Прозрение Штульмана

Цель?

Самая простая. БД с неизвестными багами неизвестно как поведёт себя. В плане открытого порта можно потерпеть и пойти на определённые риски, но не более того.

Она у тебя в интернет что ли смотрит?

Ладно если ты, допустим, хостер. А так, глупость какая-то в общем случае.

Смотрит она в локалхост, но собранная в системе может зацепиться к системе и посмотреть в твой локалхост. А в контейнере она смотри в свой локалхост контейнера. Етить, основы.

Ты о чём вообще? Я тебе про вектор атаки.

Я тоже.

Ты говоришь что производительность просядет по I/O.

Я говорю про n экземпляров на одном винте/хосте. Иначе какой смысл запускать жирную базу в контейнере.

Усложняем задачу — надо запустить 17 одинаковых постгрей.

Ничего не говорю, это оправдано, если у тебя 17 микропостргей или там всякая ботва типа пострги + jasper report/подобный софт на вынос и надо запускать всё это пачками по 5 раз на дню.

А в контейнере она смотри в свой локалхост контейнера.

И зачем? Обычно ей всё равно надо смотреть во вн. сеть. Ты же не будешь хостить приложение вместе с базой.

что конфигам из /etc мешает точно так же в гите лежать

Ничего не мешает. Ничего не мешает их также автоматически накатывать на автоматически разворачиваемые хосты. Кто как хочет, тот так и дрочит, лишь бы не вручную.

Но не будем отвлекаться. Значит, ты согласен, что качок набросил чепуху про недопустимость БД в контейнере?

не будет иметь отношения к исходной задаче

Не было никакой исходной задачи, был жирный наброс, что БД в контейнере ай-яй-яй и ровные посоны так не делают.

Задним умом все крепкие. А тогда персоналки были натуральной НЁХ.

Я кстати вспомнил на ютубчике распаковку древнего компа, который так и не был в своё время продан, кажется уровня 286, там в коробке кроме самого компа книжечка в мягкой обложке толстенькая была.

То есть книга должна была с самим компом продаваться, если это был натуральный IBM PC XT. а не клон.

на то чтобы прошить микротик прошивкой из архива месячной давности у коллеги ушло 8 часов

Вот тут твоя ошибка. Сам накакал - надо было самому бежать кабанчиком и убирать. У коллеги, очевидно, квалификация не та.

я нахожусь за 4000 км, коллеге не нужно было изображать рембо, и послушать что ему по телефону скажут.

Меня всегда умиляет эта логика.

- X не нужен, можно _просто_ сделать то-то
- А вот тут будет проблема
- Да мы _просто_ добавим вот это
- А с этим что ты будешь делать?
- Да _просто_ вот тут ещё подкрутим
...
- А вот это?
- Да что нам мешает _просто_ вот там и вот тут ещё добавить такую штуку..
- Поздравляю, вы написали X версии 0.0.1-pre-alpha, то есть каким он был 7 лет назад. У вас впереди ещё много интересного.

В данном случае если тебе придется подобные конфиги, с правками не только инит-скрипта но и всех конфигов, вспомогательных утилит с контролем их версий, регулярным обновлением и т.п., писать больше двадцати раз и не только для одного постгреса, то ты сначала изобретешь SCL. Потом поймешь что с таки подходом тоже куча проблем особенно когда упаковывать приходится приложение типа Jira, которое считает что кроме него в мире ничего больше не существует и все попытки его как-то ограничить игнорирует.

После чего ты начнёшь переизобретать логику докера, cgroups и systemd, опять же на баше, потому что другие средства разработки - это для хипстеров.

К счастью не всем интересно проходить этот путь с нуля каждый раз заново и каждый раз через все те же костыли и грабли, которые уже сто тыщ пятьсот раз изучены и решены.

Базой во внешнюю сеть? Или внутреннюю?

