Docker Part2©2ch.net
レス数が1000を超えています。これ以上書き込みはできません。
使う時だけ起動する感じなら、GoogleComputeEngineのプリエンプティブインスタンスが安く上がりそう そりゃまあ仮想マシンなんてアプリに過ぎないので動くやろうな >>526
動くやろうなじゃなくて、
これから主流になるらしいよ Dockerの上で仮想マシンとか
これもうわけわかんねえな >>527
ならんよ。嘘ついてもバレる(嘲笑)
仮想マシンをアプリケーション化する意味がない
仮想マシンによって、仮想マシンの中のアプリと外のアプリの
連携が分断されるから、やる価値がない Dockerって、勝手にiptablesの設定を変更するのが気に入らない。
安易に使うとセキュリティーホールだらけになると思う。 Xen+libvirtやLXCもiptablesの設定を勝手に変更するよ(deb系しか試してないけど)
でも合ってる設定だし、ポリシーがACCEPTのままなので自分でも設定しなればならないのに変わりがないから異論は無いけど >>531
レスありがとう。
どうせなら、docker runコマンドのポート解放のところで、
パス可能なソースIPでも指定できるようにすればいいのにと思う。 >>532
それはファイアウォールの仕事
Dockerの仕事ではない >>533
だけど、ポートの解放はdocker runで行うよね だけどやっぱりフィルタリングはDockerの仕事じゃないよね。 >>535
せめて、デフォルトで外部から接続させないようにファイアホールを構成していればいいのにと思う。
ユーザーが必要に応じてフィルタリングルールを調整してはじめて、
外部からアクセスできるようにすればいいのにと思う。
フィルタリングが分かっている人が明示的にパスするようにするのがいい。
docker runでポート解放したら無条件でどこからでも通すなんて変だと思う。 >>536
Dockerは仮想マシンじゃないと何度言ったらわかるんだ?
Linuxでウェブサーバー起動したら、外部から接続できるのは
当たり前の話だろ >>530
>Dockerって、勝手にiptablesの設定を変更するのが気に入らない。
オプション付けろよ >>538
ん?どんなオプションだったっけ。
iptablesのNAT設定を変更しないやつってあるの? >>539
サーバー系の設定したこと無いんか?
MySQLのbind-addressはなんのためにあるのか知らないのか?
127.0.0.1 と 0.0.0.0 の違いを言えるか? >>540
コンテナをホストのプライベートIPに結合するやつかな? >>541
Dockerはシステムコンテナじゃなくて
アプリケーションコンテナなんだから、
普通のアプリを起動したのと同じ挙動をするのが一番正しい姿なんだよ やっとコンテナできた。疲れた。12時間ぶっとおし、徹夜した。 同じ挙動ってなんだ?
iptablesいじられるのは無しってこと? >>537
ネットワーク繋がなきゃつながらないのが当たり前だろw
>>542
「同じ挙動」がどういう挙動か言ってみろよ。 ポート競合するのが正しいと思ってんのか? >>545
> ネットワーク繋がなきゃつながらないのが当たり前だろw
デフォルトだと、どのポートでも受け付けてないはずだが?
> 「同じ挙動」がどういう挙動か言ってみろよ。 ポート競合するのが正しいと思ってんのか?
同一マシンでポート80で起動するサービスが複数あったら競合するのが正しいですが? 最近俺が見たのはこんな奴だった
公式ドキュメント読まない
ヘルプ読まない
ぐぐらない
ぐぐれない
とりあえずやってみない
手順に書いてあることをなぞるだけ
コンテナとVMの区別がつかない
Docker無しでLA(E)MP環境が建てらんない
iptablesを手動でいじれない どうやってDockerを知って、動かすことができたんだ? >手順に書いてあることをなぞるだけ
多分ハケンか何かの業務でとか… [速報]AWS、独自のセキュアなコンテナ実行用マイクロVM「Firecracker」、オープンソースで公開。AWS re:Invent 2018
https://www.publickey1.jp/blog/18/awsvmfirecrackeraws_reinvent_2018.html >>551
コンテナがrootkitなウイルスにやられても
他のコンテナに侵入できない
なのに仮想マシンより軽量
普通のコンテナはroot取れば脱出出来る可能性はある
仮想マシンの脱出はそれよりは困難 これぐらいなら馬鹿は出てこないと思って放置していたが
ほんとなんにでもくだらないレスするやつ来るな
まじでやってるなら本当の馬鹿だな >>550
とりまビルドしてみたらサクっと通った
今時のツールはdockerでビルドなんだな…時代が進んで色々凄いコトになってる
つか使い方がよく分からんがw >>554
Dockerねぇぞって弾かれるよなワロタ
大容量のダウソ始まったからビルドやめたわ >>552
それはいいですね。
ハニーポットも運用できる? >>555
つか何をするにもひたすらDLやでw
quickstart guide見ながらやってるけどうまく動かんわ
>set the guest kernel:
ココでハマってる
誰か上手く動かせたヤシ居る?
hello-rootfs.ext4 hello-vmlinux.binはDLしたし
AppendixにあるKVM Accessのチェックも全部パスした
エラーメッセージは↓
HTTP/1.1 400 Bad Request
Content-Type: application/json
Transfer-Encoding: chunked
Date: Fri, 30 Nov 2018 07:20:20 GMT
{
"fault_message": "The kernel file cannot be opened due to invalid kernel path or invalid permissions." releaseからバイナリ落としてもダメなんで今回は諦めるワ
コッチはローカルビルドと違ったメッセージ出てたんでイケそうだったんだが
腐ってやがる早すぎたんだ
HTTP/1.1 204 No Content
Date: Fri, 30 Nov 2018 07:45:56 GMT つか尼損犬糞でしか動きま千円って書いとけやヴォケ害人どもガイジか?
