Re: LXC vs Docker и форматы контейнеров

[Victor Wagner <vitus@wagner.pp.ru>]

On Wed, 31 Oct 2018 23:20:06 +0300
Michael Shigorin <mike@altlinux.org> wrote:

> On Thu, Oct 11, 2018 at 07:40:19AM +0300, Victor Wagner wrote:
> > Итак, что может хотеться получить:
> > 
> > 1. Обеспечить работу недоверенных приложений, возможно
> > нескольких взаимодействующих, возможно предъявляющих
> > несовместимые требования к операционным системам, в которых
> > развернуты.  Под эту задачу создавался докер.  
> 
> Это дыркер-то?  Виктор, ну Вы-то можете различать контейнеры
> (которые были ровно ovz/vz) и дырявые кошёлки для удобства
> переноски разных кучек всякого (а это то, что может дать lxc
> и около)...

Да. И я тут описываю именно задачу для которой нужны "дырявые кошелки".
Более того, зачастую и они избыточны. Хватило бы даже не chroot, а чуть
более строгого разграничения прав на файловую систему по пользователям
и группами.

А для задач, под которые создавался  vz сейчас проще использовать kvm.
Да, оверхед от лишнего ядра. Но это дешевле чем бороться с ядрами с
версией ниже числа e. 


> 
> > При этом надо понимать, что если вы ходите что-то серьезное
> > хостить  
> 
> ...то сперва стоит посмотреть https://www.cvedetails.com/product/28125
> и характер дырок, потом очень-очень осторожно спросить kir@

А какой смысл? Все равно взломают. Сейчас гораздо выгоднее вкладываться
 в процедуры своевременного обнаружения, и восстановления после взлома,
 а не тешить себя иллюзиями невзламываемых систем.

--