МS
есть вариант что он как бы и затроллил всех и часть потенциальных конкурентов убрал
это?
Size: a a a
2019 September 17
GM
это?
не, ща перешлю и го срач
GM
я вынужден подгореть и написать коментарий.
большая часть описанных "проблем" на самом деле не проблемы, а нечто из серии "не хочу читать документацию, а хочу что бы все как-то работало".
- docker и файрволл - тут даже ответ есть. Ошибкой было скорее вообще делать автоматическое создание правил по умолчанию - ну какой человек в здавром уме не будет управлять файрволом на серверах?
docker и сети - первая половина про то что почему то докер композ(отдельная от докера утилита и не нужная для его работы) игнорирует некую кастомную настройку докера(очень странно да?). Причем там даже комментатор вылез который сделал вид что понимает(на самом деле нет) пару строчек кода на голенге.
документация:
networks:
app:
ipam:
driver: default
config:
- subnet: 10.10.11.1/22
вторая половина:
"это что же надо параметры ядра крутить опять?".
docker — это не про совместимость
" Только через полную потерю всех volume и image" вот это горе, это же теперь целых 5 минут скачивать контейнеры из регистри.
вторая половина просто без коментариев.
docker hub — это помойка
ну кто опять же в здравом уме будет использовать нечто собранное непонятно где и кем? Изначально надуманная проблема и сразу же выкачено решение в конце абзаца
Путаница с терминами и с ключами командной строки
в чем проблема то? ну у меня тоже плохая память - поставил себе плагин в иде - кожа сразу стала гладкая и шелковистая
Порядок запуска
Ну окей, у нас есть бд, Читаем документацию делаем хелсчек ставим depends_on condition: service_healthy - доступно с версии 2.1 те оченью давно. Если для чего-то кроме миграций важен порядок запуска то пожалуй стоит прекратить на время разработку ПО и заняться самообразованием и наконец-то научиться делать нормально.
Форматы docker-compose
Опять лень читать документацию
Установка
И опять лень читать документацию
docker и безопасность
это уже затянулось, но опять лень читать документацию, но уже с рецидивами.
Опять же сделали как с iptables. Для максимально ленивых людей которые и на документацию не хотят потратить 5 минут. И даже за это огребли.
https://docs.docker.com/engine/security/trust/content_trust/
https://docs.docker.com/engine/security/security/
https://docs.docker.com/engine/security/apparmor/
https://docs.docker.com/engine/security/seccomp/
https://docs.docker.com/engine/security/userns-remap/
https://github.com/dev-sec/cis-docker-benchmark
https://github.com/docker/docker-bench-security
https://www.cisecurity.org/benchmark/docker/
https://csrc.nist.gov/CSRC/media/Publications/Shared/documents/itl-bulletin/itlbul2017-10.pdf
https://nvlpubs.nist.gov/nistpubs/ir/2017/NIST.IR.8176.pdf
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-190.pdf
https://docs.docker.com/engine/security/https/
https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux_atomic_host/7/html/container_security_guide/overview
https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux_atomic_host/7/html/container_security_guide/docker_selinux_security_policy
https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux_atomic_host/7/html/container_security_guide/docker_selinux_security_policy#leveraging_the_docker_selinux_security_model
https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux_atomic_host/7/html/container_security_guide/container_security_practices
https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux_atomic_host/7/html/container_security_guide/linux_capabilities_and_seccomp
http://jaormx.github.io/2018/selinux-and-docker-notes/
https://success.docker.com/article/security-best-practices
ну вообще прям никакой безопаности в докере, а селинукс тоже выключим потому что иначе ничего не работает.
большая часть описанных "проблем" на самом деле не проблемы, а нечто из серии "не хочу читать документацию, а хочу что бы все как-то работало".
- docker и файрволл - тут даже ответ есть. Ошибкой было скорее вообще делать автоматическое создание правил по умолчанию - ну какой человек в здавром уме не будет управлять файрволом на серверах?
docker и сети - первая половина про то что почему то докер композ(отдельная от докера утилита и не нужная для его работы) игнорирует некую кастомную настройку докера(очень странно да?). Причем там даже комментатор вылез который сделал вид что понимает(на самом деле нет) пару строчек кода на голенге.
документация:
networks:
app:
ipam:
driver: default
config:
- subnet: 10.10.11.1/22
вторая половина:
"это что же надо параметры ядра крутить опять?".
docker — это не про совместимость
" Только через полную потерю всех volume и image" вот это горе, это же теперь целых 5 минут скачивать контейнеры из регистри.
