1807
Чат для обсуждения DevSecOps и постов канала @sec_devops Вакансии: @appsec_job Услуги: https://radcop.online/
Целевая картина, но не в ближайшее время
Читать полностью…
Ну, я это вижу так, что если отказаться от контейнеров, то нет затрат на работу с ними
Читать полностью…
может у них железки, а не ВМ
Читать полностью…
Да всё равно контейнеры тогда не при делах и речь идёт о куче виртуалок в которых сервис будет крутится
Читать полностью…
Суть в том, что если нода умрет - другие продолжат работать
Читать полностью…
https://habr.com/ru/companies/slurm/articles/530226/
Читать полностью…
Разве что потом на эти виртуалки собираетесь ещё что-то ставить
Читать полностью…
Ну кроме jarsigner
Есть ченть типа политики киверно которая проверяет подпись имаджа ? Только для джарников и канико))))
Какие есть варики проверять джарник при билде имаджа ?
Читать полностью…
Но если его пихнут в докер - в рамках контейнера он будет некоторое время жить и вряд ли сразу выйдет на хостовую тачку, где уже инженер мог забыть что-то (те же ssh ключи)
Читать полностью…
Это прям в яблочко, кстати
Читать полностью…
Да и если установил один раз нормально, где гарантии, что во время обновления не начнутся косяки? (Условно, выдача временных прав на папки, которые станут постоянными etc.)
Читать полностью…
Все зависит от сервиса. Если это софт тащет кучу зависимостей (например, что-то на питоне+джанго) - проще в контейнере. Если сервис сложно менеджерить (например, постгря) - без докера.
Читать полностью…
Это да, но такое случается, если слишком жирно раскатить контейнер (privileged) или забыть обновить ядро в большинстве случаев
Читать полностью…
я бы смотрел с точки зрения удобства менеджмента.
Читать полностью…
вообще - если контейнеры, то это хорошая заявка на кубер
Читать полностью…
диски, например, развалились
Читать полностью…
Да и как это "нода умрёт"? С точки зрения физики всё будет работать в одной стойке серверной, даже на одной железке наверное
Читать полностью…
Что так, что эдак - жопа в какашках будет 😅
Читать полностью…
Важно просто разобраться что именно нужно... Может если контейнеры нужны, то проще другими ресурсами обойтись и не надо под каждую заводить виртуалку будет (ну, если их много планируется)
Читать полностью…
Всё то же самое что и в контейнере. Обновления так и вовсе проще по сетке админам накатить будет
Читать полностью…
Докер так-то не про виртуалки, а про контейнеры, если приложение будет в готовой виртуалке, то смысла приложение ещё и докером обмазывать нет
Читать полностью…
если вам этот сервис хакнут, то виртуалку на которой крутился контейнер вначале на DFIR, а потом всё равно на ресетап.если вам потребуется его обновить, то это можно делать как на VM, так и в контейнере, дело в навыках. И управлять централизованно софтом можно как на VM, так и в контейнере.
В общем, спасибо за дискуссию, буду думать)
Читать полностью…
ну, и jarник ты тоже не проверяешь )
Читать полностью…
Аргумент. Но с тем же успехом - если ты не проводишь аудит пакета установки - тебе в докер тоже могут напихать трояана через атаку на цепочку поставки
Читать полностью…
Имхо, шансов накосячить при установке просто на виртуалку чуть больше, чем если это раскатывать в контейнере (например, те же права на чтения директорий / настройки пользователя etc.)
Читать полностью…
можно и без привиледжед отгрести
Читать полностью…
плюс докер - лишние детали, которые тоже нужно уметь настраивать. Давно ли ты видел docker, торчащий портом в сеть?
Читать полностью…
и его закрепления там
Читать полностью…