VS>>>> Ни разу не видел докера с IPv6. Реально бывает? IMHO у докера и VS>>>> K8s адресация внутри сильно завязана на RFC1918. AG>>> Нынче докер даже в бриджи научился и бывает с честными ipv4... AV>> Ептъ... неужели заткнули красивую дырку? Надо будет проверить. AG> Честно не скажу.. нет докера под руками. Просто попадалось что там AG> научились в бриджи. Но вангую что научились в бриджи и добавили ещё AG> дырок по пути.
Дыркер без дырок не бывает.
AG> Ну не для безопасности изоляций все эти докеры. +- чрут на стероидах
Вообще-то unshare() дополняет chroot(), а не заменяет его.
AG> и ложное ощущение защищённости.
В принципе контейнеризацию можно сделать безопасной, и у того же OpenVZ это неплохо получилось. Но потом они стали двигаться куда-то совсем не туда, и в результате просрали перспективное направление.
AG> Да докер удобен
Назвать это уебище удобным может только человек, который больше ни с чем не работал. В твоем случае, насколько я помню, это все же не так.
AG> для запуска всякого зоопарка,
Точнее, для их тиражирования.
AG> если от него нельзя избавиться,
Мелкую приблуду можно и в хешере запустить :-) Который, кстати, защищен намного лучше: там нет настоящего root.
AG> но не для безопасности между "контейнерами".
Настоящие контейнеры были только в OpenVZ, а до того что-то похожее пытались реализовать (относительно успешно) в солярисовских зонах.
-- Alexey V. Vissarionov aka Gremlin from Kremlin gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii
... Когда понадобится ваше мнение - вам его сообщат --- /bin/vi * Origin: ::1 (2:5020/545)