вторая половина просто без коментариев.
docker hub — это помойка
ну кто опять же в здравом уме будет использовать нечто собранное непонятно где и кем? Изначально надуманная проблема и сразу же выкачено решение в конце абзаца
Путаница с терминами и с ключами командной строки
в чем проблема то? ну у меня тоже плохая память - поставил себе плагин в иде - кожа сразу стала гладкая и шелковистая
Порядок запуска
Ну окей, у нас есть бд, Читаем документацию делаем хелсчек ставим depends_on condition: service_healthy - доступно с версии 2.1 те оченью давно. Если для чего-то кроме миграций важен порядок запуска то пожалуй стоит прекратить на время разработку ПО и заняться самообразованием и наконец-то научиться делать нормально.
Форматы docker-compose
Опять лень читать документацию
Установка
И опять лень читать документацию
docker и безопасность
это уже затянулось, но опять лень читать документацию, но уже с рецидивами.
Опять же сделали как с iptables. Для максимально ленивых людей которые и на документацию не хотят потратить 5 минут. И даже за это огребли.
https://docs.docker.com/engine/security/trust/content_trust/
https://docs.docker.com/engine/security/security/
https://docs.docker.com/engine/security/apparmor/
https://docs.docker.com/engine/security/seccomp/
https://docs.docker.com/engine/security/userns-remap/
https://github.com/dev-sec/cis-docker-benchmark
https://github.com/docker/docker-bench-security
https://www.cisecurity.org/benchmark/docker/
https://csrc.nist.gov/CSRC/media/Publications/Shared/documents/itl-bulletin/itlbul2017-10.pdf
https://nvlpubs.nist.gov/nistpubs/ir/2017/NIST.IR.8176.pdf
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-190.pdf
https://docs.docker.com/engine/security/https/
https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux_atomic_host/7/html/container_security_guide/overview
https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux_atomic_host/7/html/container_security_guide/docker_selinux_security_policy
https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux_atomic_host/7/html/container_security_guide/docker_selinux_security_policy#leveraging_the_docker_selinux_security_model
https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux_atomic_host/7/html/container_security_guide/container_security_practices
https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux_atomic_host/7/html/container_security_guide/linux_capabilities_and_seccomp
http://jaormx.github.io/2018/selinux-and-docker-notes/
https://success.docker.com/article/security-best-practices
ну вообще прям никакой безопаности в докере, а селинукс тоже выключим потому что иначе ничего не работает.
SP
там по делу только про фаервольные правила, остально еот не желания следовать по документации или притягивание за уши, особенно про уязвимости.
Ну если вспомнить, что без сетки тебе северные приложения нафиг не нужны - кхм, а зачем тогда это вообще?
GM
и картинка вот такая кто не видел https://docs.docker.com/ee/images/docker-ee-architecture-1.svg
GG
я вынужден подгореть и написать коментарий.
большая часть описанных "проблем" на самом деле не проблемы, а нечто из серии "не хочу читать документацию, а хочу что бы все как-то работало".
- docker и файрволл - тут даже ответ есть. Ошибкой было скорее вообще делать автоматическое создание правил по умолчанию - ну какой человек в здавром уме не будет управлять файрволом на серверах?
docker и сети - первая половина про то что почему то докер композ(отдельная от докера утилита и не нужная для его работы) игнорирует некую кастомную настройку докера(очень странно да?). Причем там даже комментатор вылез который сделал вид что понимает(на самом деле нет) пару строчек кода на голенге.
документация:
networks:
app:
ipam:
driver: default
config:
- subnet: 10.10.11.1/22
вторая половина:
"это что же надо параметры ядра крутить опять?".
docker — это не про совместимость
" Только через полную потерю всех volume и image" вот это горе, это же теперь целых 5 минут скачивать контейнеры из регистри.
вторая половина просто без коментариев.
docker hub — это помойка
ну кто опять же в здравом уме будет использовать нечто собранное непонятно где и кем? Изначально надуманная проблема и сразу же выкачено решение в конце абзаца
Путаница с терминами и с ключами командной строки
в чем проблема то? ну у меня тоже плохая память - поставил себе плагин в иде - кожа сразу стала гладкая и шелковистая
Порядок запуска
Ну окей, у нас есть бд, Читаем документацию делаем хелсчек ставим depends_on condition: service_healthy - доступно с версии 2.1 те оченью давно. Если для чего-то кроме миграций важен порядок запуска то пожалуй стоит прекратить на время разработку ПО и заняться самообразованием и наконец-то научиться делать нормально.
