боже как тут божественно, так и тянет набросить

о боже как тут божественно, так и тянет набросить

Накидывай

Второе официальное докер коммьюнити, как никак

Второе официальное докер коммьюнити, как никак

Первое официальное. Имени Соломона

?‍♂

А в докере как то можно сделать такое: Нужно в определенном контейнере запустить скрипт на n порту и сделать так, чтобы этот порт был рабочим во вне? По быстрому, напримеру как то зайти внутрь контейнера и запустить скрипт

А в докере как то можно сделать такое: Нужно в определенном контейнере запустить скрипт на n порту и сделать так, чтобы этот порт был рабочим во вне? По быстрому, напримеру как то зайти внутрь контейнера и запустить скрипт

В существующем контейнере без network=host? То есть ты хочешь динамически пробрасывать порты?

Чисто теоретически зависит от того как у тебя сеть в докере сделана

динамически не работает

Да можно сделать)

тока это хаки