>Linux 4.14+
>KVM
動作環境とは何の関係もありませんが何か?w >>561
今KVM上でDockerホスト運用しているけど。
両方CentOS7でね。 DockerはKVMなどの仮想マシンと組み合わせて
使うのが想定される使い方なんだから最初から動いて当然
KVMなどの仮想マシンで、コンテナ専用の軽いディストリを起動して
その上で、Dockerコンテナを起動するんだよ。
Dockerコンテナ(=アプリ)にカーネル以外の動作に必要なものが
全てまとまっており、ディストリ自体にパッケージが不要になることで
実現できる設計 >>563
なるほど。
そのうちDockerホスト専用のディス鳥がでるかもね そんなもんとっくの昔からあるよ
で最近になってKVMの上でコンテナ動かすのがバズってきたのは、AWSがコンテナ専用の "KVMホスト" OSをリリースしたことに端を発している
これは小数の大きな仮想マシンでクラスタを組んでその上で沢山のコンテナを動かすという従来のやり方とは考え方が大きく違っていて、
コンテナの数だけKVM上で軽量なVMを立ち上げてその中でコンテナを隔離して動かすの
でコンテナは本当に単なるパッケージ化技術と成り下がる
コンテナによる分離はセキュリティ面でガバガバであり使い物にならない玩具である、というのがITビジネス界の結論というわけ > というのがITビジネス界の結論というわけ
という結論を語ってる所はITビジネス界には無いんで
安心して、生暖かく見てやってくださいw コンテナごとにセキュリティソフト入れてますます重くなる未来 そういや仮想マシンごとにセキュリティソフト買ってるらしいな パッケージソフトをウッキウキでクラウドで動かそうとしたら、
ライセンスがコピー単位でオンプレと何ら変わらない運用をするしかないというのはよくある話 だからソフトウェア自体を売るんじゃなくて
クラウドサービスとして売る方向になってるのでは? >>565
>パッケージ化技術と成り下がる
いいたい事はわかるが、成り下がってはないと思う。 >>570
自分で構築、保守してこそのコンテナの有難味だと思う だからDockerはアプリ開発者が
自分のアプリを配布するのに使うものなんだよ
アプリ開発してないやつにとっては豚に真珠 >>574
えー俺にも技術分けて下さいよ
dockerでドヤ顔したい 仮想化環境であるが、仮想マシンではない。
仮想化環境であるが、アプリではない。
dockerはコンテナ型の仮想化環境を作成するソフトです。
それ以上でもそれ以下でもないだろ。 >>576
アプリの組み合わせ(=環境)をコンテナにまとめるのもありですよね
その場合、127.0.0.1で内部でアプリを連携させるのも良いですよね。 >>577
そうそう、VMみたいにして使うときは目的に合わせてカスタムすればいい。
目的を定めて既存のサービスに組み合わせてdockerファイルを書く。
例えば開発環境にするなら同期をとファイル群をローカルネットワークのgitにするとかね。
dockerはクラウドと連携すると割と柔軟に何でもできる。
環境依存のファイルをクラウドに置いておく発想で。 dockerは本来はアイソレーションやシステムリソース有効活用も担ってたはずでしょ
例のFirecracker的な思想だとそこはコンテナから切り離そうってことだよね
ここまでくると仮想化環境というより単なるポータブルなVMのディスクイメージと考えたほうが素直だと思うわ >>579
いや、環境だよ。どのPCでも同じ環境を再現できるってこと。javaの発想に近い。
静的なファイルだけ突っ込むってとこはいい理解だけど、それが環境なんだよ。 dockerfileって環境構築用のバッチファイルみたいなものだと理解しても良い?
コンテナのコンソールを使って順に環境構築したものをコミットしてイメージ作る場合と比べてどんなメリットがあるかな。
仕上がりのイメージファイルの容量が少なくなったりする? >>581
chrootに依存してるって意味なら同じだろうけど、ディストリのパッケージに依存してるからそれが違うかな。
コマンド手打ちでも構築できるけど、不便だろ。 マイクロVMが主流になるならもうコンテナいらなくね?
カーネルだけホストのものを使うことって無駄な環境依存を増やしてるだけで、従来のコンテナ技術との互換性以外にはもはやメリットがないような
環境依存部分を吸収するのはそれこそ本質的にはハイパーバイザー型仮想化の方が遥かに得意なわけだし そういうの解決するために各企業が新しいコンテナ技術生み出してる
gvisorみたいにコンテナとVMの中間みたいな物とかね KataContainersもgvisorと似たような思想だな
やり方はだいぶ違うみたいだが コンテナ型仮想化は初詮は捻じ曲がった過渡期のワークアラウンドだったってことだな
VMが重いのが問題なら軽くすればよい、それができないのは技術が未熟だっただけ
浸透し切る前に正しい方向に戻ってくれそうでよかった >>582
dockerfile作る時も手打では?
しかもレスポンスが直ちに得られないので、
試行錯誤に時間がかかりそうに思う。
いまば、プログラム買いてその場で実行できるBASICインタプリタと、
cコンパイラを通す必要のあるC言語みたいな違いがあると思うんだけど。
一度完璧に書いてしまえば、後者の方がいいに決まっているけどね。 >>583
各VMごとにOSレベルのメモリ割り当てがいるから、
大量のメモリを消費するのでは? コンテナを動かすためのサーバーを管理したくないけど
AWS Fargateはまだまだ高い Lambdaで無理やりやるとか
つか安ければイイならSpotFleet以外の選択肢が(ry Kubernetesが登場してORIとOCIが標準化された時点でdockerは役割終えた感ある >>588
firecrackerの場合1VMあたり5MBらしい。 >>587
あー、そういう見方あるか。chroot手打ちしなくていいってことだよ。
言いたいことはjvmとlinuxカーネルが実行環境に含まれてるってことよ。
linux環境じゃなくてもdockerは公式環境があるから。 >>591
やっとdocker-composeわかりかけて
きたとこなのに(>_<) >>595
いやいや、docker理解できないと使えないから安心して
そもそも、個人開発でkuburnetes必要なくない? なんで個人開発限定?
そもそも個人開発でdockerなんか何に使うの?
コンテナ仮想化って個別にインフラを面倒見れないほどアプリがポコポコ作られるような組織で使うもんだろ
PaaSへのデプロイに使うくらいか? >>591
> Kubernetesが登場してORIとOCIが標準化された時点でdockerは役割終えた感ある
KubernetsってDockerを使うんだけど、なんで役割終えたの? >583
> マイクロVMが主流になるならもうコンテナいらなくね?
またいつもの仮想マシンとアプリケーションコンテナをごっちゃにしてるやつだなw
マイクロVMが主流になったとして、じゃあどうやってこそにアプリをデプロイするんだ?
マイクロVMにRailsの実行環境入れ込むんか?
ローカルの開発マシンで動いているものを、そのままマイクロVMで動かすにはどうするんだ?
そういった問題が解決できてないだろ
コンテナは仮想マシンと組みあわせて使うということが全くわかってない
コンテナがあるからこそ、VMはマイクロで十分になったというのに
コンテナのおかげやで?マイクロVMが登場したのは >>581
> コンテナのコンソールを使って順に環境構築したものをコミットしてイメージ作る場合と比べてどんなメリットがあるかな。
依存パッケージの更新とか手動でやりたくなくないだろ
お前は旧式のやり方しかしてないかもしれんがな、
こちとらDockerfileで1日に何度もイメージをビルドしてるんや
アプリが更新するたびにイメージ作り直してるし
カーネルや依存パッケージにセキュリティ対応が入ったら、
それを取り入れてまたアプリのイメージを作り直すんだよ >>586
> コンテナ型仮想化は初詮は捻じ曲がった過渡期のワークアラウンドだったってことだな
マイクロVMがなにをそぎ落としてるのか知らんの?
様々なコマンドが入ってないんだが。
各言語の実行環境はもちろんのことpsコマンドすら入ってないだろうな
マイクロVMではサーバーは起動していない。NFSサーバーになる機能すらないだろう
パッケージマネージャーもないだろう。必要ないからね
マイクロVMはDockerコンテナを動かすのに必要な
最小限の機能まで縮小しているし、Dockerコンテナを動かすこと以外を
やることを想定してないから、単体では何も使えない
それわかってるのか? >>599
君こそコンテナ仮想化とパッケージとしてのコンテナを混同してない?
>>583は前者のことを言っていて、従来のLinuxカーネルを共有したハック(現在一般的にコンテナ仮想化と呼ばれるもの)がもはや役割を終えつつあるのは事実だ
一方でパッケージとしてのコンテナはもちろん必要だけど、それ自体はもはや仮想化技術でも何でもなく、文字通り単なるアーカイブだ >>602
> それ自体はもはや仮想化技術でも何でもなく
「仮想化技術ではない」というのは具体的に
何ができないっていってんの?
