История изменений
Исправление Deleted, (текущая версия) :
Ну а кроме того возможность положить приложение в свой неймспейс - user, pid, network, дать ему совсем другой рут, ограничить его по ресурсам - и всё это дело положить на полку, потом сверху добавить конфигурации и смонтировать volume. А так да, только прячет, гадина такая /s
Да, именно прячет. Потому что рекламируется упрощение повседневного обслуживания приложений, а по факту всё ровно наоборот.
Вот представь что у тебя куча разных приложений в контейнерах и некоторые из них неким образом обрабатывают графику. И тут ты узнаешь о свеженайденной адовой уязвимости в каком-нибудь libpng. Решение ровно одно - обновлять libpng во всех контейнерах, которые affected. И проблемы начинаются уже на уровне «понять какая версия libpng в таком то образе и на основе какого болгеноса девопс этот образ сделал».
Нет, если делать все образы самостоятельно с нуля, унифицированным способом и пользоваться только приватным registry, то всё будет нормально и понятно. Это на самом деле единственный верный способ использования докера в продакшене, но он нифига не простой. И далеко не все докероюзеры это понимают.
Исправление Deleted, :
Ну а кроме того возможность положить приложение в свой неймспейс - user, pid, network, дать ему совсем другой рут, ограничить его по ресурсам - и всё это дело положить на полку, потом сверху добавить конфигурации и смонтировать volume. А так да, только прячет, гадина такая /s
Да, именно прячет. Потому что рекламируется упрощение повседневного обслуживания приложений, а по факту всё ровно наоборот.
Вот представь что у тебя куча разных приложений в контейнерах и не которые из них неким образом обрабатывают графику. И тут ты узнаешь о свеженайденной адовой уязвимости в каком-нибудь libpng. Решение ровно одно - обновлять libpng во всех контейнерах, которые affected. И проблемы начинаются уже на уровне «понять какая версия libpng в таком то образе и на основе какого болгеноса девопс этот образ сделал».
Нет, если делать все образы самостоятельно с нуля, унифицированным способом и пользоваться только приватным registry, то всё будет нормально и понятно. Это на самом деле единственный верный способ использования докера в продакшене, но он нифига не простой. И далеко не все докероюзеры это понимают.
Исходная версия Deleted, :
Ну а кроме того возможность положить приложение в свой неймспейс - user, pid, network, дать ему совсем другой рут, ограничить его по ресурсам - и всё это дело положить на полку, потом сверху добавить конфигурации и смонтировать volume. А так да, только прячет, гадина такая /s
Да, именно прячет. Потому что рекламируется упрощение повседневного обслуживания приложений, а по факту всё ровно наоборот.
Вот представь что у тебя куча разных приложений в контейнерах и не которые из них неким образом обрабатывают графику. И тут ты узнаешь о свеженайденной адовой уязвимости в каком-нибудь libpng. Решение ровно одно - обновлять libpng во всех контейнерах, которые affected. И проблемы начинаются уже на уровне «понять какая версия libpng в таком то образе и на основе какого болгеноса девопс этот образ сделал».
Нет, если делать все образы самостоятельно с нуля, унифицированным способом и пользоваться только приватным registry, то всё будет нормально и понятно. Это на самом деле единственный верный способ использования докера в продакшене, но он нифига не простой.