Docker в продакшене

[joann]

Привет, сейчас занялся переписывать проект, делаю новую архитектуру думаю сделать все эта на контейнерах. Год назад уже хотел использовать его но тогда нужно было танцевать с CoreOS, сейчас вроде все стабильно и есть Swarm

Хотел узнать кто уже с ним работал, что скажете?

 

[Sorcus]

Лучше юзай LXC
Docker слишком распиарен, да и преимуществ каких-то особых нет перед LXC. По факту тупо обертка над LXC.
А все эти готовые контейнеры для докера зло-злейшее. Хз кто и как их собирал и из чего. Да и на софт с неисправленными уязвимостями в этих контейнерах много жалоб...Как-то так. В общем я за LXC.
Для просмотра ссылки Войди или Зарегистрируйся
Статейка в догонку кстати. Если лень читать все, можно прочитать только это:

Например, первый запуск сервиса выявил, что около 80% всех размещённых в каталоге Quay.io Docker-контейнеров содержат уязвимость CVE-2014-0160 ("Heartbleed"), которая была исправлена в дистрибутивах более 18 месяцев назад.

 

[joann]

да и преимуществ каких-то особых нет перед LXC

Пока вижу простату, как в установки так и в администрировании. Сейчас работаю в проекте где каждый день заливаем все на гит потом "руками" на прод, хотел все эта перекинуть на контейнеры rkt или docker, нужно чтоб был инструмент развертывания на нескольких машинах.

А все эти готовые контейнеры для докера зло-злейшее. Хз кто и как их собирал и из чего. Да и на софт с неисправленными уязвимостями в этих контейнерах много жалоб

Не думал что все так критично, в продакшене конечно все самим нужно собирать!

А что насчет Core OS + RKT ?

 

[Sorcus]

Не сталкивался с core os & rkt, так что ничего не скажу.
А так...Если умеешь писать на bash-е скриптики, то всю эту рутину можешь вполне аквтоматизировать.

 

[willy-rumster]

Докер всё же по проворней будет)
А на счёт:

А все эти готовые контейнеры для докера зло-злейшее. Хз кто и как их собирал и из чего. Да и на софт с неисправленными уязвимостями в этих контейнерах много жалоб...

Используйте только официальные образы.

 

[Hutton]

Лучше юзай LXC
Docker слишком распиарен, да и преимуществ каких-то особых нет перед LXC. По факту тупо обертка над LXC.

Уже ж давно не обертка - они переписали драйвер под себя.

А все эти готовые контейнеры для докера зло-злейшее. Хз кто и как их собирал и из чего. Да и на софт с неисправленными уязвимостями в этих контейнерах много жалоб...Как-то так. В общем я за LXC.
Для просмотра ссылки Войди или Зарегистрируйся
Статейка в догонку кстати. Если лень читать все, можно прочитать только это:

Кто мешает перед установкой смотреть в Dockerfile и понимая нужен ли тот функционал который в этом конкретном контейнере - решать устанавливать его или править под себя?

На счет уязвимостей - по сути в контейнере запускается лишь один (или несколько) процессов, которые могут и не обращаться к уязвимым файлам образа. Поэтому даже если в его файловой системе что-то уязвимое и лежит, воспользоватся уязвимостью не получится. А хорошая практика не запускать в контейнерах ssh (да и чем меньше процессов тем лучше - в идеале один) играет только в плюс всеобщей безопасности.

 

[Noss]

Docker на продакшен критичный к безопастности (например фин проект, или sensetive data) лучше пока не ставить. Все-таки пока еще достаточно свеж и секьюрити вопросы возникают переодически.
Как альтернатива - старая добрая виртуализация + ansible\puppet

 

[Hutton]

Docker на продакшен критичный к безопастности (например фин проект, или sensetive data) лучше пока не ставить. Все-таки пока еще достаточно свеж и секьюрити вопросы возникают переодически.
Как альтернатива - старая добрая виртуализация + ansible\puppet

С удовольствием послушаю какие секьюрити вопросы возникают на docker, что не позволяет его ставить на критичный к безопасности продакшен.

 

[Noss]

ну парочку на вскидку:
Для просмотра ссылки Войди или Зарегистрируйся
Для просмотра ссылки Войди или Зарегистрируйся
Для просмотра ссылки Войди или Зарегистрируйся
Для просмотра ссылки Войди или Зарегистрируйся

конечно можно долго разговаривать о плюса\минусах, но при прочих равных я за безопасность. лично я пока избегаю использовать докеры на продакшенах, хотя активно используются для разработки. Таки удобно, да.
Лично знаю извращенца запускающего виртуозку под каждый отдельный контейнер. Задача у него была такая - перейти на докер вопреки всему, а с безопасностью расставаться не хотел, вот и извращается.
Я же пока просто не спешу использовать инструмент там, где нет нужды его использовать.

 

[Hutton]

ну парочку на вскидку:
Для просмотра ссылки Войди или Зарегистрируйся
Для просмотра ссылки Войди или Зарегистрируйся
Для просмотра ссылки Войди или Зарегистрируйся
Для просмотра ссылки Войди или Зарегистрируйся

Что это? Пофиксенные прошлой весной, а то и в 2014 баги? При разработке любого софта будут возникать ошибки.
И было бы странно на продакшен, например, не ставить ядро линукса, в котором в гораздо большем кол-ве ошибки находят.
И хорошо что находят и правят. Обновлять просто надо чаще.

А что нужно чтобы воспользоваться этими уязвимостями? Каким-то образом нужно сначала получить рут?! И что она даст? Доступ к соседним контейнерам?!
Если код внутри контейнера настолько уязвим, что позволяет получить рут, то вот основная проблема которую надо решать,
а не упаковывать контейнеры в виртуальные машины. Тем более как ты не упаковывай взаимозависимую функциональность, например веб-сервер, который использует базу данных -
если взломали и получили рут на веб-сервере данные из базы так же будут получены.
И виртуальные машины как и реальные (для еще большей изоляции) тебе не помогут.

С помощью же докера ты с меньшим кол-вом времени все это восстановишь.
Он тебе кроме прочего дает инструмент резервирования и описания твоей конфигурации.

Безопасность чистого линукса меньше, чем линукса, где функциональность изолированна друг от друга в контейнерах.
Да и обновлять такую конструкцию проще, а значит это еще плюс к всеобщей безопасности.

ЗЫ: Даже microsoft в свою новую серверную ОС включила докер, дополнив возможностью запускать в нем и виндовс приложения.

Контейнеризация не то что свежа - она уже давно в проде и давно уже состоялась.