それをお前が言えば、お前が間違ってることがはっきりするよ 「仮想化」という言葉の正しい意味をわかってないやつは、
仮想メモリと聞くと、ソフトウェアでメモリを作ることだって勘違いするからな
>>602はそのパターン パッケージとしてのコンテナとか意味不明だし
仮想化しなければ、可搬性は実現できないだろうが
仮想化せずにどうやって、他のマシンで動かすことができるというのか
っていっても理解できないんだろうなw >>583
> マイクロVMが主流になるならもうコンテナいらなくね?
apt-getもyumもついてこないよ
systemdも入ってないよ
libなんたらパッケージも入ってないよ
例えばnginxを動かそうと思っても、パッケージないし
パッケージの依存関係を解決してくれたりしないよ
コンテナ使わないでどうやってサービス動かす気?
苦労する気? だからパッケージングとしてのコンテナを否定してるわけじゃないんだけど、そんなに難しいこと言ってるかなあ
少なくともマイクロVMでコンテナを実行するのは従来の定義上はコンテナ仮想化とは呼べないでしょ
そして、せっかくマイクロVMによって遥かに高度な仮想化が実現可能になったのに、
依然としてホストのカーネルを使っていたのでは可搬性はdockerと同程度の低い水準のままだ
従来のコンテナ仮想化の仕組みを大きく見直す時期に来てるんだよ >>599
マイクロVMって普通の仮想マシンとどう違うの?
>>593
OSは入れなくていいのか? >>607
> 少なくともマイクロVMでコンテナを実行するのは従来の定義上はコンテナ仮想化とは呼べないでしょ
呼べるんだけど?
仮想化したコンテナを動かしてるんだから
コンテナ仮想化に決まってる
仮想化しなかったら、その仮想マシンでしか動かないものになるんだけど?
やっぱり仮想化の意味を知らないようだね >>608
> http://www.atmarkit.co.jp/ait/articles/1811/27/news146.html
ここに簡潔に書いてある
> Firecrackerは最低限の機能だけを搭載したマイクロVM
> FirecrackerはKVM上で動作。その上で動くコンテナなどのために、
> ネットワーク/ストレージを中心としたシンプルなI/Oインタフェースを提供する。
> OSは入れなくていいのか?
通常のディストリではカーネルとユーザーランドを含めてOSとなるのだが
マイクロVMはカーネル(とメンテナンス用のわずかなツール)のみの提供と考えていい。
コンテナを動かすことしかしないのだから、
マイクロVMに(コンテナ以外)のものを入れる必要がない
逆に言えば、コンテナ以外を動かすのは不可能に近い。 >>607
> そして、せっかくマイクロVMによって遥かに高度な仮想化が実現可能になったのに、
> 依然としてホストのカーネルを使っていたのでは可搬性はdockerと同程度の低い水準のままだ
意味不明。マイクロVMはKVM(仮想マシンエミュレータ)で動く
コンテナ専用のディストリの一種に過ぎない
マイクロVMのカーネル=ホストのカーネル
マイクロVM上のコンテナ=マイクロVMのカーネルを使う
どちらも同じカーネルを使うことにななってるんだが?
ホストのカーネルってなんだよ? マイクロVMは可搬性が高いわけじゃない
これは単なるディストリの過ぎないんだから
マイクロVMを他のPCで動かそうと思ったら
仮想マシンエミュレータが必要になる
Dockerコンテナは仮想化されてるから、
マイクロVMでも通常のLinuxでも動かすことができる。
コンテナ(=アプリ)が仮想化されてるから、
例えばローカルのLinuxマシンで複数のコンテナを起動することだってできる
そしてそのコンテナをそのまま変更せずに、マイクロVMで動かすこともできる。
"コンテナをそのまま変更せずに" ってところが重要。
マイクロVMで動かす時は、ポート番号を変更したり、
CPUの割り当て数を変更したりできる
"コンテナをそのまま変更せずに"
これができるのは、"仮想化されている"から >>607は仮想化をプロセス分離の技術の名前だとでも思っているかのようだw
"メモリの"仮想化は、ハードウェアのメモリをエミュレータで
エミュレートするものでもないし、プロセス分離の技術でもない
メモリの仮想化は物理的なメモリ配置を隠して、どういうハードウェアでも同じように見せることを言う
もちろん"PCの"仮想化はハードウェアをソフトウェアでエミュレートすること
同じ仮想化でも、"何の"仮想化であるかで意味が違う。
マイクロVMというのはディストリの名前なので何も仮想化してない
仮想化しているのはエミュレータ(KVM)の方
もちろんこの場合の仮想化とは"PCの"仮想化
そして(Dockerの)コンテナが提供するのは、アプリケーション実行環境の仮想化
UbuntuでもマイクロVMでもCentOSでも同じLinuxであれば
どこでも同じように動かせるようにするアプリケーション実行環境の仮想化は
コンテナが提供している。このアプリケーションの仮想化がなければ
ディストリごとに専用に、セットアップ手順を書かないといけない、
aptを使ったりyumを使ったり。コンテナでアプリケーション実行環境の仮想化を手に入れたことで
Dockerを使うだけで簡単にコンテナを動かせるようになった。
そうすることで、ディストリ専用(例マイクロVM専用)のセットアップ手順を
作らなくて良くなったからこそ、マイクロVMという軽量のディストリができたんだよ >>598
KubernetsでDockerは使えるけど必須ではなくなったからな
将来的には使われなくなるでしょ VM+カーネルの上でコンテナ(アプリケーション+ユーザーランド)が動くような形になっていくのかな。 >>615
マイクロVMが一般的になれば次第にカーネルはコンテナ側に寄っていく形になるよ
VMベースの仮想化に移行すれば、特殊なバージョンのカーネルやLinux以外のコンテナを動かそうという試みはビジネスの要請によって確実に出てくる
ちょうど言語処理系が辿った道と同じで、最初は完全にホスト側によって使用するランタイムが決められていたのが
アプリ側の設定ファイルに基いてランタイムを選択するようになり、最終的にはアプリケーションに吸収される そんな銀の弾丸があるなら
もっとAWS Fargateを安くしろや! めんどくさいから結論が出て使いやすいソリューションが出てきたらでいいや まーたいつものガイジ2匹がレスバ繰り返してたのかよ
よく飽きねぇなぁ >>614
知ってる知ってる。rktとかいうやつな
あれどうなったんだ?w
結局、Docker以外も使えると言う状況に満足して
終わりなんだよ。本気出してないからDocker以外普及しない >>615
> VM+カーネルの上でコンテナ(アプリケーション+ユーザーランド)が動くような形になっていくのかな。
そういうこと、マイクロVMは何かの機能を搭載するのではなく
コンテナに任せることで限りなく機能を削減する方向を目指してる。
だからマイクロVMがコンテナになることはありえない。
マイクロVMはコンテナを使うという前提 >>616って結局コンテナを使いますって言ってるだけだよ。
マイクロVM関係ない。だってマイクロじゃないVMでもできることなんだから
マイクロVMは単に今のVMを置き換えるもので軽いってだけでしかない。
それ以外は今と全く変わないわけだから、コンテナ使いますよねって話 「Kubernetes」に深刻な脆弱性
https://japan.zdnet.com/article/35129584/
> この脆弱性は深刻なものであり、共通脆弱性評価システム(CVSS)による深刻度は9.8(最大値は10.0)となっている。 dockerの特色はリソースを節約しつつ環境を切り分けて管理しやすくするってことだから
docker動かすだけの鯖やVMならカーネルだけ乗っててdockerの依存関係だけインスコできるパッケージがあればいいって発想から
ディストリとかvmも小さいものや、専用のものを使いましょうってだけの話だろ。
リソースを気にしなくてすむのなら普通のlinux鯖で動かせばいい。 >>624
それな。WinnyとかP2P世代のバカは仮想マシンを
「ウイルスに感染しても安全」な技術だと思ってる。(もちろん間違い)
ここで仮想化をセキュリティのためのものと思ってる奴がそうだろう
仮想マシン(VM)と仮想化は別のもの
仮想マシンは"ハードウェアを"仮想化したもの
コンテナはハードウェアを仮想化してないので、明らかに違うものを仮想化してるんだが
仮想マシンで仮想化してるから、コンテナで仮想化する意味がないという理屈のようだ >>626
