Pull to refresh

Comments 16

Интересно, из каких соображений выбрана первая фотка?
Контейнер на машине. Что тут непонятного.
А по теме статьи — спасибо, погружаюсь в мир Docker и всегда интересно узнать что-то новое в стэке технологических решений. Но все же надеюсь, что когда-нибудь Docker обеспечит vm-подобную защиту контейнеров без этой самой vm.
Я думаю, иллюстрация того, что контейнер на физической машине — не всегда хорошо и полезно.
Так я не понял — когда нужно размещать а когда нет?
Когда вам понадобится бОльшая секьюрность, чем может предоставить докер с неймспейсами, тогда и берите что-то из перечисленного в сабже.
Сочетание заголовка и КДПВ очень грамотное.
А при запуске на одной машине множества Docker-сред злоумышленник чисто технически позволяет получить доступ к ресурсам одного пользователя через взлом другого.

Насколько я в курсе, это возможно только через эксплоит, дающий рутовые права. Т.е. защита не уступает стандартной практике использования множества пользователей с хорошо настроенными правами.

Все верно, но при этом запуск внутри ВМ используется сегодня, как дополнительный уровень изоляции. Применять его или нет — дело выбора и конкретной ситуации.
Все знают фразу «краткость — сестра таланта»

Но не все помнят ее продолжение «и теща гонорара».

Написали по делу, но будто бы отписку, а не пост. Просим, просим, вам же есть что рассказать!
Так задавайте вопросы — в какую сторону тему развивать. :) Мы и напишем. :)
Когда вы пишите что «Как правило выбирается именно QEMU», вы подразумеваете что гипервизор хоста не поддерживает vmx?

«Внутри Docker изоляция реализована сегодня за счет NameSpaces, но надежность этого подхода все еще вызывает сомнения.»
— Расскажите пожалуйста, которые аспекты docker'a вызывают соменения? Какие именно есть риски?
Нет, имеется в виду KVM+Qemu (да, не совсем точно выразились) — то есть именно KVM, а не какой-то другой гипервизор (например XEN).

Далее, слабое место — это общее ядро — если из одного контейнера удаётся «сломать» его, то ломаются все контейнеры. Кроме того, ядро большое, сделать его безопасным ВСЁ невозможно, получается, что либо мы предоставляем контейнеру пользоваться лишь небольшим набором функций (а остальные запрещаем), либо даём ему всё, но учитываем риск получить «дырку» в безопасности.
Если я правильно понял вопрос, то об этом как раз прошлый пост — https://habrahabr.ru/company/virtuozzo/blog/309730/
Внутри виртуальной машины QEMU уже запускаются контейнеры одного пользователя.
Не совсем понятна фраза, из реальной жизни есть много проектов с кучей фронтендов, бекендов, бекенды тоже разные есть, типо аля микросервисы, базы данных, и т. д. И где концептуально правильней использовать виртуализацию, а где контейнеры, по какому признаку группировать контейнеры по ВМ?
Если я правильно понял вопрос, то об этом как раз прошлый пост — https://habrahabr.ru/company/virtuozzo/blog/309730/
Sign up to leave a comment.