Форматы docker-compose
Опять лень читать документацию
Установка
И опять лень читать документацию
docker и безопасность
это уже затянулось, но опять лень читать документацию, но уже с рецидивами.
Опять же сделали как с iptables. Для максимально ленивых людей которые и на документацию не хотят потратить 5 минут. И даже за это огребли.
https://docs.docker.com/engine/security/trust/content_trust/
https://docs.docker.com/engine/security/security/
https://docs.docker.com/engine/security/apparmor/
https://docs.docker.com/engine/security/seccomp/
https://docs.docker.com/engine/security/userns-remap/
https://github.com/dev-sec/cis-docker-benchmark
https://github.com/docker/docker-bench-security
https://www.cisecurity.org/benchmark/docker/
https://csrc.nist.gov/CSRC/media/Publications/Shared/documents/itl-bulletin/itlbul2017-10.pdf
https://nvlpubs.nist.gov/nistpubs/ir/2017/NIST.IR.8176.pdf
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-190.pdf
https://docs.docker.com/engine/security/https/
https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux_atomic_host/7/html/container_security_guide/overview
https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux_atomic_host/7/html/container_security_guide/docker_selinux_security_policy
https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux_atomic_host/7/html/container_security_guide/docker_selinux_security_policy#leveraging_the_docker_selinux_security_model
https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux_atomic_host/7/html/container_security_guide/container_security_practices
https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux_atomic_host/7/html/container_security_guide/linux_capabilities_and_seccomp
http://jaormx.github.io/2018/selinux-and-docker-notes/
https://success.docker.com/article/security-best-practices
ну вообще прям никакой безопаности в докере, а селинукс тоже выключим потому что иначе ничего не работает.
большая часть описанных "проблем" на самом деле не проблемы, а нечто из серии "не хочу читать документацию, а хочу что бы все как-то работало".
- docker и файрволл - тут даже ответ есть. Ошибкой было скорее вообще делать автоматическое создание правил по умолчанию - ну какой человек в здавром уме не будет управлять файрволом на серверах?
docker и сети - первая половина про то что почему то докер композ(отдельная от докера утилита и не нужная для его работы) игнорирует некую кастомную настройку докера(очень странно да?). Причем там даже комментатор вылез который сделал вид что понимает(на самом деле нет) пару строчек кода на голенге.
документация:
networks:
app:
ipam:
driver: default
config:
- subnet: 10.10.11.1/22
вторая половина:
"это что же надо параметры ядра крутить опять?".
docker — это не про совместимость
" Только через полную потерю всех volume и image" вот это горе, это же теперь целых 5 минут скачивать контейнеры из регистри.
вторая половина просто без коментариев.
docker hub — это помойка
ну кто опять же в здравом уме будет использовать нечто собранное непонятно где и кем? Изначально надуманная проблема и сразу же выкачено решение в конце абзаца
Путаница с терминами и с ключами командной строки
в чем проблема то? ну у меня тоже плохая память - поставил себе плагин в иде - кожа сразу стала гладкая и шелковистая
Порядок запуска
Ну окей, у нас есть бд, Читаем документацию делаем хелсчек ставим depends_on condition: service_healthy - доступно с версии 2.1 те оченью давно. Если для чего-то кроме миграций важен порядок запуска то пожалуй стоит прекратить на время разработку ПО и заняться самообразованием и наконец-то научиться делать нормально.
Форматы docker-compose
Опять лень читать документацию
Установка
И опять лень читать документацию
docker и безопасность
это уже затянулось, но опять лень читать документацию, но уже с рецидивами.
Опять же сделали как с iptables. Для максимально ленивых людей которые и на документацию не хотят потратить 5 минут. И даже за это огребли.
