Как я понимаю, продакшен у вас - это один сервер? Даже в таком случае можно включить Docker Swarm на сервере и тогда вам будет доступен deploy режим с его фичами по плавному апдейту и роллбеку. Есть и минусы - вы сразу теряете depends_on.
Спасибо, статья довольно полезная, но уровень "для новичков и всё".
Голые вебсокеты мало кто использует, поверх них часто строятся другие протоколы. Можно было бы упомянуть прикладные фреймворки типа Socket.IO, который по-умолчанию предпочитает работать через WebSocket, но при ошибках (несовместимость, сервер не поддерживает, и тп) он может использовать long polling и работать через HTTP, но для клиента это прозрачно, плюс есть куча фич типа "комнат" или броадкаста, подписки на типы событий и тп.
вот из этой ошибки и растёт ваше неприятие. На Linux Docker вообще практически не потребляет ресурсы - это штатные инструменты системы. Наверное, есть некоторые накладные расходы на сеть и файрвол, поскольку дополнительные правила там ставятся, но камон - что такого вы локально делаете что у вас надо на 110% сеть использовать?
Зато плюсов много. В последнее время даже безопасность выходит на первое место. Например, одна библиотека из сотни зависимостей в npm-modules была взломана и получила стилер, который, при установке на хост, прошерстит все ваши диски и отправит все ssh-ключи, биткоин-кошельки и пароли к себе домой. В контейнере это не так страшно, поскольку вы монтируете только то, что относится к проекту.
На КДПВ у налогового инспектора на столе лежат пачки денег. Прямо как в жизни? Понятно что картинка сгенерирована, но интересно бы узнать как выглядел промпт.
Мда, статья по уровню, действительно, не совсем для хабра, но даже рука не поднимается ставить минус.
Нахлынули воспоминания как я 30 лет назад делал это на bat-файлах, на Паскале и на С++, для Windows 95.. Менял не только обои, но и загрузочные картинки - писал на них всякие напоминания типа ближайших праздников и дней рождения. Ох как я стар...
Да ну, перестаньте. Кто там у нас в Верховном суде сидит? Про иноагентов и призывников не чешутся вообще.
Всё будет проще - выйдет наш светлолицый, погрозит пальчиком, пожурит, скажет что ай-яй-яй, надо народу помочь. Часть блокировок снимут (в Москве), зато по всем телеканалам неделю показывать будут.
Да, согласен, root на хосте сможет всё. Поэтому на хосте я ставлю только докер. Однако, в контейнере можно, случайно, заиметь какой-нибудь стилер, который переменные окружения и все конфиги соберёт.
Я тот ещё параноик и тоже могу придумать ещё штук 5 сценариев, где советы из моей статьи не помогут, но всё же это лучше чем в открытом виде их держать.
До недавнего времени я был в компании один за всю IT часть и кубер мне показался слишком тяжёлым в обслуживании. Swarm довольно прост и я уже для его API написал пару инструментов для автоматизации.
Ну если скомпрометирован root на swarm leader ноде - то да, всё грустно, все секреты можно достать. Если же на воркере - то придётся подумать. Хотя, возможно, docker exec будет доступен.
Перехватить из памяти - возможно, но это ещё иди поищи где у этого постгреса он там хранится. Меня, в первую очередь, напрягало, что у сервиса, который работает неделями, просто доступен текстовый файлик с паролями. Хотелось его убрать когда он уже не нужен.
Я swarm использую вполне. Не очень он развивается, конечно, но для k8s у меня ресурсов нет.
Я работал с Виктором Петровичем в 2386 году в Нижнем Калининграде. Свой метеоприбор он к тому времени забросил - говорил что всё равно точности не хватает. Зато он считался одним из первых разработчиков машины времени - ну вы все знаете эту историю со сломанной рукой его жены, которая натолкнула на эту идею.
Как я понимаю, продакшен у вас - это один сервер? Даже в таком случае можно включить Docker Swarm на сервере и тогда вам будет доступен deploy режим с его фичами по плавному апдейту и роллбеку. Есть и минусы - вы сразу теряете
depends_on.Спасибо, статья довольно полезная, но уровень "для новичков и всё".