お前も、Docker世代のバカと呼ばれるんだろうな >>626
さすがに頭悪すぎ
どんなハッカーやウィルスをもってしても、VM内から同一ホスト上の別の客のVMに正当な方法を介さずにアクセスできてはならない
これがAWSが仮想化技術に対して要求する最低限のセキュリティだよ
クラウドベンダー各社がDockerをサポートし始めてもなかなかFargateのようなサーバーレスサービスが出なかった理由もそこにある
つまり、Dockerだけでは従来のハイパーバイザー型仮想化と同等の分離水準を実現できなかったんだよ
FaaSやCaaSの先駆者であるAWSがマイクロVMを必要としたのはそういう背景がある >どんなハッカーやウィルスをもってしても、VM内から同一ホスト上の別の客のVMに正当な方法を介さずにアクセスできてはならない
こういうのまるっとガン無視して犬糞の鳥間バージョン間各種パッチ適用ごとの糞そのものの互換性のなさを
思考停止してとりまお気楽極楽に乗り越えて便利に使いましょいっていうのがドッカー()だと思ってたんだがw >FaaSやCaaSの先駆者であるAWSがマイクロVMを必要
どこまでいっても業者のツゴーってコトだよなwww >>631
企業内の専有クラスタでもコンテナが乗っ取られたときの影響範囲とか部門間のアクセス制御とかあるからね
ウェーイwww系Webからビジネスへと足を踏み入れた途端に、Docker世代のバカには想像もできない複雑で広大な世界が広がっている 頭の悪さは
> つまり、Dockerだけでは従来のハイパーバイザー型仮想化と同等の分離水準を実現できなかったんだよ
この一文に集約されてる。
Dockerはもともとハイパーバイザー型仮想化と同等の分離水準を
実現するためのものではない。それがわかってないと自白したようなもんだ それからもう一つ言うと、コンテナ間の分離機能というのは
カーネルが搭載しているコンテナの機能を使ってるだけなので
Dockerの問題じゃないんだわ。カーネルの問題 最初から俺が言ってるように「Dockerは仮想マシンと組み合わせて使うもの」
なんだから、そういう分離は仮想マシンでやるからいいんだよ。
DockerはDockerの本質であるアプリケーション実行環境の仮想化に
特化すれば良い。こればかりは仮想マシンでは実現できないんだから。 結局いつもの、Dockerを理解してない or 仮想マシンの代わりだと思ってる
理解の浅いやつが叫んでるだけでしたね。 >>632
solarisはdockerやるって言ってたけど今のところ見送りだからな
流石に長くOSやってるトコロはセキュリティに関する意識が全然違う
>>633
>Dockerはもともとハイパーバイザー型仮想化と同等の分離水準を
>実現するためのものではない。
ありとあらゆるトコロに地雷のように埋まってる腐れOSSの非互換性を解決するための
単なるお遊びレベルのコンテナシェア取り合戦なんだよなw
分かる分かるww
>>634
>カーネルが搭載しているコンテナの機能を使ってるだけなので
>Dockerの問題じゃないんだわ。カーネルの問題
いやいやいや下のレイヤに何を選ぶかはドッカ〜の実装の問題だろw
カーネルの責任に転嫁するのはさすがに無責任極まりないwww
まぁOSS界隈のやり取りらしくて大変結構なんだがwww >>637
だから下のレイヤー(コンテナ機能)に問題があるってことですよねw Linuxカーネル標準のコンテナ機能以外に
コンテナってありましたっけ?
それともDockerが選んだLinuxに問題があると言いたいのかな?w Solarisはもう未来ないから・・・
米オラクルがSolaris関連の従業員をほぼ全員レイオフしたとの報道(追記あり)
https://www.publickey1.jp/blog/17/solaris.html >>638
分離したいなら仮想マシン使えは現状そうするしかないんだが
>FaaSやCaaSの先駆者であるAWSがマイクロVMを必要としたのはそういう背景がある
何度も言うように業者のツゴーでそう言ってるバヤイじゃないってコトだろ
課金も絡むだろうからクラウド()に縛られてる情弱貧乏ユーザーどもにとっても死活問題だろうし
>>638>>639
>Dockerが選んだLinuxに問題があると言いたいのかな
問題アリアリだからドッカ〜が必要になったんだろwww
つかソコをトボケてどうしたいのさ
犬糞ageっすか?w >>640
安価なゴミ産廃で置き換えられていくのがITの歴史そのものだからやむを得んだろうな
まぁ今でもボラクルだけではなく不治痛からも買えるのでレガシーユーザーは困らん>solaris つかドッカーのコンテナランタイムってドッカーさんちの自作ちゃうの? >>641
だからさ、なんで分離するとか言う話してんの?
Dockerは分離するためのものじゃないんだが?
やっぱりわかってないよね >>641
> 問題アリアリだからドッカ〜が必要になったんだろwww
違うよ? やっぱりわかってないね。お前の書き込みが証拠だよ。 仮想マシンとか分離の話なんか一言も出てこないからさw
「コンテナはデプロイと運用を再発明する」、レッドハットがコンテナ戦略を説明
https://cloud.watch.impress.co.jp/docs/news/1013903.html
Dockerは、アプリケーション単位でコンテナを作ってパッケージ化する技術だ。
アプリケーションに状態を持たせずにスケールさせるクラウドネィテイブな手法や、
1つのシステムを単機能のサービスの組合せで作るマイクロサービス、
開発・デプロイ・運用のサイクルを早くまわすDevOpsといった、
新しい方式と特に相性がいいと言われている。
アプリケーションをコンテナ化する価値として岡下氏は、アプリのデプロイと
運用に統一手法がとれ、シンプルにできることを挙げた。 >>642
> 安価なゴミ産廃で置き換えられていくのがITの歴史そのものだからやむを得んだろうな
その理屈で言うとSolarisもその「安価なゴミ産廃」として
作られたものですからねw
いままでSolarisというゴミ産廃に置き換えられていった。
えぇ、お前の理屈だとそうなるって話です。 >>643を読む限りコンテナランタイムの機能もどうせわかってないんだろうな
プロセスの分離とかをしてるのはコンテナランタイムではない
カーネルの機能を呼び出しているだけ >>644
だから業者のツゴーだって言ってるじゃん
客がソレに全力で振り回されてる状況なんだが
まぁ尼損は今のところ王様の商売やってんなとは思うね
>>645
少なくとも数ある商用UNIXにはドッカーみたいなゴミはどこにも存在しない
犬糞のお陰で今までなかった問題が発生したのでそれを解決するやむを得ない戯術偽術の類だよ
>>647
>その理屈で言うとSolarisもその「安価なゴミ産廃」として
>作られたものですからねw
そらそうよw
ただ犬糞よりは断然筋がイイ
出自を見れば分かるだろ
>>644
>プロセスの分離とかをしてるのはコンテナランタイムではない
そりゃそーだろ
つかドッカーで全部のプロセスがルート扱いで動いちゃってるのはカーネルの責任!とかいう言い分かよw > つかドッカーで全部のプロセスがルート扱いで動いちゃってるのはカーネルの責任!とかいう言い分かよw
普通に実行ユーザーを指定すればそのユーザーでコンテナが動作しますが? どーせソコまで安全側に倒しておかずに動かすこと優先でやってんだろ
ルートでは動かないように小細工されてるツールだけやむを得ず一般ユーザーで動かすとかさぁ
動いたらハイ!終わり!w
コレが一般的なデブオプス()のスタイルだろ >>649
> そらそうよw
> ただ犬糞よりは断然筋がイイ
Solarisはクソでした。あなたの理屈通りでした。
でもあんたの理屈は、あんたには適用されるが、
俺には適用されない。LinuxよりもSolarisはクソ >>649
> だから業者のツゴーだって言ってるじゃん
> 客がソレに全力で振り回されてる状況なんだが
お前が振り回されてるのはわかったが、
俺は別に振り回されてない。
Solarisの先行きが不安定なのに焦ってるのか? >LinuxよりもSolarisはクソ
まぁその気持ちも分からんではないね
初心者ほどとっつきやすいモノがよく見える
デパートで売ってる服よかユニクロの服の方が好きなタイプだろ?w >>651
お前が適当な知識でやってるから、
それしかできないと思ってるのでは?w >>654
いいものが好きなんでLinuxが好きなんですよ。それだけです。
言われてみれば服もブランドに限らずいいものが好きだし、それと同じなんだろうな。 >>653
>Solarisの先行きが不安定なのに焦ってるのか?
