Nil Le 31/08/2018 à 02:16 Mais à ce moment là, quelle est la différence avec des VM, des snapshots, etc. à l'heure où on peut monter/dupliquer des VM à la chaîne (et en fonctionnement) en quelques secondes, en ligne de commande, proprement ? Du coup vous les utilisez pour quoi vos containers si vous les faites vous-même ? C'est pas un vrai bordel d'avoir des containers qui peuvent contenir des services sur des ports qui sont identiques à la machine hôte ? Au moins avec une VM, on a une pile IP indépendante...
(Le seul usage que j'ai eu des containers jusque là était le modèle des appliances - et c'est quand-même super fréquent)
Plusieurs containers ne prennent pas plus de ressources (sauf pour ce que prend le service bien sûr).
Je ne dis pas que ça doit remplacer les VM, mais c'est plus léger et plus performant. Et avec des outils comme Kubernetes je sais que pour mes collègues ça leur permet de gérer la redondance et le scaling de manière très simple et rapide.
Au passage: VM permet d’avoir des os vraiment différent et des kernels différent.
Container, comme ce n’est que du chroot++ c’est linux only, avec le même kernel pour tous. Un container doit la merde dans le kernel (privilege escalation toussa) il a accès à tout.
Les VMs ne sont pas complètement hack proof non plus bien sur, il y a des moyen d’exploiter des bugs, mais ça ne rend pas la chose plus simple loin de la.
Proud to be CAKE©®™
GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.
Nil Le 02/09/2018 à 17:05 Ah oui, donc Docker c'est finalement la même chose que ce que fait OpenVZ (avec tous les défauts que peut avoir OpenVZ malgré sa rapidité).
Un container n'a pas accès à tout non, seulement au container.
Lis mieux, il parle d'un cas de privilege escalation (et effectivement c'est bien plus dur avec une VM).
Hmmmm j’ai l’impression que open a est plus proche d’un virtualisateur.
LXC/Docker est beaucoup plus proche de chroot que de la virtualisation.
Et plus quand je dit Linux only, je parle de docker bien sûr.
On va me dire "oui mais docker marche sur Mac OS X et Windows"
La response est oui et non. L’interface oui. Comment ça marche derrière est très différent, sous MacOS X et Windows ils utilise la virtualisation (base sur Vbox de mémoire) pour avoir l’environement Linux.
Et oui je parle bien de compromission du kernel, docker ne peux rien faire pour protéger si le kernel est compromis (au même titre sur un virus est capable d’attaquer une VM art sortir vers l’hote bient entendu, c’est juste un poil plus compliqué parce que demande généralement de faire un privilège escalation avant de pourvoir attaquer la VM.
Proud to be CAKE©®™
GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.
Certes Docker n'amène pas grand-chose pour la sécu, mais il ne me semble pas que la sécu soit la principale raison d'utiliser Docker.
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)
<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant
Bien sur qu’on trouve de tout, mais c’est un truc que j’ai souvent lu et entendu
Proud to be CAKE©®™
GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.
J'ai jamais lu avant aujourd'hui que d'utiliser Docker c'était bien parce que c'était plus sécurisé que d'utiliser une vm perso.
Nil Le 02/09/2018 à 21:33 Bah tu vois, jusqu'à présent je n'avais vu de Docker que son utilisation en tant qu'appliance, colle quoi... ^^
Bien sur pour Windows, mais c’est du windows on windows, non du linux, sinon ça passe par de la virtualisation, donc c’est de la VM
Proud to be CAKE©®™
GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.
docker a fait chier des clients parce que 2 instances utilisées pour appliancer (?) un bordel qu'on vend se chopaient la même IP tout en ayant le même PID et ca nous a foutu un bordel monstre. pour ca il a fallu que le client force son docker a utiliser une option réseau a la con (vlan je crois), une autre option étant de lui demander qu'il distribue des pids différents aux exécutables dans les instances.
Je ne sais pas si je suis terrorisé ou administratif.
Que cache le pays des Dieux ? -
Forum Ghibli -
Forum LittéraireLa fin d'un monde souillé est venue. L'oiseau blanc plane dans le ciel annonçant le début d'une longue ère de purification. Détachons-nous à jamais de notre vie dans ce monde de souffrance. Ô toi l'oiseau blanc, l'être vêtu de bleu, guide nous vers ce monde de pureté. - Sutra originel dork.