LINUX.ORG.RU

рассовать приложения по контейнерам и будет счастье?

 , ,


0

1

Привет. я вот что подумал. надо поставить новый линукс и все приложения запихать в контейнеры, например в докер.

И вот почему я так понял.

Пакетная система иногда ломается, такое бывает и у меня и у других. А если я допустим, ставлю gimp в контейнер, то в корневой ос никакие изменения не вносятся в базу данных установленных пакетов, значит это повышает стабильность. Так?

Ну и само собой, это дополнительный уровень безопасности. Сами по себе контейнеры не обеспечивают надежной защиты, но вкупе с другими средствами поставить их не помешает. Всё таки определенную ненулевую защиту они обеспечивают?

докер подойдёт, или лучше использовать другую систему контейнеризации?

какую систему защиты использовать? apparmor,selinux,etc? selinux мне не нравиться,учитывая кто его создал.

какой дистр? знаю, есть спец.дистры для контейнеризации(как rancheros), но сомневаюсь что там можно будет сделать привычный гуи

Ну и само собой, это дополнительный уровень безопасности.

:D

Особенно когда в приложении находят дырень, латают и все обновляются, а ты спокоен как удав, ведь в контейнере безопасность и лучше не обновлять чтоб не сломать.

Пакетная система иногда ломается,

Есть flatpak.

mandala ★★★★★
()
Последнее исправление: mandala (всего исправлений: 1)
Ответ на: комментарий от mandala

лучше не обновлять чтоб не сломать.

Что можно сломать обновляя gimp в контейнере?

Есть flatpak

Сколько видел в интернете сайтов с по, нигде ещё не встречал ссылок «скачать flatpak пакет»

russian-turist-2019
() автор топика
Ответ на: комментарий от russian-turist-2019

Тот же гимп есть во флатпаке.

Что можно сломать обновляя gimp в контейнере?

А смотря что за контейнер и как собран.

mandala ★★★★★
()
Ответ на: комментарий от russian-turist-2019

Справедливости ради: много чего распространяют в готовых докер-образах, так что можешь посмотреть в сторону него.

mandala ★★★★★
()
Ответ на: комментарий от mandala

Свалки крякнутого виндового софта?

Нет. на оф.сайтах конкретных программ для линукс. например на сайте языка D предлагают ставить компилятор через apt-get,wget или docker.

А смотря что за контейнер и как собран.

например вот, я так понимаю тут можно без вреда прописать from ubuntu:latest и нормально обновлять пересборкой контейнера. Благо,номера версий софта не указаны.

russian-turist-2019
() автор топика

Пакетная система иногда ломается, такое бывает и у меня и у других

Крайне редко в нормальных дистрибутивах. И даже если так, то зачем контейнеры? Есть же snap или flatpack.

mbivanyuk ★★★★★
()

Система CentOS/Fedora с включённым Selinux. Приложения с UI опакетить во flatpak или скачать с flathub. Для управления контейнерами использовать podman, для создания buildah. Очень интересная штука Fedora-toolbox.

anonymous
()
Ответ на: комментарий от mbivanyuk

то зачем контейнеры?
Есть же snap или flatpack.

Вы так говорите, будто flatpak принципиально от контейнеров отличается. Там все те же инструменты, только организовано несколько иначе, с оптимизацией под десктоп. Да и потом, будто контейнеры что-то страшное и ужасное, они же на основе тех же самых дистров делаются, что и без контейнеров, и версии библиотек там те же.

anonymous
()

Ставь Fedora Silverblue или Fedora/CentOS Atomic Host. Тут podman, который лучше, в плане безопасности, чем docker.

anonymous
()
Ответ на: комментарий от anonymous

У тебя каша в голове. Ты до конца не понимаешь отличие flatpak от контейнеров (docker и прочие).

anonymous
()
Ответ на: комментарий от anonymous

Для обычного пользователя Fedora Silverblue устанавливать пока рано. Релиза 2-3 стоит подождать.

anonymous
()

Ты ищешь qubes os. Докер сам по себе — совсем не для этого.

x3al ★★★★★
()
Ответ на: комментарий от anonymous

В чем именно рано? Сейчас могут быть проблемы только с проприетарными дровами nvidia.

И кто такой обычный пользователь? Явно не ТС с такими хотелками.

anonymous
()

Посмотри в сторону nix/guix.

ddidwyll ★★★★
()

докер подойдёт, или лучше использовать другую систему контейнеризации?

PBI или Jail. В Jail можно сделать Nullfs на общую базу установленного софта, чтобы сэкономить место. В PBI каждое приложение носит всё с собой.

iZEN ★★★★★
()
Последнее исправление: iZEN (всего исправлений: 1)
Ответ на: комментарий от anonymous

Для управления контейнерами использовать podman, для создания buildah.