ソコも業者のツゴーゆえ割り切らざるを得ない
筋の悪いドッカーも犬糞とクラウド延命のための一環だ
精々頑張ってくれw Solarisでびっくりしたのがようやく11になってから
ksh93が標準になったこと
それまでksh88やそれよりも古いBourne Shellがデフォルト
今2018年やで1988年って >>675
お前大変やな。
全部業者に依存してるからそうなるんやで >>656
イイモノじゃなくて道に落ちてる出所不明なモノを拾い食いして
腹に当たったか平気だったかレポしてるのに近いなと思うねw
まぁコレはOSS全般に言えることだけどな
多数が狂ってればマトモな感覚のヤツがキチガイ扱いされても当然ではある 業者の都合でLinux導入できないんだよ。でもそれがいいんだよ。
クラウドも導入できないんだよ。でもそのほうがいいんだよ
あのぶどうは酸っぱくてまずいんだよ
こんなところかね >>658
フツーにユーザー作ったら標準でbashが動いたと思ったけど>solaris 11.4
今useradd試してみたけど間違いなく/usr/bin/bashが入ってきた
つかユーザーが過去に書いたスクリプトの互換性まで考えれば
下手にシステム付属のシェルは弄れない
>>659
オレに向けたレスか?ちょっと落ち着けよw
自分でコンテナ仮想化からOSカーネルまで全部書いてるのかね
凄い労力だなw
つかOSSの中身が業者がかりじゃないと思ってるとか何か純粋な人なんだなw >>661
心配しなくても大丈夫
ちゃんと犬糞も使ってるからw
ただ檻に入れた上でごく限定的な用途でしか使う気しねえけどな >>662
それはログインシェル
まったく基本的なことすら知らないんだな
そんな奴が言ったってなんの説得力もねーわ 最初から限定意的な用途でしか使ってないやつに、
深い知識を求めても無駄だな
Linuxインストールして満足しているやつらと変わらん >>664
システム付属のシェルが古かろうと特に困らんてことを実例上げて説明したんだが ちなみに古いバージョンのsolarisもコンテナとしてsolaris11上で動く
だから何の問題もない >>667
OSだけ動かしたってしょうがないだろうに・・・
本当に使いたいのはOSじゃなくてアプリ 話の流れとは関係ないが、なんか一部で勘違いしている人が
いるようだから書いておくわ
俺はコンテナを仮想マシンの代わりではないと言ってるんじゃなくて
Dockerコンテナ = アプリケーションコンテナが仮想マシンの代わりじゃないと言ってる。
システムコンテナは仮想マシンの代わりになる
(Linuxの)コンテナ技術はカーネルが提供するものだが、
それ単体では、アプリケーションコンテナとしても
システムコンテナとしても使いにくい。
それをアプリケーションコンテナとして使いやすくしたのがDocker
アプリケーションコンテナとして使いやすくしているものを
システムコンテナとして使うとかネタでしょレベルだから
コンテナを仮想マシンの代わりとして使いたいなら
システムコンテナを使えばいい。俺はアプリ開発者だから
アプリのデプロイを簡単にしてくれるアプリケーションコンテナには興味があるが
仮想マシンの代替でしかないシステムコンテナは興味はそれほどない >>671
の指摘する基本的な知識不足のやつと結局アプリケーションを使いたいだけってところのやつが入り混じってややこしくなってる。
仮想マシン立ち上げて単一アプリだけ動かしてるやつかもそうだし、
linux以外でdockerインスコするのにVMを知らずに入れてるやつとかもそう。
基本知識がないのに議論を始めるやつ多すぎ。 >>671
privilegeを与えると、Dockerもシステムコンテナみたいになるという理解をしてもいいですか?
