Comments 16
Интересно, из каких соображений выбрана первая фотка?
0
Контейнер на машине. Что тут непонятного.
А по теме статьи — спасибо, погружаюсь в мир Docker и всегда интересно узнать что-то новое в стэке технологических решений. Но все же надеюсь, что когда-нибудь Docker обеспечит vm-подобную защиту контейнеров без этой самой vm.
А по теме статьи — спасибо, погружаюсь в мир Docker и всегда интересно узнать что-то новое в стэке технологических решений. Но все же надеюсь, что когда-нибудь Docker обеспечит vm-подобную защиту контейнеров без этой самой vm.
+4
Я думаю, иллюстрация того, что контейнер на физической машине — не всегда хорошо и полезно.
+7
Контейнер на машине.
+1
Так я не понял — когда нужно размещать а когда нет?
+1
Сочетание заголовка и КДПВ очень грамотное.
+3
А при запуске на одной машине множества Docker-сред злоумышленник чисто технически позволяет получить доступ к ресурсам одного пользователя через взлом другого.
Насколько я в курсе, это возможно только через эксплоит, дающий рутовые права. Т.е. защита не уступает стандартной практике использования множества пользователей с хорошо настроенными правами.
0
Все знают фразу «краткость — сестра таланта»
Но не все помнят ее продолжение «и теща гонорара».
Написали по делу, но будто бы отписку, а не пост. Просим, просим, вам же есть что рассказать!
Но не все помнят ее продолжение «и теща гонорара».
Написали по делу, но будто бы отписку, а не пост. Просим, просим, вам же есть что рассказать!
+1
Когда вы пишите что «Как правило выбирается именно QEMU», вы подразумеваете что гипервизор хоста не поддерживает vmx?
«Внутри Docker изоляция реализована сегодня за счет NameSpaces, но надежность этого подхода все еще вызывает сомнения.»
— Расскажите пожалуйста, которые аспекты docker'a вызывают соменения? Какие именно есть риски?
«Внутри Docker изоляция реализована сегодня за счет NameSpaces, но надежность этого подхода все еще вызывает сомнения.»
— Расскажите пожалуйста, которые аспекты docker'a вызывают соменения? Какие именно есть риски?
0
Нет, имеется в виду KVM+Qemu (да, не совсем точно выразились) — то есть именно KVM, а не какой-то другой гипервизор (например XEN).
Далее, слабое место — это общее ядро — если из одного контейнера удаётся «сломать» его, то ломаются все контейнеры. Кроме того, ядро большое, сделать его безопасным ВСЁ невозможно, получается, что либо мы предоставляем контейнеру пользоваться лишь небольшим набором функций (а остальные запрещаем), либо даём ему всё, но учитываем риск получить «дырку» в безопасности.
Далее, слабое место — это общее ядро — если из одного контейнера удаётся «сломать» его, то ломаются все контейнеры. Кроме того, ядро большое, сделать его безопасным ВСЁ невозможно, получается, что либо мы предоставляем контейнеру пользоваться лишь небольшим набором функций (а остальные запрещаем), либо даём ему всё, но учитываем риск получить «дырку» в безопасности.
0
Если я правильно понял вопрос, то об этом как раз прошлый пост — https://habrahabr.ru/company/virtuozzo/blog/309730/
0
Внутри виртуальной машины QEMU уже запускаются контейнеры одного пользователя.Не совсем понятна фраза, из реальной жизни есть много проектов с кучей фронтендов, бекендов, бекенды тоже разные есть, типо аля микросервисы, базы данных, и т. д. И где концептуально правильней использовать виртуализацию, а где контейнеры, по какому признаку группировать контейнеры по ВМ?
0
Sign up to leave a comment.
Docker: когда нужно размещать контейнер на виртуальной машине?