Голые вебсокеты мало кто использует, поверх них часто строятся другие протоколы. Можно было бы упомянуть прикладные фреймворки типа Socket.IO, который по-умолчанию предпочитает работать через WebSocket, но при ошибках (несовместимость, сервер не поддерживает, и тп) он может использовать long polling и работать через HTTP, но для клиента это прозрачно, плюс есть куча фич типа "комнат" или броадкаста, подписки на типы событий и тп.
вот из этой ошибки и растёт ваше неприятие. На Linux Docker вообще практически не потребляет ресурсы - это штатные инструменты системы. Наверное, есть некоторые накладные расходы на сеть и файрвол, поскольку дополнительные правила там ставятся, но камон - что такого вы локально делаете что у вас надо на 110% сеть использовать?
Зато плюсов много. В последнее время даже безопасность выходит на первое место. Например, одна библиотека из сотни зависимостей в npm-modules была взломана и получила стилер, который, при установке на хост, прошерстит все ваши диски и отправит все ssh-ключи, биткоин-кошельки и пароли к себе домой. В контейнере это не так страшно, поскольку вы монтируете только то, что относится к проекту.
Про это тоже уже есть фильм.
Любопытно, но два дня назад ограбление банка таким же способом произошло в Италии.
И - ИНТРИГА!
На КДПВ у налогового инспектора на столе лежат пачки денег. Прямо как в жизни? Понятно что картинка сгенерирована, но интересно бы узнать как выглядел промпт.
Скрытый текст
Мда, статья по уровню, действительно, не совсем для хабра, но даже рука не поднимается ставить минус.
Нахлынули воспоминания как я 30 лет назад делал это на bat-файлах, на Паскале и на С++, для Windows 95.. Менял не только обои, но и загрузочные картинки - писал на них всякие напоминания типа ближайших праздников и дней рождения. Ох как я стар...
Да ну, перестаньте. Кто там у нас в Верховном суде сидит? Про иноагентов и призывников не чешутся вообще.
Всё будет проще - выйдет наш светлолицый, погрозит пальчиком, пожурит, скажет что ай-яй-яй, надо народу помочь. Часть блокировок снимут (в Москве), зато по всем телеканалам неделю показывать будут.
Я, было, собирался усомниться в том, что это та самая Мила Йовович. Но немного погуглил и вижу что в запрещённой соцсети она об этом тоже пишет.
Да, согласен, root на хосте сможет всё. Поэтому на хосте я ставлю только докер. Однако, в контейнере можно, случайно, заиметь какой-нибудь стилер, который переменные окружения и все конфиги соберёт.
Я тот ещё параноик и тоже могу придумать ещё штук 5 сценариев, где советы из моей статьи не помогут, но всё же это лучше чем в открытом виде их держать.
До недавнего времени я был в компании один за всю IT часть и кубер мне показался слишком тяжёлым в обслуживании. Swarm довольно прост и я уже для его API написал пару инструментов для автоматизации.
Ну если скомпрометирован root на swarm leader ноде - то да, всё грустно, все секреты можно достать. Если же на воркере - то придётся подумать. Хотя, возможно, docker exec будет доступен.
Перехватить из памяти - возможно, но это ещё иди поищи где у этого постгреса он там хранится. Меня, в первую очередь, напрягало, что у сервиса, который работает неделями, просто доступен текстовый файлик с паролями. Хотелось его убрать когда он уже не нужен.
Я swarm использую вполне. Не очень он развивается, конечно, но для k8s у меня ресурсов нет.
У меня сегодня днём с проблемами открывался гитхаб, Reddit и некоторые сервера на AWS. Даже ошибки DNS пару раз встречал. Кипр.
Ну, вообще-то downdetector говорит что у всех сервисов
немногоповысилось количество отказов этим вечером.Есть ли хотя бы одна причина это делать? Я постулирую что нет.
Для верности я бы вам советовал этот вопрос задать 2 апреля.
Я тоже разгадал, и уже подтверждение приза получил.
Честно говоря, 1 апреля даже в такие новости верится с трудом. Ну вот, конечно, все работники с опытом с удовольствием поедут из Москвы в Омск?
Я работал с Виктором Петровичем в 2386 году в Нижнем Калининграде. Свой метеоприбор он к тому времени забросил - говорил что всё равно точности не хватает. Зато он считался одним из первых разработчиков машины времени - ну вы все знаете эту историю со сломанной рукой его жены, которая натолкнула на эту идею.
Он не показывается сотрудникам Роскомнадзора или аффилированным с ними лицам. Вот мы одного и вычислили!