systemdが使えるので、けっこう便利にそうやってつかっているんだけど。 >>673
そういう使い方もできるだろうけど、それなら lxc とか、lxd の方が
扱いやすいんじゃないかと思われ。 システムコンテナとかいう謎用語はともかく、どんな用途のコンテナだろうが同一ホストでマルチテナントをやるなら高度な分離は必須だよ
クラウドベンダーが考えるコンテナ技術ってのは、デプロイや運用がPaaS並に手軽である一方で、
従来のPaaSのように特定のランタイムに縛られることがなく開発者の自由度が高い便利なプラットフォームを提供するための技術だ
どうしてもGoogleだのAWSだのクラウドベンダー発の技術には注目が集まりがちだけど、
そこには我々使う側ではなくプラットフォームを作る側の視点が強く反映されていることを理解しておかないといけない
そこを勘違いすると上で発狂してる子みたいな混乱に陥ることになる >>672
WindowsでわざわざVM動かしてLinuxもどきをうごかして、
そうしてからDockerを動かすなんて気持ち悪い。 比較的安定したwinのGUIとコマンドの類が同時に手に入る
何も悪いことがない >>675
> どんな用途のコンテナだろうが同一ホストでマルチテナントをやるなら高度な分離は必須だよ
つまり、同一ホストでなく、またマルチテナントをやらないなら
高度な分離は必須じゃないってことですよね
それは「必須」という用語を使ってまで言わないといけないことなんですか?w >>676
別にw
Dockerの目的はアプリケーションの可搬性なんだから
VMを使っていようが、WindowsやMac上でアプリが動いて
まるでOS上で直接動いているかのように、localhost:ポートで接続できるなら
Dockerの目的は達成できてるんだよ
そしてWindows上でもMac上でもDockerイメージを作れて
それをLinux上でも動かせる。
アプリケーションの可搬性がDockerの目的(コンテナの目的なんていってない) >>675
> どうしてもGoogleだのAWSだのクラウドベンダー発の技術には注目が集まりがちだけど、
Dockerはクラウドベンダーとは一切関係ないよ どんな用途のコンテナだろうが同一ホストでマルチテナントをやるなら高度な分離は必須だよ
高度な分離を行うときは仮想マシンで分離したほうがいいよ
そしてDockerでその仮想マシンに簡単にアプリをデプロイ
このスレはDockerのスレなんだから、1行目と2行目はスレ違いなんだよね。
Dockerの目的は物理マシン、仮想マシン問わず簡単にアプリをデプロイすることだから
WindowsでもMacでもアプリをデプロイ出来る。もっともこの二つの目的は
アプリの開発だけど、WindowsやMacで開発してそのイメージを
Linuxでそのまま動かせるっていうのもDockerの目的の一つだからね >>681
今更すぎて指摘するのもアホらしいが、LinuxコンテナはLinux上でないとビルドも実行も不可能
いずれはマイクロVM向けにカーネルも同梱したコンテナが標準化されて
ホストOSに依存せずにWindowsコンテナもSolarisコンテナも統一的に扱えるようになるだろうけど、
まだまだ先の話だね >>683
> 今更すぎて指摘するのもアホらしいが、LinuxコンテナはLinux上でないとビルドも実行も不可能
仮想マシン技術と併用すれば、Windows上でLinuxコンテナを動かせる
(ずーっと言ってるが、仮想マシンとDockerコンテナは使う目的が違っていて
併用して使うのは想定されているユースケースの一つ)
単なる仮想マシンと違うのは、仮想マシンが単なるマシンであり
その中にアプリをセットアップするのが大変で、ボリューム(仮想マシンで言う共有フォルダ機能を利用する)の
設定やまたlocalhost:ポート番号で接続できるようにネットワーク設定を行うのが大変ということ
これができてないのと、LinuxでLinuxコンテナを動かしているのと同じよう使うことは出来ないわけで
Windows(仮想マシンを使う)でもMac(仮想マシンを使う)でも
同じように使えるという環境をDockerは提供している
Dockerが背景の仕組みを解決してくれてるおかげで、
Docker buildするとDockerfileから同じようにアプリのイメージが作れ
Docker runをするとそのアプリが起動する。
そしてLinuxで動かしたのと何ら変わらず、localhost:ポート番号で接続できる
これがDockerが提供している機能の本質だよ 仮想マシンの設定が面倒?そんな低レベルなことを問題にしてたのか
そんなもんコンテナだって本質的には違いはないわけで、Dockerがやったような適切な標準化さえなされていればどうとでもなる
必死に仮想マシンはアプリではないとの主張を曲げない君の姿、
Dockerが生まれたばかりの頃にこんなもんどこがアプリやねん仮想マシンやないかと言ってた老害と同じだよ > 仮想マシンの設定が面倒?そんな低レベルなことを問題にしてたのか
仮想マシンの設定じゃなくて、仮想マシンに入れるアプリの設定だよ
いつもどおり話が通じないな
で、ここでインフラ馬鹿は、パッケージ入れれば終わりじゃんとか
いうんだよなw
そうじゃなくて、自分たちで開発したアプリの設定(環境構築)だ
ずーっといってる。Dockerはアプリ開発者のためのものだって
アプリ開発にともなって、アプリが必要とするモジュール・ライブラリも変わってくる
アプリの高速なアップデートのたびに、今回新しくしたモジュールはないか?
あるならそれをどうやってインストールするか?OS標準のパッケージの更新が必要か?
更新して大丈夫か? ローカルの開発環境とバージョンはちゃんと揃ってるか?
テストもちゃんとそのバージョンで行ってるか?
そういったことを細かく把握しなきゃいけないのが大変だって話だ。
Dockerを使えば、開発マシンがWindowsであってもDockerfileという
誰でも同じやり方でイメージを作る方法があって、そのイメージをそのまま
実環境でも使える。そういった仕組みやツールを提供してるのがDockerなんだよ
ほんと、仮想マシンの設定レベルしか思いつかないんだからだめなやつだ > 必死に仮想マシンはアプリではないとの主張を曲げない君の姿、
仮想マシンをぽんと用意した所で、開発したRailsアプリは動かないからねw
仮想マシンはアプリじゃない。当たり前だ。 だからOSのセットアップや運用管理が必要なのはコンテナだって同じだ
それを簡単にしたのはDockerが頑張ってそれを実装したからであり、コンテナだから楽になった訳ではない
Dockerと同等の簡便なワークフローをVMで実現することは技術的には普通に可能だ >>688
> Dockerと同等の簡便なワークフローをVMで実現することは技術的には普通に可能だ
そりゃ、 仮想マシンにDockerを入れれば可能だろうねw
もしかしてVMだけでコンテナを使わないで可能だって言ってる?
Linux上に仮想マシンを使わないで動かせるのがコンテナなのに
仮想マシンを使って作るとか、仮想マシンを使わないという条件を満たしてないんだがw マイクロVMはコンテナを動かすという前提があるから
あれだけ早く起動できる。
コンテナを使わないと仮想マシンは相当重くなる そういやSolarisってなんであんなに起動が遅いの?って思ったな。
VMだけ起動が早くても、そこで動かすSolarisがあんなに遅いんじゃ
使いものにならないだろうね。 >>676
気持ち悪い云々は自由だけど、公式からもそういうツールがでてるし、一般的な運用なんだな、これが。
特に開発環境ではね。あとVMはWSLみたいなLinuxもどきではないぞ。 そうそうVMはWSLみたいなLinuxもどきじゃない
エミュレートされるハードウェアは古いけどメジャーどころなのでそこらへんのノートPCよりも相性いい だからそのVMとDockerを組み合わせて使うんだよ dockerにセキュリティ不安があるのに流行るのは必要なリソースが少なくてすんで、環境を切り分けできるから。
dockerはlinuxネイティブに動作するから実機にするか、VMにするかはどっちが使いたいかぐらいの意味しかない。
とはいえ、一般的なネイティブアプリよりはdockerにはコストがかかるので単一のアプリじゃなくて環境そのものを扱うような場合がいいんだよ。
パッケージさえ揃えれば古い環境も再現できるし、保守はしやすいんだ。
マイクロVMのおもろいところは発展すればWSLなんかより遥かにいいから将来性はある。
それもソフトの発展じゃなくて仮想化支援のハードが出ればの話。
intelが仮想化に全力出せばOSを選択する意味はなくなっちゃう。 > dockerにセキュリティ不安があるのに流行るのは必要なリソースが少なくてすんで、環境を切り分けできるから。
可搬性が高くなってデプロイが簡単になるからだよ。
環境が分離されるのは、可搬性を上げるためにそうういう機能が必要になるってだけ いくらいってもVMと比べることしか出来ないよなw
マイクロVMのだめなところは、別にOSをインストールしなければつかない所 dockerと比べるならVMなんかじゃなくてsnapとかだよ。snapなんかの後継に根こそぎやられる可能性はある。 dockerはアプリ開発者が、自分のアプリのデプロイのために使うもので、
snapとはまったく用途がかぶらない > intelが仮想化に全力出せばOSを選択する意味はなくなっちゃう。
OS使わないとアプリ動かないやんw どのOSでも使える。ということと、OSを選ぶ必要がないかは話が別だからな >>691
使ってる途中でユーザーの意思に反して勝手にOSにリセットが掛ったり
OSがフリーズして無反応になったのでサポに連絡すると
再起動しときましたー原因不明ですーというウェーイ系awsだと
そらOSの起動速度()は超重要なんだろうなwww
>>696
>可搬性が高くなって
犬糞はバイナリ互換性ガチ無視だからドッカ〜みたいなキワモノに依存せざるを得ないんだろ
パッチ当てるたびOS更新するたびにアッチ動かなくなりましたコッチ動かなくなりましたと情弱どもが大騒ぎ
>>701
犬糞はドッカーが必要になるぐらいすぐにドコでも動かなくなる可能性が高い不安定なOS環境ってコトだろ
コトバを飾るなや >>702
OSの起動速度が重要なのは、一時的なアクセス数増加に
迅速に対応するためだろ
> 犬糞はバイナリ互換性ガチ無視だからドッカ〜みたいなキワモノに依存せざるを得ないんだろ
バイナリ互換性があれば、デプロイが簡単になるという理屈をどうぞ
やっぱりDockerの目的がわかっちゃいねぇw
> 犬糞はドッカーが必要になるぐらいすぐにドコでも動かなくなる可能性が高い不安定なOS環境ってコトだろ
Dockerがあれば不安定なOS環境でも安定できるって
それ逆にすごくねw
Dockerの凄さをまざまざと見せつけられたw >>703
>OSの起動速度が重要なのは、一時的なアクセス数増加に
>迅速に対応するためだろ
awsでも客数の増減でイチイチ鯖をageたり落としたりしてんのかよ
連中のやってんのは課金上げて乞食ユーザーをスポットインスタンスから振り落とすコトだけだろうがw
>バイナリ互換性があれば、デプロイが簡単になる
バイナリ互換性がないからデプロイするたびにドッカーが必要になるってコトだろ
>Dockerがあれば不安定なOS環境でも安定できるって
ドッカーによって稼働中のシステム全体がコケるってオチだろw
まさにそびえ立つクソの山 論理展開ができない人間と真面目に議論しても得るものなんかないぞ。さわるなさわるな。 What is the runtime performance cost of a Docker container?
