= Сообщение: 7668 из 8277 ========================================= RU.LINUX = От : Alexey Vissarionov 2:5020/545 18 Aug 21 16:54:00 Кому : Anton Gorlov 18 Aug 21 16:54:00 Тема : Oracle Cloud IPv6 FGHI : area://RU.LINUX?msgid=2:5020/545+611d10fd На : area://RU.LINUX?msgid=2:5059/37@FidoNet+611cd061 = Кодировка сообщения определена как: CP866 ================================== Ответ: area://RU.LINUX?msgid=2:5001/100.1+6120408a ============================================================================== Доброго времени суток, Anton! 18 Aug 2021 12:11:06, ты -> мне:
AG>>> Ну не для безопасности изоляций все эти докеры. +- чрут на AG>>> стероидах AV>> Вообще-то unshare() дополняет chroot(), а не заменяет его. AG> А там тупо unshare под капотом? Я просто не лазил в потроха докера.
А что, так много вариантов? Либо unshare(), либо clone() - только вторым пользоваться чуть менее удобно.
AG>>> и ложное ощущение защищённости. AV>> В принципе контейнеризацию можно сделать безопасной, и у того же AV>> OpenVZ это неплохо получилось. Но потом они стали двигаться куда-то AV>> совсем не туда, и в результате просрали перспективное направление. AG> Увы да. Openvz был "вкусным" и удобным инструментом. Но Увы..просрали AG> полимеры.
Реанимировать еще можно, но проще сохранить маленький кусочек (как раз тот, который обеспечивал работу с сетью так, чтобы нельзя было вылезти в хост) и попробовать пропихнуть его в апстрим: получится - хорошо, не получится - и похрену, маленький патч можно и своими силами сопровождать.
AG> А так единственное, что вижу от докера - если нужно зоопарк всякого AG> хлама запустить аля помойку с "минимальным" оверхедом по ресурсам. Но AG> явно не место ему там,куда его массово пихают.
Получаются довольно крупные "кубики", из которых даже человек, далекий от администрирования, может слепить что-то работающее. Оверхед, конечно, будет преизрядный, но хостеров это полностью устраивает (можно продать больше ресурсов, чем фактически нужно), а пользователи реально готовы платить за "облачные решения", "оркестрацию" и другие модные слова, так что все довольны.
AG>>> если от него нельзя избавиться, AV>> Мелкую приблуду можно и в хешере запустить :-) AV>> Который, кстати, защищен намного лучше: там нет настоящего root. AG> Да. Кстати в lxc вроде нанастоящий рут тоже имеется.
Да ты его сам себе от усера можешь сделать: unshare -m -p -U -f -r sh Если что, команда входит в util-linux :-)
AG>>> но не для безопасности между "контейнерами". AV>> Настоящие контейнеры были только в OpenVZ, а до того что-то похожее AV>> пытались реализовать (относительно успешно) в солярисовских зонах. AG> Уху. Но их не успел полапать. Видеть видел,но не более
Я еще и Virtual UNIX для бздо видел... даже исходники где-то должны быть сохранены (практической ценности не имеют, просто на поржать).
-- Alexey V. Vissarionov aka Gremlin from Kremlin gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii
... Опыты над мышами подтверждают, что встреча с черной кошкой - плохая примета --- /bin/vi * Origin: ::1 (2:5020/545)