Docker в продакшене

Тема в разделе "Администрирование серверов", создана пользователем joann, 14 ноя 2015.

Модераторы: mefish, stooper
  1. joann

    joann Постоялец

    Регистр.:
    19 июн 2008
    Сообщения:
    61
    Симпатии:
    11
    Привет, сейчас занялся переписывать проект, делаю новую архитектуру думаю сделать все эта на контейнерах. Год назад уже хотел использовать его но тогда нужно было танцевать с CoreOS, сейчас вроде все стабильно и есть Swarm

    Хотел узнать кто уже с ним работал, что скажете?
     
  2. Sorcus

    Sorcus Sorcus. A New Beginning.

    Moderator
    Регистр.:
    10 июл 2011
    Сообщения:
    301
    Симпатии:
    588
    Лучше юзай LXC :glob:
    Docker слишком распиарен, да и преимуществ каких-то особых нет перед LXC. По факту тупо обертка над LXC.
    А все эти готовые контейнеры для докера зло-злейшее. Хз кто и как их собирал и из чего. Да и на софт с неисправленными уязвимостями в этих контейнерах много жалоб...Как-то так. В общем я за LXC.
    http://www.opennet.ru/opennews/art.shtml?num=43327
    Статейка в догонку кстати. Если лень читать все, можно прочитать только это:
     
    Последнее редактирование: 15 ноя 2015
    joann нравится это.
  3. joann

    joann Постоялец

    Регистр.:
    19 июн 2008
    Сообщения:
    61
    Симпатии:
    11
    Пока вижу простату, как в установки так и в администрировании. Сейчас работаю в проекте где каждый день заливаем все на гит потом "руками" на прод, хотел все эта перекинуть на контейнеры rkt или docker, нужно чтоб был инструмент развертывания на нескольких машинах.

    Не думал что все так критично, в продакшене конечно все самим нужно собирать!

    А что насчет Core OS + RKT ?
     
  4. Sorcus

    Sorcus Sorcus. A New Beginning.

    Moderator
    Регистр.:
    10 июл 2011
    Сообщения:
    301
    Симпатии:
    588
    Не сталкивался с core os & rkt, так что ничего не скажу.
    А так...Если умеешь писать на bash-е скриптики, то всю эту рутину можешь вполне аквтоматизировать.
     
  5. willy-rumster

    willy-rumster Писатель

    Регистр.:
    2 мар 2015
    Сообщения:
    3
    Симпатии:
    0
    Докер всё же по проворней будет)
    А на счёт:
    Используйте только официальные образы.
     
  6. Hutton

    Hutton Создатель

    Регистр.:
    28 янв 2016
    Сообщения:
    48
    Симпатии:
    33
    Уже ж давно не обертка - они переписали драйвер под себя.

    Кто мешает перед установкой смотреть в Dockerfile и понимая нужен ли тот функционал который в этом конкретном контейнере - решать устанавливать его или править под себя?

    На счет уязвимостей - по сути в контейнере запускается лишь один (или несколько) процессов, которые могут и не обращаться к уязвимым файлам образа. Поэтому даже если в его файловой системе что-то уязвимое и лежит, воспользоватся уязвимостью не получится. А хорошая практика не запускать в контейнерах ssh (да и чем меньше процессов тем лучше - в идеале один) играет только в плюс всеобщей безопасности.
     
  7. Noss

    Noss Писатель

    Регистр.:
    18 июн 2013
    Сообщения:
    9
    Симпатии:
    0
    Docker на продакшен критичный к безопастности (например фин проект, или sensetive data) лучше пока не ставить. Все-таки пока еще достаточно свеж и секьюрити вопросы возникают переодически.
    Как альтернатива - старая добрая виртуализация + ansible\puppet
     
  8. Hutton

    Hutton Создатель

    Регистр.:
    28 янв 2016
    Сообщения:
    48
    Симпатии:
    33
    С удовольствием послушаю какие секьюрити вопросы возникают на docker, что не позволяет его ставить на критичный к безопасности продакшен.
     
  9. Noss

    Noss Писатель

    Регистр.:
    18 июн 2013
    Сообщения:
    9
    Симпатии:
    0
    ну парочку на вскидку:
    http://www.rapid7.com/db/vulnerabilities/linuxrpm-RHSA-2015-0623
    http://www.rapid7.com/db/vulnerabilities/linuxrpm-RHSA-2015-0776
    http://www.rapid7.com/db/vulnerabilities/suse-cve-2015-3627
    http://www.rapid7.com/db/vulnerabilities/amazon-linux-ami-alas-2015-522

    конечно можно долго разговаривать о плюса\минусах, но при прочих равных я за безопасность. лично я пока избегаю использовать докеры на продакшенах, хотя активно используются для разработки. Таки удобно, да.
    Лично знаю извращенца запускающего виртуозку под каждый отдельный контейнер. Задача у него была такая - перейти на докер вопреки всему, а с безопасностью расставаться не хотел, вот и извращается.
    Я же пока просто не спешу использовать инструмент там, где нет нужды его использовать.
     
  10. Hutton

    Hutton Создатель

    Регистр.:
    28 янв 2016
    Сообщения:
    48
    Симпатии:
    33
    Что это? Пофиксенные прошлой весной, а то и в 2014 баги? При разработке любого софта будут возникать ошибки.
    И было бы странно на продакшен, например, не ставить ядро линукса, в котором в гораздо большем кол-ве ошибки находят.
    И хорошо что находят и правят. Обновлять просто надо чаще.

    А что нужно чтобы воспользоваться этими уязвимостями? Каким-то образом нужно сначала получить рут?! И что она даст? Доступ к соседним контейнерам?!
    Если код внутри контейнера настолько уязвим, что позволяет получить рут, то вот основная проблема которую надо решать,
    а не упаковывать контейнеры в виртуальные машины. Тем более как ты не упаковывай взаимозависимую функциональность, например веб-сервер, который использует базу данных -
    если взломали и получили рут на веб-сервере данные из базы так же будут получены.
    И виртуальные машины как и реальные (для еще большей изоляции) тебе не помогут.

    С помощью же докера ты с меньшим кол-вом времени все это восстановишь.
    Он тебе кроме прочего дает инструмент резервирования и описания твоей конфигурации.

    Безопасность чистого линукса меньше, чем линукса, где функциональность изолированна друг от друга в контейнерах.
    Да и обновлять такую конструкцию проще, а значит это еще плюс к всеобщей безопасности.

    ЗЫ: Даже microsoft в свою новую серверную ОС включила докер, дополнив возможностью запускать в нем и виндовс приложения.

    Контейнеризация не то что свежа - она уже давно в проде и давно уже состоялась.
     
    Ayashi777 нравится это.