https://stackoverflow.com/questions/21889053/what-is-the-runtime-performance-cost-of-a-docker-container
It doesn't work with Docker, K8s right now, but everyone's going nuts anyway for AWS's Firecracker microVMs
https://www.theregister.co.uk/2018/11/27/aws_sets_firecracker/
Firecrackerは今までのVMより速くなったとは言え、ベアメタルの95%を超える程度のCPUパフォーマンス
たかが5%されど5%
コンテナはCPUのオーバーヘッドはほぼ0
セキュリティよりパフォーマンスを優先したい場合や
セキュリティが必要ない開発環境では
今まで通りコンテナが使われるだろう FirecrakerはKVMベースで、それぞれのVMにカーネルが必要だが、
先の記事によればエミュレートする周辺機器を4つに限定してオーバーヘッドを削減している
ブロックデバイス
ネットワークインターフェイス
シリアルコンソール
VMを停止するためのボタンとして使うキーボードコントローラー またVMの話か。何度言っても理解できないようだな
Dockerが解決するのはアプリのデプロイであ
そのためにコンテナという技術を使い、
アプリケーション実行環境を仮想化することで
実現してるんだよ。
VMとDockerコンテナはそれぞれ役目が違うから
組み合わせて使うのがよくあるユースケースだ
Dockerコンテナ(=アプリケーションコンテナ)の有用性が
明らかになったから、コンテナ専用のマイクロVMが作られたわけだが
このマイクロVMで通常のOSを動かすのは難しいだろうな
Firecrackerで果たしてSolarisが動くかどうか
Linuxしか動かないVMになるだろう やっぱり想像通りだった。現状ではLinuxしか対応してない。
Linuxは組み込みとかにも対応してるから、最小限そういった
限られたハードウェアでも動く実績があるんだよ
でもSolarisのようなサーバー向けOSは、一定レベルのハードウェアを
前提にしてるから、いろんなところが依存してるんだろうな
https://firecracker-microvm.github.io/
What operating systems are supported by Firecracker?
Firecracker supports Linux host and guest operating systems with kernel versions 4.14 and above.
The long-term support plan is still under discussion. A leading option is
to support Firecracker for the last two Linux stable branch releases. Solarisとか言うオワコンwwwwww
あんたいつの時代から来たの? >>705
オマエは論理的なのではなく単に長い物に巻かれるのを良しとしているダケだろうがw >>712
悲しいかな、長いものが何一つ登場していないが、意味わかって使ってるか? >>713
自分が何をやってるのか(やらされてるのか)すら分かってないんだなw
アワレなやっちゃな >>711
だってUnix系ってSolaris以外オワコンじゃんw 痛ニウム(とhp-ux)は無事死亡
ヨゴレIBMのキモイAIXは確実に客に避けられるのでエサ撒いたうえでRHを買収
バカを見たのは血道上げてRHのバグ潰しやってた不治痛とボラクルかw
あと散々販促活動してた五橋研究所www Solarisは既にOracleに殺された
もう先はない hp-uxはCiRCUSであんなに大成功したのに
それをシステムとして売り込んでも
ワールドワイドでの採用実績がほとんどゼロだったというのは逆に凄いと言えば凄い
日本的なITモノって白豚どもの拒否反応を引き出す何かがあるというか
ぶっちゃけどっかコワレてるんだろうな
やってる連中が島国根性だからなのか知らんがw
この辺のネット系サービスはチョンコや支那畜も成功例聞かないので
アジア系全体の問題かもだが ボラクルに頃されたというよりはいわゆるリーマンショックに頃された>Sun
中の人が言うには突然カネ入ってこなくなったらしいからな
ボラクルは一式揃って案外安かったので拾ったダケと言ってるな
まぁそれでも買ったのだからどうしようが連中の自由ってこった >>717
知ってる。採用候補になり得る最後のUNIXだった
あとはベンダーロックインされてしまって
抜け出せない所がUNIXを使ってる
わざわざクラウド移行時にUNIXを採用することもないし
そもそも大半のクラウドはIntel互換CPUなので
Solaris以外のUnixが動かないというのもある
結果、マイクロVMもLinuxに対応すれば十分という考えに行き着く >あとはベンダーロックインされてしまって
>抜け出せない所がUNIXを使ってる
それはLinuxを採用しても同じコト
RHと糞淫にベンダーロックインされてるダケ
それこそまさにawsにベンダーロックインされたがってるトコロすらあるw 自分ダケはベンダーロックインから逃れられていると思ってる痛いコは居るかな?w
ttp://www.eweek.com/security/linux-kernel-developer-criticizes-intel-for-meltdown-spectre-response
"Intel siloed SUSE, they siloed Red Hat, they siloed Canonical. They never told Oracle, and they wouldn't let us talk to each other." ググるもPOWER採用でキモイやつら(666)のお仲間だってのはトックにバレちゃってるから
そっこらじゅうユダ公の息のかかったキモイ汚いモノだらけw Firecrackerってオンプレミスでも無い限り
自分で使う事は無いよな
FargateかLambdaを通して使うスタイル >>724
使う流れとしては
デプロイをもっと簡単にしたい
1. Dockerコンテナ化する
それを動かすディストリは、コンテナさえ動けばいいよね
2. コンテナ専用の軽量ディストリ採用
VMもコンテナ動けば十分だよね
3. FirecrackerなどのマイクロVM採用
という流れだよ。
Dockerコンテナ化は目的があって行うことだが、
それ以外は、必要ないから減らすという考え ドッカー野郎がPC使って調子こいてられるのもSunがvboxに投資してたからだろ
docker toolboxなんてまさにまんまそれだ
MySQLもそうだ
イケてないライセンスのvmware(player含む)だと何もできない
翻ってRHはどうだ?win上で動く実用的なx86仮想化の技術なんて何も持たねえだろ
これだけ見てもSunがドンだけ先見て投資してたのかってハナシだよ
自社開発したチップの外販すらできんグズで消費するしか能のないググるとは比較にならない なんでvbox? LinuxでDocker使うのに仮想マシンはいらないし、
WindowsとmacOSでは仮想マシン使ってるけど
