3840

Meowcate (./3830) :
(edit : cross, je laisse pour anecdote)

Ce n'est pas parce que tu n'en as pas usage que ce n'est pas un truc "majeur".
epee
On est bien obligé de constater que c'est tout de même très utilisé en pratique, et que ça peut être super utile (notamment pour les tests).

Nil (./3834) :
Euh quand le container est livré par le distributeur de l'application, le sysadmin n'y peut rien si les services ne sont pas à jour, en fait... (ou alors, le sysadmin du distributeur).
Le souci des container à l'heure actuelle est qu'ils sont distribués par certaines boites comme les .app sous MacOs : une boite noire à utiliser telle-que.
Et quand ton container contient un service web que tu veux sécuriser en mettant en place un htaccess (avec mod_sso_cas ou autre) parce que l'application n'est pas cassifiable, tu dois pouvoir réaliser l'opération. Alors oui, dans le meilleur des monde, les applis web sont toutes LDAPisées, Kerberosisées, CASsifiées, mais en réalité, non et il faut soit réécrire des plugins d'authentification (à déposer dans le container) soit utiliser des modules Apache.
epee
Côté distributeur du logiciel, c'est parfois utilisé pour éviter de faire un boulot propre d'intégration et de packaging du logiciel, et c'est clairement une mauvaise raison pour l'utiliser (ce qui n'empêche pas qu'il y ait de bonnes raisons pour l'utiliser).
On obtient un truc complètement opaque, avec des configurations inconnues (tout le monde ne veut pas la config de base pour les logiciels).


Nil (./3831) :
C'est au même niveau qu'une appliance comme c'était la mode il y a quelques années, mais avec en plus la nécessité de gérer un container en plus...
En effet, c'est un peu le remplaçant des appliances oui
avatar
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

3841

Nil (./3834):
Arvi89 (./3832) :
Si tu dois aller modifier le container c'est qu'un truc ne va pas. Ici les nouvelles images on n'a même plus accès si c'est en prod pour forcer à faire un truc propre.
(image alpine avec juste le minimum)

Si les services ne sont pas à jour c'est que le sys admin ne fait pas son boulot.
Euh quand le container est livré par le distributeur de l'application, le sysadmin n'y peut rien si les services ne sont pas à jour, en fait... (ou alors, le sysadmin du distributeur).
Le souci des container à l'heure actuelle est qu'ils sont distribués par certaines boites comme les .app sous MacOs : une boite noire à utiliser telle-que.
Et quand ton container contient un service web que tu veux sécuriser en mettant en place un htaccess (avec mod_sso_cas ou autre) parce que l'application n'est pas cassifiable, tu dois pouvoir réaliser l'opération. Alors oui, dans le meilleur des monde, les applis web sont toutes LDAPisées, Kerberosisées, CASsifiées, mais en réalité, non et il faut soit réécrire des plugins d'authentification (à déposer dans le container) soit utiliser des modules Apache.
Encore une fois, si tu dois modifier container fourni c'est qu'il y a un soucis. Peut-être que certains éditeurs font n'importe quoi, mais si tu fais toi même les containers et que tu le fais bien, il n'y a aucun problème.

3842

Mais à ce moment là, quelle est la différence avec des VM, des snapshots, etc. à l'heure où on peut monter/dupliquer des VM à la chaîne (et en fonctionnement) en quelques secondes, en ligne de commande, proprement ? Du coup vous les utilisez pour quoi vos containers si vous les faites vous-même ? C'est pas un vrai bordel d'avoir des containers qui peuvent contenir des services sur des ports qui sont identiques à la machine hôte ? Au moins avec une VM, on a une pile IP indépendante...
(Le seul usage que j'ai eu des containers jusque là était le modèle des appliances - et c'est quand-même super fréquent)
avatar

3843

Putain trop de javascript tue… pas le javascript (malheureusement), mais tout skill de codeur. Après avoir failli écrire "Number", j'ai fait un float (en C#) pour stocker un nombre en me disant, ah mais il va falloir que je check que ce soit toujours un entier dedans, rah ça va être chiant…

