Docker в продакшене

joann

Постоялец
Регистрация
19 Июн 2008
Сообщения
57
Реакции
11
Привет, сейчас занялся переписывать проект, делаю новую архитектуру думаю сделать все эта на контейнерах. Год назад уже хотел использовать его но тогда нужно было танцевать с CoreOS, сейчас вроде все стабильно и есть Swarm

Хотел узнать кто уже с ним работал, что скажете?
 
Лучше юзай LXC :glob:
Docker слишком распиарен, да и преимуществ каких-то особых нет перед LXC. По факту тупо обертка над LXC.
А все эти готовые контейнеры для докера зло-злейшее. Хз кто и как их собирал и из чего. Да и на софт с неисправленными уязвимостями в этих контейнерах много жалоб...Как-то так. В общем я за LXC.
Для просмотра ссылки Войди или Зарегистрируйся
Статейка в догонку кстати. Если лень читать все, можно прочитать только это:
Например, первый запуск сервиса выявил, что около 80% всех размещённых в каталоге Quay.io Docker-контейнеров содержат уязвимость CVE-2014-0160 ("Heartbleed"), которая была исправлена в дистрибутивах более 18 месяцев назад.
 
Последнее редактирование:
да и преимуществ каких-то особых нет перед LXC
Пока вижу простату, как в установки так и в администрировании. Сейчас работаю в проекте где каждый день заливаем все на гит потом "руками" на прод, хотел все эта перекинуть на контейнеры rkt или docker, нужно чтоб был инструмент развертывания на нескольких машинах.

А все эти готовые контейнеры для докера зло-злейшее. Хз кто и как их собирал и из чего. Да и на софт с неисправленными уязвимостями в этих контейнерах много жалоб
Не думал что все так критично, в продакшене конечно все самим нужно собирать!

А что насчет Core OS + RKT ?
 
Не сталкивался с core os & rkt, так что ничего не скажу.
А так...Если умеешь писать на bash-е скриптики, то всю эту рутину можешь вполне аквтоматизировать.
 
Докер всё же по проворней будет)
А на счёт:
А все эти готовые контейнеры для докера зло-злейшее. Хз кто и как их собирал и из чего. Да и на софт с неисправленными уязвимостями в этих контейнерах много жалоб...
Используйте только официальные образы.
 
Лучше юзай LXC :glob:
Docker слишком распиарен, да и преимуществ каких-то особых нет перед LXC. По факту тупо обертка над LXC.
Уже ж давно не обертка - они переписали драйвер под себя.

А все эти готовые контейнеры для докера зло-злейшее. Хз кто и как их собирал и из чего. Да и на софт с неисправленными уязвимостями в этих контейнерах много жалоб...Как-то так. В общем я за LXC.
Для просмотра ссылки Войди или Зарегистрируйся
Статейка в догонку кстати. Если лень читать все, можно прочитать только это:
Кто мешает перед установкой смотреть в Dockerfile и понимая нужен ли тот функционал который в этом конкретном контейнере - решать устанавливать его или править под себя?

На счет уязвимостей - по сути в контейнере запускается лишь один (или несколько) процессов, которые могут и не обращаться к уязвимым файлам образа. Поэтому даже если в его файловой системе что-то уязвимое и лежит, воспользоватся уязвимостью не получится. А хорошая практика не запускать в контейнерах ssh (да и чем меньше процессов тем лучше - в идеале один) играет только в плюс всеобщей безопасности.
 
Docker на продакшен критичный к безопастности (например фин проект, или sensetive data) лучше пока не ставить. Все-таки пока еще достаточно свеж и секьюрити вопросы возникают переодически.
Как альтернатива - старая добрая виртуализация + ansible\puppet
 
Docker на продакшен критичный к безопастности (например фин проект, или sensetive data) лучше пока не ставить. Все-таки пока еще достаточно свеж и секьюрити вопросы возникают переодически.
Как альтернатива - старая добрая виртуализация + ansible\puppet
С удовольствием послушаю какие секьюрити вопросы возникают на docker, что не позволяет его ставить на критичный к безопасности продакшен.
 
ну парочку на вскидку:
Для просмотра ссылки Войди или Зарегистрируйся
Для просмотра ссылки Войди или Зарегистрируйся
Для просмотра ссылки Войди или Зарегистрируйся
Для просмотра ссылки Войди или Зарегистрируйся

конечно можно долго разговаривать о плюса\минусах, но при прочих равных я за безопасность. лично я пока избегаю использовать докеры на продакшенах, хотя активно используются для разработки. Таки удобно, да.
Лично знаю извращенца запускающего виртуозку под каждый отдельный контейнер. Задача у него была такая - перейти на докер вопреки всему, а с безопасностью расставаться не хотел, вот и извращается.
Я же пока просто не спешу использовать инструмент там, где нет нужды его использовать.
 
ну парочку на вскидку:
Для просмотра ссылки Войди или Зарегистрируйся
Для просмотра ссылки Войди или Зарегистрируйся
Для просмотра ссылки Войди или Зарегистрируйся
Для просмотра ссылки Войди или Зарегистрируйся

Что это? Пофиксенные прошлой весной, а то и в 2014 баги? При разработке любого софта будут возникать ошибки.
И было бы странно на продакшен, например, не ставить ядро линукса, в котором в гораздо большем кол-ве ошибки находят.
И хорошо что находят и правят. Обновлять просто надо чаще.

А что нужно чтобы воспользоваться этими уязвимостями? Каким-то образом нужно сначала получить рут?! И что она даст? Доступ к соседним контейнерам?!
Если код внутри контейнера настолько уязвим, что позволяет получить рут, то вот основная проблема которую надо решать,
а не упаковывать контейнеры в виртуальные машины. Тем более как ты не упаковывай взаимозависимую функциональность, например веб-сервер, который использует базу данных -
если взломали и получили рут на веб-сервере данные из базы так же будут получены.
И виртуальные машины как и реальные (для еще большей изоляции) тебе не помогут.

С помощью же докера ты с меньшим кол-вом времени все это восстановишь.
Он тебе кроме прочего дает инструмент резервирования и описания твоей конфигурации.

Безопасность чистого линукса меньше, чем линукса, где функциональность изолированна друг от друга в контейнерах.
Да и обновлять такую конструкцию проще, а значит это еще плюс к всеобщей безопасности.

ЗЫ: Даже microsoft в свою новую серверную ОС включила докер, дополнив возможностью запускать в нем и виндовс приложения.

Контейнеризация не то что свежа - она уже давно в проде и давно уже состоялась.
 
Назад
Сверху