https://docs.docker.com/engine/security/trust/content_trust/
https://docs.docker.com/engine/security/security/
https://docs.docker.com/engine/security/apparmor/
https://docs.docker.com/engine/security/seccomp/
https://docs.docker.com/engine/security/userns-remap/
https://github.com/dev-sec/cis-docker-benchmark
https://github.com/docker/docker-bench-security
https://www.cisecurity.org/benchmark/docker/
https://csrc.nist.gov/CSRC/media/Publications/Shared/documents/itl-bulletin/itlbul2017-10.pdf
https://nvlpubs.nist.gov/nistpubs/ir/2017/NIST.IR.8176.pdf
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-190.pdf
https://docs.docker.com/engine/security/https/
https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux_atomic_host/7/html/container_security_guide/overview
https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux_atomic_host/7/html/container_security_guide/docker_selinux_security_policy
https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux_atomic_host/7/html/container_security_guide/docker_selinux_security_policy#leveraging_the_docker_selinux_security_model
https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux_atomic_host/7/html/container_security_guide/container_security_practices
https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux_atomic_host/7/html/container_security_guide/linux_capabilities_and_seccomp
http://jaormx.github.io/2018/selinux-and-docker-notes/
https://success.docker.com/article/security-best-practices
ну вообще прям никакой безопаности в докере, а селинукс тоже выключим потому что иначе ничего не работает.
в убунте селинукс?
GG
ну-ну
GM
в убунте селинукс?
да хоть где
GG
ты же знаешь куда это ставят )
GM
да я как бы по опыту знаю что 99% селинукс вообще выключают как и аппармор
GG
насчет юзер ремапа в курсе. А ты в курсе насколько это кривая фича? Ладно, пускай в шифте она будет )
GG
да я как бы по опыту знаю что 99% селинукс вообще выключают как и аппармор
а я нет ) и ипусь с ним как идиот
SP
я вынужден подгореть и написать коментарий.
большая часть описанных "проблем" на самом деле не проблемы, а нечто из серии "не хочу читать документацию, а хочу что бы все как-то работало".
- docker и файрволл - тут даже ответ есть. Ошибкой было скорее вообще делать автоматическое создание правил по умолчанию - ну какой человек в здавром уме не будет управлять файрволом на серверах?
docker и сети - первая половина про то что почему то докер композ(отдельная от докера утилита и не нужная для его работы) игнорирует некую кастомную настройку докера(очень странно да?). Причем там даже комментатор вылез который сделал вид что понимает(на самом деле нет) пару строчек кода на голенге.
документация:
networks:
app:
ipam:
driver: default
config:
- subnet: 10.10.11.1/22
вторая половина:
"это что же надо параметры ядра крутить опять?".
docker — это не про совместимость
" Только через полную потерю всех volume и image" вот это горе, это же теперь целых 5 минут скачивать контейнеры из регистри.
вторая половина просто без коментариев.
docker hub — это помойка
ну кто опять же в здравом уме будет использовать нечто собранное непонятно где и кем? Изначально надуманная проблема и сразу же выкачено решение в конце абзаца
Путаница с терминами и с ключами командной строки
в чем проблема то? ну у меня тоже плохая память - поставил себе плагин в иде - кожа сразу стала гладкая и шелковистая
Порядок запуска
Ну окей, у нас есть бд, Читаем документацию делаем хелсчек ставим depends_on condition: service_healthy - доступно с версии 2.1 те оченью давно. Если для чего-то кроме миграций важен порядок запуска то пожалуй стоит прекратить на время разработку ПО и заняться самообразованием и наконец-то научиться делать нормально.
Форматы docker-compose
Опять лень читать документацию
Установка
И опять лень читать документацию
docker и безопасность
это уже затянулось, но опять лень читать документацию, но уже с рецидивами.
Опять же сделали как с iptables. Для максимально ленивых людей которые и на документацию не хотят потратить 5 минут. И даже за это огребли.
https://docs.docker.com/engine/security/trust/content_trust/
https://docs.docker.com/engine/security/security/
https://docs.docker.com/engine/security/apparmor/
https://docs.docker.com/engine/security/seccomp/
https://docs.docker.com/engine/security/userns-remap/
https://github.com/dev-sec/cis-docker-benchmark
https://github.com/docker/docker-bench-security
https://www.cisecurity.org/benchmark/docker/
https://csrc.nist.gov/CSRC/media/Publications/Shared/documents/itl-bulletin/itlbul2017-10.pdf
https://nvlpubs.nist.gov/nistpubs/ir/2017/NIST.IR.8176.pdf
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-190.pdf
https://docs.docker.com/engine/security/https/
https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux_atomic_host/7/html/container_security_guide/overview
https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux_atomic_host/7/html/container_security_guide/docker_selinux_security_policy
https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux_atomic_host/7/html/container_security_guide/docker_selinux_security_policy#leveraging_the_docker_selinux_security_model
https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux_atomic_host/7/html/container_security_guide/container_security_practices
https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux_atomic_host/7/html/container_security_guide/linux_capabilities_and_seccomp
http://jaormx.github.io/2018/selinux-and-docker-notes/
https://success.docker.com/article/security-best-practices
ну вообще прям никакой безопаности в докере, а селинукс тоже выключим потому что иначе ничего не работает.