Et alors que j'angoissais, je me suis rendu qu'il suffisait de déclarer un int. C'est pour ça que ça existe tritop
avatar
Highway Runners, mon jeu de racing à la Outrun qu'il est sorti le 14 décembre 2016 ! N'hésitez pas à me soutenir :)

https://itunes.apple.com/us/app/highway-runners/id964932741

3844

Nil (./3842):
Mais à ce moment là, quelle est la différence avec des VM, des snapshots, etc. à l'heure où on peut monter/dupliquer des VM à la chaîne (et en fonctionnement) en quelques secondes, en ligne de commande, proprement ? Du coup vous les utilisez pour quoi vos containers si vous les faites vous-même ? C'est pas un vrai bordel d'avoir des containers qui peuvent contenir des services sur des ports qui sont identiques à la machine hôte ? Au moins avec une VM, on a une pile IP indépendante...
(Le seul usage que j'ai eu des containers jusque là était le modèle des appliances - et c'est quand-même super fréquent)
Un container prend moins de ressources qu'une VM. Et comme on déploie le même container que tu as en local en prod, il y a moins de risque que ça ne marche pas lors du déploiement. Là pour nos containers on utilise l'image alpine de base qui est le stricte minimum, on installe le service nécessaires via un docker file, et on build avec le code qui faut. Pour les ports, c'est pas un soucis, quand tu lances le container, de base les ports ne sont pas accessibles hors de docker, tu peux lier les containers entre eux pour qu'ils puissent communiquer, et sinon tu peux mapper les ports avec l'host si tu en as besoin.

3845

Brunni: Va falloir te désintoxiquer la grin

3846

Ouais, et d'urgence !
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

3847

Arvi89 (./3844) :
Un container prend moins de ressources qu'une VM.
Je veux bien l'entendre, sauf quand tu as plusieurs containers dans une machine là où tu pourrais n'avoir qu'une seule machine ^^

Arvi89 (./3844) :
Et comme on déploie le même container que tu as en local en prod, il y a moins de risque que ça ne marche pas lors du déploiement.
Là, par contre, je ne vois pas la différence avec une VM... tu peux très bien déployer le même socle de VM en dev, test et prod ?! Tu peux même avoir des VM avec propagation de mises à jour, ou tout un tas de choses (VM avec mère/filles socle commun...), des catalogues de VM à déployer à la volée (nous on utilise beaucoup ça, les VM-types).
Bref je reste circonspect ^^
avatar

3848

Plusieurs containers ne prennent pas plus de ressources (sauf pour ce que prend le service bien sûr).

Je ne dis pas que ça doit remplacer les VM, mais c'est plus léger et plus performant. Et avec des outils comme Kubernetes je sais que pour mes collègues ça leur permet de gérer la redondance et le scaling de manière très simple et rapide.

3849

Au passage: VM permet d’avoir des os vraiment différent et des kernels différent.

Container, comme ce n’est que du chroot++ c’est linux only, avec le même kernel pour tous. Un container doit la merde dans le kernel (privilege escalation toussa) il a accès à tout.

Les VMs ne sont pas complètement hack proof non plus bien sur, il y a des moyen d’exploiter des bugs, mais ça ne rend pas la chose plus simple loin de la.
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

3850

Ah oui, donc Docker c'est finalement la même chose que ce que fait OpenVZ (avec tous les défauts que peut avoir OpenVZ malgré sa rapidité).
avatar

3851

Un container n'a pas accès à tout non, seulement au container.

3852

Lis mieux, il parle d'un cas de privilege escalation (et effectivement c'est bien plus dur avec une VM).
avatar
Highway Runners, mon jeu de racing à la Outrun qu'il est sorti le 14 décembre 2016 ! N'hésitez pas à me soutenir :)

https://itunes.apple.com/us/app/highway-runners/id964932741

3853

Hmmmm j’ai l’impression que open a est plus proche d’un virtualisateur.

LXC/Docker est beaucoup plus proche de chroot que de la virtualisation.

Et plus quand je dit Linux only, je parle de docker bien sûr.

On va me dire "oui mais docker marche sur Mac OS X et Windows"
La response est oui et non. L’interface oui. Comment ça marche derrière est très différent, sous MacOS X et Windows ils utilise la virtualisation (base sur Vbox de mémoire) pour avoir l’environement Linux.

