SG
А подман, кажуть, типа пуля серебрянная. Правда?
Size: a a a
2020 December 03
A
А подман, кажуть, типа пуля серебрянная. Правда?
Подман не контейнер рантайм
A
Это CLI
A
Рантайм cri-o
SG
ну я читал что там мол нету центрального процесса, запущенного от рута, потому это секьюрнее
A
ну я читал что там мол нету центрального процесса, запущенного от рута, потому это секьюрнее
🤔 возможно, я не вникал как подман архитектурно работает, но скорее всего речь про cri-o т.к. рантайм он, а не подман
AR
ну я читал что там мол нету центрального процесса, запущенного от рута, потому это секьюрнее
подман просто тулза, которая с cri-o взаимодействует. + она использует POD (как в кубере) Менеджить их предлгается через systemd , если нет окрестратора, также вполне нормально поддерживается rootless режим
SG
там вроде и podman-compose даже запилен
AT
Пока есть три основных: containerd, CRI-O, Docker.
AR
там вроде и podman-compose даже запилен
ага, но он в бете глубокой)
SG
Я просто не догнал до конца сути истерики в статье. Порт по лефолту докер не слушает. Только сокет. Остальные привилегии можно через конфиг зарезать(типа лимиты ресурсов, права и т.д.)
SG
Всегда можно запустить на хардноде bench security и узнать где ты лох)
SG
А те кто прокидывает внутрь контейнера /var/lib/docker.sock , ну сами себе буратины
SG
кстати тот же бенчь это ловит и предупреждает
AD
А те кто прокидывает внутрь контейнера /var/lib/docker.sock , ну сами себе буратины
Много ли людей которые настроили traefik без пробрасывания socketа? Там прямо в Quick Start инструкции это нарисовано
SG
ну это считается плохой практикой, что сказать
AD
ну это считается плохой практикой, что сказать
слово "считается" лишнее. Пробросить сокет это выдать рута на хосте некой программе которая с большой вероятностью смотрит в интернет.
SG
Лучше сами разберитесь, а на сэкономленное купите себе вискарика в награду))
NZ
>если кому то интересно
хлебом не корми, дай подеплоить всякие апликухи. А по работе есть спец чат https://t.me/devops_jobs
хлебом не корми, дай подеплоить всякие апликухи. А по работе есть спец чат https://t.me/devops_jobs
И
Лучше сами разберитесь, а на сэкономленное купите себе вискарика в награду))
Да я рад бы) у меня докер на винде не работает))