Нет, не согласен. Какой смысл в 17 экземплярах одного сервера БД на одном физическом сервере? Производительности это явно не добавит, разделение по юзерам и привилегиям все нормальные СУБД умеют, что мешает хостить БД для 17 приложений в одном экземпляре?

И что она может увидеть в твоём локалхосте, чего она и так не видит?

Какой смысл в 17 экземплярах одного сервера БД на одном физическом сервере?

Ну надо.

Ну надо.

Во, наш человек. :)))

БД-не БД, а вот десяток экземпляров exim на машину у одного из топовых спамеров я видел. Не помню, как они были разнесены (виртуалки или exim-у можно подсовывать пути в командную строку), помню только что все рабочие каталоги были в tmpfs. Звучит странно, но видимо им виднее, небось успели попробовать и так и эдак.

и как это помогало в рассылке спама и почему один экземпляр не мог делать всё то же самое

у одного из топовых спамеров я видел

а расскажи-ка поподробнее, откуда у тебя, мил человек, доступ к машинам топовых спамеров )

и как это помогало в рассылке спама и почему один экземпляр не мог делать всё то же самое

Написал же:

Звучит странно, но видимо им виднее, небось успели попробовать и так и эдак.

(пожимаю плечами) Работал на них. Официально это конечно называется по-другому – email-маркетинг (e.g. см. MailChimp.com), но от перемены мест слагаемых названия сущность не меняется.

фу какой зашквар

Лови спамера! Сейчас мы ему что-нибудь увеличивать будем.

рабочие каталоги были в tmpfs

Зато как миллиарды баунсов дропать удобно.

Сейчас мы ему что-нибудь увеличивать будем.

/me смотрит заинтересованно :)

Интернет в офисе уронить - это не такой уж факап.

Уронить основное бузинесс-приложение на полсотне, а то и более магазинчиков, просто включив UAC на богомерзкой семерочке - бесценно.

Например, какие-нибудь сервисы?

а откуда у неё права доступа к этим сервисам и их данным

По tcp то? Потому что она сама на локалхосте.

В нормальной системе разные сервисы запущены под разными пользователями и не имеют прав доступа к чужим директориям и файлам

Давай ещё будем разговаривать про «нормальные системы». А что ты скажешь по поводу того, что доступ по TCP по умолчанию на локалхостЪ не рубится?

И что? Что она (СУБД) может такого ужасного через TCP натворить, чего нельзя сделать из диких интернетов?

ну и СУБД не обязательно через TCP работает, может и через unix сокет, TCP порт можно вообще отключить, а исходящие нежелательные соединения порезать на файерволе

Базой во внешнюю сеть? Или внутреннюю?

БД в локалхост/внутреннюю сеть + приложение.

Ну БД смотрит в локалхост, там же у тебя ещё что-нибудь будет. Или одному нужен будет мускл, другому постгрес. А кому-то постгрес одной версии, кому-то другой. Каждому по отдельной машине БД предлагаешь?

А кто его знает что там неизвестная СУБД захочет сделать. А из диких интернетов сложнее прорваться на локалхост сервера.

Как сервер оно может хоть через UDP работать, но как клиент может и понаворотить. Ты же не пишешь специальные правила selinux или чего там у тебя под каждую инсталляцию СУБД?

Ты любишь ставить проприетарные СУБД, скачанные с кряком с рутрекера или ещё откуда-то? Иначе откуда такие ожидания.

Ты же не пишешь специальные правила selinux или чего там у тебя под каждую инсталляцию СУБД?

правила apparmor, к примеру, в убунте из коробки идут ко многим пакетам

Я вообще ничего не люблю ставить. Но может кто-то захотеть поставить. Точнее, окажется, что нужно поставить.

Ты их все просмотрел? Ты с ними согласен?

а ты код докера весь исследовал на предмет дыр?

К слову говоря, не пользуюсь докером. Но загоняю аппликухи в контейнеры.