18 авг 21 года (а было тогда 07:54) Alexey Vissarionov в своем письме к Anton Gorlov писал:
AV>>> Ептъ... неужели заткнули красивую дырку? Надо будет проверить. AG>> Честно не скажу.. нет докера под руками. Просто попадалось что AG>> там научились в бриджи. Но вангую что научились в бриджи и AG>> добавили ещё дырок по пути. AV> Дыркер без дырок не бывает.
Точно!
AG>> Ну не для безопасности изоляций все эти докеры. +- чрут на AG>> стероидах AV> Вообще-то unshare() дополняет chroot(), а не заменяет его.
А там тупо unshare под капотом? Я просто не лазил в потроха докера.
AG>> и ложное ощущение защищённости. AV> В принципе контейнеризацию можно сделать безопасной, и у того же AV> OpenVZ это неплохо получилось. Но потом они стали двигаться куда-то AV> совсем не туда, и в результате просрали перспективное направление.
Увы да. Openvz был "вкусным" и удобным инструментом. Но Увы..просрали полимеры.
AG>> Да докер удобен AV> Назвать это уебище удобным может только человек, который больше ни с AV> чем не работал. В твоем случае, насколько я помню, это все же не так.
Я с докером не работаю :) У меня или bare metal или kvm или циски/снры и остаток длинков.. но эт да.. bare metal тот же ;)
А так единственное, что вижу от докера - если нужно зоопарк всякого хлама запустить аля помойку с "минимальным" оверхедом по ресурсам. Но явно не место ему там,куда его массово пихают.
AG>> для запуска всякого зоопарка, AV> Точнее, для их тиражирования.
Ну даа. это будет точнее.
AG>> если от него нельзя избавиться, AV> Мелкую приблуду можно и в хешере запустить :-) AV> Который, кстати, защищен намного лучше: там нет настоящего root.
Да. Кстати в lxc вроде нанастоящий рут тоже имеется.
AG>> но не для безопасности между "контейнерами". AV> Настоящие контейнеры были только в OpenVZ, а до того что-то похожее AV> пытались реализовать (относительно успешно) в солярисовских зонах.
Уху. Но их не успел полапать. Видеть видел,но не более