- iPhone 12 mini - kicsi a bors, de bitang erős
- Honor Magic5 Pro - kamerák bűvöletében
- Bemutatkozott a Motorola Edge 50 Pro
- Poco X4 Pro 5G - a jobb testvér
- Android szakmai topik
- Android alkalmazások - szoftver kibeszélő topik
- Samsung Galaxy A54 - türelemjáték
- Samsung Galaxy S23 Ultra - non plus ultra
- Milyen okostelefont vegyek?
- Samsung Galaxy A55 - új év, régi stratégia
Hirdetés
-
Duotts F26 - megoldjuk erőből
ma 1500 watt összeteljesítményű biciklit kaptunk tesztre, amely a legalitás összes határán túl van, kontrollálni nem könnyű, de néha óriási élmény is.
-
Toyota Corolla Touring Sport 2.0 teszt és az autóipar
lo Némi autóipari kitekintés után egy középkategóriás autót mutatok be, ami az észszerűség műhelyében készül.
-
QLC-s Team Group SSD jön a PCI Express 4.0-s halmaz belépőszintjére
ph A vállalat fél évtizedes jótállással kísért újdonságát tárhelymérettől függően 512, 1024, valamint 2048 TBW tartósságra hitelesítették.
Új hozzászólás Aktív témák
-
samujózsi
tag
(ez inkább amolyan blogpost, mint kérés/kérdés, nem is arról szól, hogy jajjistenem, feltörik az itthoni gépem, ha valamelyik konténer nem kellőképp up-to-date, inkább csak általánosságban igyekszem gondolkodni, de hátha valakinek van hozzáfűznivalója...)
Minél jobban beleásom magam a docker témába, annál kevésbé látom az igazi előnyeit egy virtuális géppel szemben (pláne valami komolyabb vmware, esetleg xen telepítéssel szemben) - leszámítva a virtualizáció valamivel magasabb overheadjét.
Elvben el van szeparálva a konténer a host rendszerétől, de alapbeállításokkal (most kizárólag Ubuntu-s tapasztalatokról beszélek), ez nagyon kevésnek tűnik:
Például nincsenek beállítva processz limitek, így egy vicces kedvű felhasználó, ha valami módon shellhez jut egy konténerben, egy fork-bomb segítségével kifektetheti a hostot. (eredetileg korlátozva voltak, csak állítólag sok helyen okozott gondot a default ulimit, ezért unlimited-re tették)
Nincs default user mapping, ami a konténerben root, az a hoston is az. Ez nem tűnik jó ötletnek, ha már szeparáció és van is rá eszköz. Miért nem az az alapértelmezett, hogy használja a mappinget?
Ha jól értem, a Linux capabilities használata is beavatkozást igényel, mert alapjáraton a konténerben futó root-nak minden joga megvan (legalábbis kellett egy --caps-drop=ALL ahhoz, hogy a konténerből ne működjön pl a ping - erről tudtam, hogy a CAP_NET_RAW jog kell neki)
Akkor ott az update-ek kérdése, amit bevallom, továbbra sem tudtam feldolgozni: van egy működő konténerem, ha azt akarom, hogy a benne használt összes szoftver be legyen foltozva záros határidőn belül, akkor mi is a teendő? Lesni minden létező szoftvert és ha valamelyikhez jött security patch, akkor rebuildelem a konténert?
Nem teljesen tiszta, hogy mi is van a konténerben futó démonokkal, azok logolásával - utóbbi főleg akkor izgalmas, ha valahol üzemel egy log szerverem, ahol gyűjteném a logokat, de a konténerekben általában nincs syslogd, ami átküldené ezeket a log szerverre, bár ezen lehet, hogy segít a run --log-driver és --log-opt kapcsolójának megfelelő beállítása - ezt még meg kell néznem. Ezek most leginkább úgy jöttek elő, hogy nézegetem tegnap óta a squid és a freeradius futtathatóságát, előbbinél a logolás nem tűnik triviálisnak, mert valamiért csak a saját logját(/var/log/squid/*) hajlandó írni, hiába próbálnám a syslogba küldeni - ez még lehet az én hibám is, utóbbinál meg a szabályos leállás, meg egyéb signal kezelés tűnik problémásnak (korábban célozgattam adatbázisokra, na a radius egy ilyen sérülékeny valami, amennyire emlékszem rá), amit csak elég komoly munkával lehet megoldani, wrapper script írással és egyéb konfigurálgatással.
Akkor ott van a hálózat, elsősorban a szolgáltatásoknál szűrni a klienseket, amit szintén nem triviális megoldani, bár megoldható.
Ehhez képest nekem most egyszerűbbnek tűnik feltolni egy virtuális gépet, dinamikus memória használattal, abba beleszórni a szükséges szoftvereket - igaz, így egymástól nincsenek védve, ahhoz külön vm kell, viszont könnyű naprakészen tartani, bármi történik a vm-ben, elhanyagolható esélye van, hogy magával rántsa a hostot, a szoftverek init scriptjei működnek, nem kell wrapperekkel nyűglődni, a "tűzfalazás" megoldható a vm saját packet filterével stb.
Szóval mostanra elég sok kétség merült fel bennem, hogy jó-e, ha áttolok mindent docker-be?
Primadonnát felveszünk! https://youtu.be/9lETrcMJZJM
Új hozzászólás Aktív témák
- Milyen házat vegyek?
- iPhone 12 mini - kicsi a bors, de bitang erős
- Miskolc és környéke adok-veszek-beszélgetek
- Le Mans Ultimate
- Kétféle tájolással munkára fogható, ITX-es ház jött a Sharkoontól
- Tárhelykirály SD memóriakártyát prezentált a Western Digital
- Honor Magic5 Pro - kamerák bűvöletében
- Kormányok / autós szimulátorok topicja
- Debrecen és környéke adok-veszek-beszélgetek
- Ford topik
- További aktív témák...
- Eredeti Microsoft termékek - MEGA Akciók! Windows, Office Pro Plus, Project Pro, Visio Pro stb.
- Eladó aktív domain nevek, weboldal tartalommal együtt
- Steames kulcsok jó áron eladóak!
- Windows 10/11 Home/Pro , Office OEM/Retail kulcsok
- Windows, Office licencek a legolcsóbban, egyenesen a Microsoft-tól - 2990 Ft-tól!