большая часть описанных "проблем" на самом деле не проблемы, а нечто из серии "не хочу читать документацию, а хочу что бы все как-то работало".
- docker и файрволл - тут даже ответ есть. Ошибкой было скорее вообще делать автоматическое создание правил по умолчанию - ну какой человек в здавром уме не будет управлять файрволом на серверах?
docker и сети - первая половина про то что почему то докер композ(отдельная от докера утилита и не нужная для его работы) игнорирует некую кастомную настройку докера(очень странно да?). Причем там даже комментатор вылез который сделал вид что понимает(на самом деле нет) пару строчек кода на голенге.
документация:
networks:
app:
ipam:
driver: default
config:
- subnet: 10.10.11.1/22
вторая половина:
"это что же надо параметры ядра крутить опять?".
docker — это не про совместимость
" Только через полную потерю всех volume и image" вот это горе, это же теперь целых 5 минут скачивать контейнеры из регистри.
вторая половина просто без коментариев.
docker hub — это помойка
ну кто опять же в здравом уме будет использовать нечто собранное непонятно где и кем? Изначально надуманная проблема и сразу же выкачено решение в конце абзаца
Путаница с терминами и с ключами командной строки
в чем проблема то? ну у меня тоже плохая память - поставил себе плагин в иде - кожа сразу стала гладкая и шелковистая
Порядок запуска
Ну окей, у нас есть бд, Читаем документацию делаем хелсчек ставим depends_on condition: service_healthy - доступно с версии 2.1 те оченью давно. Если для чего-то кроме миграций важен порядок запуска то пожалуй стоит прекратить на время разработку ПО и заняться самообразованием и наконец-то научиться делать нормально.
Форматы docker-compose
Опять лень читать документацию
Установка
И опять лень читать документацию
docker и безопасность
это уже затянулось, но опять лень читать документацию, но уже с рецидивами.
Опять же сделали как с iptables. Для максимально ленивых людей которые и на документацию не хотят потратить 5 минут. И даже за это огребли.
https://docs.docker.com/engine/security/trust/content_trust/
https://docs.docker.com/engine/security/security/
https://docs.docker.com/engine/security/apparmor/
https://docs.docker.com/engine/security/seccomp/
https://docs.docker.com/engine/security/userns-remap/
https://github.com/dev-sec/cis-docker-benchmark
https://github.com/docker/docker-bench-security
https://www.cisecurity.org/benchmark/docker/
https://csrc.nist.gov/CSRC/media/Publications/Shared/documents/itl-bulletin/itlbul2017-10.pdf
https://nvlpubs.nist.gov/nistpubs/ir/2017/NIST.IR.8176.pdf
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-190.pdf
https://docs.docker.com/engine/security/https/
https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux_atomic_host/7/html/container_security_guide/overview
https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux_atomic_host/7/html/container_security_guide/docker_selinux_security_policy
https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux_atomic_host/7/html/container_security_guide/docker_selinux_security_policy#leveraging_the_docker_selinux_security_model
https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux_atomic_host/7/html/container_security_guide/container_security_practices
https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux_atomic_host/7/html/container_security_guide/linux_capabilities_and_seccomp
http://jaormx.github.io/2018/selinux-and-docker-notes/
https://success.docker.com/article/security-best-practices
ну вообще прям никакой безопаности в докере, а селинукс тоже выключим потому что иначе ничего не работает.
Ну и официальные говноконтейнеры тоже доставляют.
GG
про это я тоже написал
GG
там самая мякотка в комментах, которые ровным слоем по всему хабру
GM
насчет юзер ремапа в курсе. А ты в курсе насколько это кривая фича? Ладно, пускай в шифте она будет )
смотря для чего кривая. я в прод среде практически не юзаю стейтфул контейнеры
DN
А меня за репост с моего канла не забанят тут?
ох уже эти репостеры!
GG
смотря для чего кривая. я в прод среде практически не юзаю стейтфул контейнеры
т.е. вольюмы не шаришь между контейнерами?
GG
вообще?
SP
да я как бы по опыту знаю что 99% селинукс вообще выключают как и аппармор
Дэн Уолш икает и тихо плачет