Hirdetés

Keresés

Hozzászólok Aktív témák

  • samujózsi

    tag

    válasz instantwater #133 üzenetére

    Most csak az első mondatra reagálva (ébredés után megpróbálom megérteni a többit is ;) )
    Akkor ti itt milyen restartról beszéltetek?
    Nem rebuildről?
    Mert az tiszta, hogy ha saját app fejlesztéséhez használom, akkor minden módosítás után rebuild, és ekkor valóban eltűnik minden változtatás, de ez nem restart.
    De én kész szoftvereket üzemeltetnék, amiket változtatni nem akarok élesítés után, így a rebuild ritka esemény lenne.

    És itt egy kicsit visszatérnék az eredeti kérdéshez is: készítek mondjuk egy nginx konténert. Kiderül valami zero day exploit.
    A fejlesztők villámgyorsan befoltozzák.
    De hogyan, mennyi idő alatt fog eljutni ez a javítás a konténerembe? :F
    Mert ha nincs konténerben, akkor előbb az nginx forrás lesz kijavítva, ezt követően az alap OS csomagja, a disztribúció fejlesztői/maintainere által, de a docker image?
    Ha nem dockerben fut, akkor (debian alapon) apt-get update && apt-get upgrade és kész. Ezt naponta megcsinálom az éles gépeken. De a dockerbe, ha ott nem illik ilyet csinálni, akkor hogy, pontosabban mennyi idő alatt jut el?

    Ui: gondolom, feltűnt, hogy csak ismerkedek a technológiával. Azt egyébként kár hangsúlyozni ennyiszer, hogy ez nem vm, eleve közös a kernel, nem is fut benne más, csak a legfontosabb alkatrészek, ettől kezdve kevés köze lehet virtuális gépekhez.

    Ilyenkor kezdek rájönni, hogy az élőszóban folytatott kommunikáció akár gyorsabb is lehet, mint az írott :C

    [ Szerkesztve ]

    Primadonnát felveszünk! https://youtu.be/9lETrcMJZJM

  • samujózsi

    tag

    válasz instantwater #133 üzenetére

    Nem állítom, hogy most nem voltam felszínes, de átfutottam újra azon amit írtál.

    Azt hiszem, ott van köztünk a nézetkülönbség, hogy te fejlesztő eszközként tekintesz a docker konténerre, én meg egy szimpla biztonsági rétegként, mint mondjuk a FreeBSD jail-ek.

    Amikor elkezdtem nézegetni a dockert, az volt a cél, hogy egy szerveren futó akármilyen szolgáltatás (DNS, proxy, saját gyártású web app, RADIUS stb.) kellőképp el legyen szeparálva a szervertől, viszonylag könnyen tudjam menteni, mozgatni.
    Erre elvileg megfelel egy, max. két kvm guest valami lájtosabb op.rendszerrel, plusz némi bűvészkedés a host-on a netfilterrel/routinggal.
    Ezt viszonylag könnyen kézben tudom tartani, tudom menteni, adott esetben akár más gépre átvinni nagyobb macera nélkül.
    Csak láttam pár éve, hogy kezdenek divatba jönni ezek a konténeres megoldások, mint lxc/lxd és a docker és egy ismerős anno azt javasolta, hogy hagyjam a fenébe az első kettőt, mert csak a szívás van velük, tanuljam meg a dockert.
    O.K., megtanulom, de lásd fent: mi a biztosíték rá, hogy a dockerben ugyanúgy és ugyanolyan gyorsan megjelennek a security update-ek, mint egy komplett, virtuális gépként futtatott linux esetében?
    (és akkor csak az official image-ek vannak használatban, a ki tudja, ki által összetákoltakat nagy ívben kerültem - ha azokat is belevesszük a buliba, akkor már a konténert sem tudom megbízhatóként kezelni)

    Primadonnát felveszünk! https://youtu.be/9lETrcMJZJM

Hozzászólok Aktív témák