Et oui je parle bien de compromission du kernel, docker ne peux rien faire pour protéger si le kernel est compromis (au même titre sur un virus est capable d’attaquer une VM art sortir vers l’hote bient entendu, c’est juste un poil plus compliqué parce que demande généralement de faire un privilège escalation avant de pourvoir attaquer la VM.
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

3854

Certes Docker n'amène pas grand-chose pour la sécu, mais il ne me semble pas que la sécu soit la principale raison d'utiliser Docker.
avatar
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

3855

C’est ce que j’entend de certains utilisateurs...


Et même des "experts":


What makes Docker more secure than VMs or bare metal?Information Security Stack ExchangeI recently had a discussion with a Docker expert about the security of Docker vs. virtual machines. When I told that I've read from different sources that it's easier for code running within a Docker


Les réponses sont elle très intéressantes
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

3856

Tu auras toujours tous les avis sur internet… Je suis sûr que tu peux même trouver des gens qui veulent abandonner les secondes intercalaires trioui !
avatar
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

3857

Oh, je pense que ça dérangerait pas Ximoon que tout le monde passe au TAI grin
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

3858

Bien sur qu’on trouve de tout, mais c’est un truc que j’ai souvent lu et entendu
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

3859

J'ai jamais lu avant aujourd'hui que d'utiliser Docker c'était bien parce que c'était plus sécurisé que d'utiliser une vm perso.

3860

Bah tu vois, jusqu'à présent je n'avais vu de Docker que son utilisation en tant qu'appliance, colle quoi... ^^
avatar

3861

Godzil (./3853) :
Comment ça marche derrière est très différent, sous MacOS X et Windows ils utilise la virtualisation (base sur Vbox de mémoire) pour avoir l’environement Linux.
Docker sous Windows utilise Hyper-V, ce qui est assez chiant d'ailleurs parce que quand tu utilises Hyper-V tu ne peux pas utiliser d'autre soft de virtualisation (puisque ton OS entier est virtualisé dès le boot). Par contre il offre un support pour les conteneurs natifs Windows, mais bien sûr il faut du coup une image pour Windows, et je crois pas qu'il y en ait beaucoup…
avatar
Highway Runners, mon jeu de racing à la Outrun qu'il est sorti le 14 décembre 2016 ! N'hésitez pas à me soutenir :)

https://itunes.apple.com/us/app/highway-runners/id964932741

3862

Bien sur pour Windows, mais c’est du windows on windows, non du linux, sinon ça passe par de la virtualisation, donc c’est de la VM
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

3863

docker a fait chier des clients parce que 2 instances utilisées pour appliancer (?) un bordel qu'on vend se chopaient la même IP tout en ayant le même PID et ca nous a foutu un bordel monstre. pour ca il a fallu que le client force son docker a utiliser une option réseau a la con (vlan je crois), une autre option étant de lui demander qu'il distribue des pids différents aux exécutables dans les instances.

3864

Dans la catégorie "les pires utilisations des expressions régulières" :
http://www.drregex.com/2018/09/a-regex-i-submitted-to-reddit-climbed.html
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

3865

non mais... grin
avatar
All right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez par ici :)

3866

Je ne sais pas si je suis terrorisé ou administratif.
avatar
Que cache le pays des Dieux ? - Forum Ghibli - Forum Littéraire

La fin d'un monde souillé est venue. L'oiseau blanc plane dans le ciel annonçant le début d'une longue ère de purification. Détachons-nous à jamais de notre vie dans ce monde de souffrance. Ô toi l'oiseau blanc, l'être vêtu de bleu, guide nous vers ce monde de pureté. - Sutra originel dork.

3867

Administratif ?
avatar
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

3868

Joli lapsus grin
(Et impressionnant O_o)
avatar

3869

C'est un #godzil# embarrassed
avatar
Que cache le pays des Dieux ? - Forum Ghibli - Forum Littéraire

La fin d'un monde souillé est venue. L'oiseau blanc plane dans le ciel annonçant le début d'une longue ère de purification. Détachons-nous à jamais de notre vie dans ce monde de souffrance. Ô toi l'oiseau blanc, l'être vêtu de bleu, guide nous vers ce monde de pureté. - Sutra originel dork.

3870

Tiens, c'est vrai qu'il manque un point Godzil pour les meilleures autocorrections / fautes de frappe grin
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo