https://opennet.dev/openforum/vsluhforumID3/124181.html Доступен выпуск Linux-дистрибутива Bottlerocket 1.1.0, развиваемого при участии компании Amazon для эффективного и безопасного запуска изолированных контейнеров. Инструментарий и управляющие компоненты дистрибутива написаны на языке Rust и распространяются под лицензиями MIT и Apache 2.0. Поддерживается запуск Bottlerocket в кластерах Amazon ECS и AWS EKS Kubernetes, а также создание произвольных сборок и редакций, допускающих применение различных инструментов оркестровки и runtime для контейнеров...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=55109<br> https://opennet.dev/openforum/vsluhforumID3/124181.html#103 Tue, 11 May 2021 11:34:06 GMT &gt;&gt; С каких пор механизм ограничения потребления ресурсов стал механизмом изоляции?<br>&gt; То виндовое (или таки бсдшное? или оба?!) ламо не в курсе и потому путает.<br><br>А точно ламо он, а не надувающие щечки пингвинятки и прочие 294-е?<br>https://www.kernel.org/doc/Documentation/cgroup-v1/devices.txt<br>---<br>&gt; An entry is added using devices.allow, and removed using<br>&gt; devices.deny. For instance<br>&gt;<br>&gt;echo 'c 1:3 mr' &gt; /sys/fs/cgroup/1/devices.allow<br>&gt; allows cgroup 1 to read and mknod the device usually known as /dev/null. https://opennet.dev/openforum/vsluhforumID3/124181.html#102 Tue, 11 May 2021 11:07:15 GMT &gt; Hyper-V -&gt; Microsoft -&gt; USA<br><br>В США так то ~90% софта планеты пишется. Так что если ты надеялся импортозаместить, носить тебе непереносить...<br> https://opennet.dev/openforum/vsluhforumID3/124181.html#101 Tue, 11 May 2021 11:04:04 GMT &gt; Реализовать функцию для связи с другим контейнером... и поместить ее в другой <br>&gt; контейнер? А это идея, надо предложить в C++22 <br><br>Вы изобрели IPC в 2021 году? Все круто, но немного опоздали :)<br> https://opennet.dev/openforum/vsluhforumID3/124181.html#100 Tue, 11 May 2021 11:02:49 GMT &gt; С каких пор механизм ограничения потребления ресурсов стал механизмом изоляции?<br><br>То виндовое (или таки бсдшное? или оба?!) ламо не в курсе и потому путает.<br><br>А что до изоляции namespaces, то оверхед от нее наверное в теории есть, но на практике он маргинальный и к тому же половину этого ядро и раньше умело по другим поводам, с этим своим clone() и проч.<br> https://opennet.dev/openforum/vsluhforumID3/124181.html#99 Tue, 11 May 2021 10:59:19 GMT &gt; Не надо вот тут. К Linux руку швед руку приложил. Финский швед. :)<br><br>...получивший американское гражданство, а потому заодно еще и американец :)<br> https://opennet.dev/openforum/vsluhforumID3/124181.html#98 Tue, 11 May 2021 10:58:16 GMT &gt; Условно говоря, "облако" где-то так и работает - клиент получает запрошенное количество <br>&gt; виртуалок нужной кофигурации с развернутой ОСЬю.<br><br>Спасибо Кэп. Как ты понимаешь, идея была частично сперта у энетрерпайзников, частично у руткитской. <br><br>&gt; Уже внутри этой ОСи запускаются контейнеры со stateless-софтом.<br><br>В моем случае может быть stateless, может не быть. Может быть снапшот, допустим, но откат на него только в энных случаях.<br><br>&gt; Идея этой БутылкоРакеты - уменьшить толщину ОСи в виртуалках, сведя функционал к <br>&gt; запуску контейнеров и взаимодействию с оркестратором. Разумеется, вместе с водой выплеснули <br>&gt; и ребенка...<br><br>Учитявая их список баззвордов, я как-нибудь пешком постою без всей этой хайпоты. Проверять отгрузят ли этим растишкам из репы хруста не снабженной подписями какую-нибудь гадость - это как-нибудь на фрактале каком, чтоли. И "облака" мне не особо упали для вон тех целей. Видите ли тут я в qemu и гипервизор и дебагсервер, one level above. А в этом вашем облаке все это тоже можно, толь https://opennet.dev/openforum/vsluhforumID3/124181.html#97 Tue, 11 May 2021 10:49:10 GMT &gt; Ну, если у хакера есть стандартный эксплойт с одной кнопкой "взломать что <br>&gt; угодно", тогда да, любые меры защиты бесполезны.<br><br>Ну, блин, в всех более-менее серьезно настроеных эксплойтах на ядро SELinux вырубается первым делом. Так что соотношение получается очень так себе. ИМХО технологии должны создавать минимум сложностей для легитимного юзера и максимум для левого атакующего. Это точно не про SELinux, там скорее все наоборот. Хакер вырубит одной левой, а долботни с настройкой эвон сколько.<br> https://opennet.dev/openforum/vsluhforumID3/124181.html#96 Tue, 11 May 2021 10:33:54 GMT Ставить диагноз по комментарию, это тоже как бы наводит на мысль<br><br>Вы слышали о таком понятии как "нувориш"? Вы приравнили "новых русских" к теми, кто умел зарабатывать деньги, углубитесь в тему-то хоть. У меня один дядька в 90ых неплохо крутился, развозил продукты по региону, деньги зарабатывал коробками, но "новым русским" он не был <br> https://opennet.dev/openforum/vsluhforumID3/124181.html#95 Tue, 11 May 2021 08:40:53 GMT Естественно. Просто тут некоторые комментаторы не видят разницы между контейнерами докера (более обобщенно я бы назвал их CRI-подобными), LXC и OpenVZ. А про последние два смутно помнят, что противопоставляют виртуализации (опять-таки, от большого ума). Это делает меня печальной пандой.<br>