Re: LXC vs Docker и форматы контейнеров
On Wed, 31 Oct 2018 23:20:06 +0300
Michael Shigorin <mike@altlinux.org> wrote:
> On Thu, Oct 11, 2018 at 07:40:19AM +0300, Victor Wagner wrote:
> > Итак, что может хотеться получить:
> >
> > 1. Обеспечить работу недоверенных приложений, возможно
> > нескольких взаимодействующих, возможно предъявляющих
> > несовместимые требования к операционным системам, в которых
> > развернуты. Под эту задачу создавался докер.
>
> Это дыркер-то? Виктор, ну Вы-то можете различать контейнеры
> (которые были ровно ovz/vz) и дырявые кошёлки для удобства
> переноски разных кучек всякого (а это то, что может дать lxc
> и около)...
Да. И я тут описываю именно задачу для которой нужны "дырявые кошелки".
Более того, зачастую и они избыточны. Хватило бы даже не chroot, а чуть
более строгого разграничения прав на файловую систему по пользователям
и группами.
А для задач, под которые создавался vz сейчас проще использовать kvm.
Да, оверхед от лишнего ядра. Но это дешевле чем бороться с ядрами с
версией ниже числа e.
>
> > При этом надо понимать, что если вы ходите что-то серьезное
> > хостить
>
> ...то сперва стоит посмотреть https://www.cvedetails.com/product/28125
> и характер дырок, потом очень-очень осторожно спросить kir@
А какой смысл? Все равно взломают. Сейчас гораздо выгоднее вкладываться
в процедуры своевременного обнаружения, и восстановления после взлома,
а не тешить себя иллюзиями невзламываемых систем.
--
Reply to: