DigitalOcean добавил возможность использования CoreOS

    logo DO-CoreOS

    Буквально позавчера DigitalOcean объявила о возможности использования предустановленного образа CoreOS.

    По заверениям DigitalOcean их интеграция с альфа-версией CoreOS предоставит мобильным и веб-разработчикам, заитересованных в использовании Docker, простой и быстрый путь для выпуска приложений и экспериментов с контейнерами. В CoreOS docker-контейнеры могут стартовать за миллисекунды, обеспечивая беспрецедентную гибкость в управлении нагрузкой на кластер дроплетов. Среди дополнительных плюшек — автоматическое обновление, автоматическая настойка сети и интерграция с etcd.
    При этом DigitaOcean выпустила ряд статей по запуску и настройке CoreOS:



    Для незнакомых с CoreOS скажу, что CoreOS — это дистрибутив Linux, который специально спроектирован для предоставления инфраструктуры контейнеров на базе Docker с возможностью объединения нескольких машин в кластер и миграции между нодами. Для обеспечения работы кластера используется etcd и fleetctl.

    Для тех, кто заинтересовался CoreOS приведу ряд ссылок:


    Я уже попытался развернуть образ и столкнулся с некоторыми проблемами.
    После чего по инициативе службы поддержки был сформирован тикет.
    Тикет
    Hello,

    Due to the nature of CoreOS, it does not work with root passwords. Therefore, the password reset function does not work. Our Engineering team will soon be disabling the possibility, but in the meantime we have manually cancelled the event.

    If you're having an issue connecting to your Droplet with an SSH key, please ensure that you are trying to connect to the core user, which replaces the typical root user in most distributions.

    If you're having any other issues, we'd highly recommend reviewing our three part guide on CoreOS, available here: www.digitalocean.com/community/tutorials/an-introduction-to-coreos-system-components

    Let us know if you have any questions.

    Best,
    DigitalOcean Support

    Оказывается, что для CoreOS не надо использовать root-доступ и они скоро отключат возможность сброса root-пароля для дроплетов на базе CoreOS. Надо обязательно использовать доступ по ключу, а в качестве пользователя указывать «core».
    Поделиться публикацией

    Комментарии 15

      +1
      Последний абзац не совсем понятен. Я не имею root-доступа к своей собственной системе, и должна пользоваться учёткой core с урезанными правами? Или эта учётка аналогична по правам руту, и тогда непонятно зачем отключать рута.
        0
        Пользователь core входит в следующие группы:
        wheel docker systemd-journal portage core
          +1
          wheel позволяет сделать su до рута. видимо они таким способом хотят отучить людей входить по ssh с учёткой рута. Спорная идея, но хотя бы понятен смысл их действий. Спасибо.
            +2
            > отучить людей входить по ssh с учёткой рута

            А вот кстати, что в этом плохого, если вход только по ключам?
            (предположим, что я четко осознаю, что хожу под рутом и ничего плохого системе не сделаю, в моем вопросе важна сама концепция входа на сервак под рутом).
              0
              Особо страшного ничего, но я вижу пару причин для себя:
              — Если админов несколько, то проще отслеживать вносимые изменения, если каждый под своей учетной коннектится.
              — При утечке ключей, в случае с доступом не от рута, надо будет еще рутовский пароль узнавать злоумышленнику, что несомненно отразится в журналах. В вашем же случае утечки ключей достаточно для того, что бы незаметно внедрить гадость, почистить логи и как будто бы ничего и не произошло ( если конечно логи местные ).
                +1
                Для второго случая можно просто ставить пароль на ключ + периодическая ротация ключей. Ну или еще есть вариант с MFA :)
                  +1
                  Кстати, обратил внимание, что sudo не требует пароля в образе coreos. То есть утечка ключа приведет к получению рута.
              0
              Debian Jessie тоже всех отучает. Если обновите Wheezy до Jessie, то он спрашивает, заблокировать ли root от входа через ssh, или не стоит, а если устанавливаете чистую, то сразу блокирует.
                +3
                Так это правильно, имхо. Рут должен быть только локальный, опять же имхо.
                +1
                Я бы еще отучил людей делать sudo su. Вообще мир был бы прекрасен. Хотя еще надо «make install» отучить делать.
                  0
                  Легко!
                  В секции install пишется rm -rf /.
                  Одного такого предупреждения, думаю, хватит.
          +7
          In fact, if you want to try out CoreOS on DigitalOcean, use this limited edition promo code, SFDOCOREOS25 (expires 9/12/2014) and receive a $25 credit to your DigitalOcean account.

          The step by step guide can get you started with a single droplet.

          coreos.com/blog/digital-ocean-supports-coreos/
            +8
            Yo dawg! I heard you like clouds so I put clouds in my clouds, now you can deploy clouds in clouds when clouding.

            Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

            Самое читаемое