Зачем нужно это мёртвое знание, если востребован Docker?

anonymous
()
Ответ на: комментарий от anonymous

Ну сделай себе alias docker=podman, раз docker так востребован.

anonymous
()
Ответ на: комментарий от anonymous

Ошибаешься. Архитектурно podman/buildah/skopeo лучше монолитного Docker. С ближайшее время он начнёт откусывать часть «контейнерного» пирога. Systemd тоже не сразу проник во все популярные дистрибутивы.

anonymous
()

Хорошая идея, я так у себя все свои сервисы и wine вынес в контейнеры. Теперь не надо засорять зависимостями хосты и можно вносить изменения сразу на нескольких компьютерах (мои контейнеры используются на 3 компьютерах).

MLP_Fan ★★
()
Ответ на: комментарий от MLP_Fan

Wine спокойно живёт во flatpak. Собираешь flatpak, свой репозиторий, пользуешься.

UI приложения не должны жить в Docker и прочих контейнерах. Для этого были придуманы flatpak, snap, appimage пакеты.

anonymous
()
Ответ на: комментарий от anonymous

А кто запретит мне гуи приложения юзать из докера? Да и зачем мне плодить сущности, когда докер все равно нужен для остального, чего бы в него не сунуть и wine? Не поднимать же флатпак ради одного вайна на всех системах.

MLP_Fan ★★
()
Ответ на: комментарий от MLP_Fan

Зачем изобретать что-то другое, если с помощью колуна можно рубить дрова, забивать гвозди. Зачем пользоваться кастрюлей, если в глубокой сковороде можно сварить суп. СУК. Логика ваша отменная.😂

anonymous
()
Ответ на: комментарий от anonymous

Что угодно архитектурно лучше Docker, но как было не нужно, так и остаётся.

монолитного

Не совсем:

alice % uname -a
Linux alice 4.18.0-13-generic #14~18.04.1-Ubuntu SMP Thu Dec 6 14:09:52 UTC 2018 x86_64 x86_64 x86_64 GNU/Linux
alice % docker run busybox uname -a
Linux e7cd61e20e60 4.14.67-6.container #1 SMP Thu Jan 10 13:13:41 UTC 2019 x86_64 GNU/Linux

Пока в RedHat изобретали более безопасные контейнеры, их уже максимально безопасными без vendor lock-in.

anonymous
()
Ответ на: комментарий от anonymous

их уже максимально

* их уже сделали максимально безопасными

anonymous
()

я смотрю мне тут предложили много интересных альтернатив. вопрос: а чем докер не устраивает? можете сказать «докер плох потому что он...»?

имхо, докер лучше так как он в отличие от флетпака ставит проги из репозитория ubuntu, а практически все программы которые мне нужны лежат там, и в отличие от qubes более производителен

В Jail можно сделать Nullfs на общую базу установленного софта, чтобы сэкономить место

в докере такое тоже есть.

Jail

фряха имеет странный баг, из-за которого она может не устанавливаться, даже админы на оф.форуме ничем мне не смогли помочь. А для меня важен практический результат. Если ОС отказывается устанавливаться, я начинаю задумываться, так ли она нужна.

russian-turist-2019
() автор топика
13 апреля 2020 г.

столкнулся с программой, которой не было в репозитории, но которая была представлена во Flatpak. а серверная часть предлагалась в руководстве к установке через Docker. первая мысль была: «установка в контейнер что-то неестественное для системы и как-будто чужеродное». хотелось осуществить установку из исходников. но вот что удивительно - сама программа ещё на ранних стадиях и активно развивается (т.е. сырая) - так зачем ковырять ею систему с риском нарушения зависимостей или появления какой-то ошибки, если можно поставить в контейнер (который тут будет выполнять роль песочницы для незрелой программы) и пусть она там варится. так что именно для этого конкретного случая для этой конкретной программы был выбран вариант контейнериизации. немного жаль, что для одной лишь программы на сервере нужно ставить объёмистый Docker, но даже тут это относительно (~300 МБ не так уж и много).

но использовать концепцию контейнеризацию как базовую для дистрибутива - мне на интуитивном уровне кажется неправильным:

во-первых, если так, то мы принимаем за аксиому, что существуют конкретные проблемы с безопасностью ОС, тогда уж проще не включать компьютер или решать вопрос кардинально в разработке более совершенной ОС; во-вторых, это противоречит философии GNU/Linux, превращая систему в нечто Windows-подобное (особенно с позиций возможности существования в контейнерах и в их репозиториях ПО с мутным происхождением и лицензией).

anonymous
()

Ну и само собой, это дополнительный уровень безопасности

И уязвимости.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.