もうvboxは使ってないくて、両方共OS標準の仮想マシン使ってるし
特にWindowsではvboxはDockerと同居できなくなったんで
もう数年使ってないよ。 Fargateは自動的にVMを確保してくれて
便利だが比較的高い
従来からあるEC2の方が安いが、コンテナを動かすVMは自分で管理する必要がある
ジレンマ >WindowsではvboxはDockerと同居できなくなったんで
フツーに同居してるけどな
問題なくdocker machineも動いてるし
何かの間違いなのかな Solaris同梱のkshのバージョンがが古いとのたまい乍ら
サポ切れバージョンの犬糞をドッカープル()することにはダンマリ
こういう手合いをダブスタ野郎と言うw Hyper-Vを利用しているとVT-xは利用出来ない
同時に利用はできず、片方だけ使える
そしてVT-xはVirtualBoxに必要
>>731
意味不明
ちゃんと更新すれば良いだけだろ? Docker for WindowsはHyper-Vを利用し
Docker ToolboxはVirtualBoxを利用する
さらに、最近ではWindows Subsystem for LinuxでVMなしで動かせるようになったようだ
WSLのcgroupsやiptablesなどのサポートが改善された事による成果だ
https://github.com/Microsoft/WSL/issues/2291#issuecomment-438388987 「pullして使う」っていうのも発想が
アプリ開発者じゃないって感じるよな
dockerはビルドして使うものだからね
そもそもアプリ開発者が、自分で開発したアプリをデプロイするために
アプリと実行環境をイメージとしてまとめるっていうのが主な使い方なんだから
ベースとなるディストリは、更新すりゃいいだけ
それがすぐに簡単にできるようにDockerfileがあって
新しいディストリへの更新は数分程度で終わってしまう
それがVMやコンテナ単体では出来ないことで、Dockerが解決している問題 アプリ開発者のためだけのものではないぞ。念の為に言っておくが。 >>734
WSL凄いよな。パフォーマンスの点でDocker for Windowsを(WSLから)使うけど
その問題が解決するならば、仮想マシンで動かさなくて良くなるからもっと便利になる
具体的には仮想マシンにメモリを割り当てなくて良くなるから、アプリが使用する
必要最小限のメモリだけで良くなる
macOSもそうなってほしいね。macOSはUNIXだけどLinuxではないので
仮想マシンを使わないとDockerが使えない >>734
>Windows Subsystem for Linux
動作が遅いんだよなソレ WSLはCPU速度はVMと同等かそれ以上に速いが
I/OはNTFSを使う都合上遅い
後一年も経てば解決するかも cygwinの時も同じ問題があって、それは解決できなかったんだけど、
MSの場合はカーネルやファイルシステムに手を入れることも視野に入れられるからな
これまでWindowsのアップデートのたびにWSLの互換性は上がっていってるので
MSの本気度はかなり高いことがわかってる。例えばこれとか
マイクロソフト、Windows 10にUNIX系OSと似た擬似コンソール実装
https://news.mynavi.jp/article/20180817-679662/
パフォーマンスを上げるためにカーネルに手を入れる可能性も十分あると思うわ > I/OはNTFSを使う都合上遅い
NTFSが遅いんじゃなくて、NTFSでLinuxのファイルシステムに求められる機能
(パーミッションなど)をエミュレートするから遅いんだけどな
NTFSのファイルシステム自体は高速
Windowsから触ってる時、何も遅く無いだろ? >>737
>>737
Windowsという再起動OSなんて使いたくない。
勝手に通信するし、あんなものをLinuxの代わりなどならない。
どうせ、終コンになる。
Edgeなんて使わなくて良かった。
生のLinux使えばいい。 最近のM$のLinuxへの擦り寄り方が気持ち悪い・・ EdgeもChromiumベースになるらしい
もともとユーザー数少ないし、下手に独自のエンジン作られても非互換の部分が増えるだけだし
良いんじゃね?
もっとOSSに擦り寄れよ >>742
ニュースなってたんだ。ありがと。あとはデーモン管理できるようになれば実用段階だね。 >>747
Windowsはクラウドでの運用に適さないからね
Azure使ってみたらよく分かるけど、MSのAzureチームもWindows使うの苦痛なんだろう >>747
クラウドの客が犬糞使いたがってる影響だな
まぁ色々やむを得ずなんだろ >>752
だから必然的にクラウドを使うんだよ
AzureもAWSもGCPもWindowsインスタンスが用意されていて
そこにライセンスも使用料も含まれてる
もしかして知らなかった?
オンプレで自前サーバーとかて立ててる
時代のやり方してる所は知らなそうだよね windowsを使おうと思わないから、インスタンスがあっても知らんよ。。 awsとか使ったことあるならwindows使わなくてもインスタンスあることくらい知ってるだろ インスタンス料金表とか見たらデカデカと載ってるからね
知らないのはさすがにありえないわ ふとAWSのダッシュボードみてみたら、Linuxなんかよりも先にあるねWindows そりゃクラウド使ってなきゃ、
「必ず使わないとその他のメニューに行けないダッシュボード」を
使わないことだってあるだろうなぁw えっ、お前マネージメントコンソールやリファレンスを一切見ることなくCLIを使いこなし、
適切なインスタンスタイプ名を一発で引き当てることができないの?w 何にいくらコストがかかるって
CLIで見れたっけ? 引き当てるって書いてあるし、ガチャ方式でやるってことか
使ったことがないからネタに走ったってことね クラウドのインスタンスって、最初からOSが組み込まれているのか?
どんな設定されているかわからないものを使うって不安でない?
最初からiptableが開かれているとかさ? 根本的なところがずれてるな
自分でOSを組み込んだら、どんな設定になるのかわかるのか?
iptableの状態がどうなってるのか、安心できるのか? >>765
そもそもクラウドにiptableの設定なんか必要ない
そういうのはインフラ側の設定で制御するんだよ
オンプレ脳の人間はインフラを「容易には弄れないもの」と考えて何でもサーバー内で完結しようとする
しかしクラウドにおいてはむしろそれは逆で、サーバーよりもインフラの設定の方が柔軟に変更でき、構成管理も極めて容易だ
iptableのような脆弱な仕組みに頼ることなくデザインによってセキュリティ等の要件を担保できる
これがクラウドの強みだ 説明下手だなw
デザインによってセキュリティ等の要件を担保できるとか
意味不明な説明じゃなくて単純に言えばいいだけだろ
クラウドではサーバーの外にあるファイアウォールで制御する
そのファイアウォールは、設定画面やCLIコマンドやAPIから設定できる >>768
わかりやすい。
でも、手作業による設定と違って、
柔軟な設定はできなさそう。
Dockerならフォワードチェインから、
サブチェインに飛ばして、そこでフィルタやパケットの統計をとったり、
あるいは、ポート開放のために、-t nat にフォワードの設定が必要になるだろうけど、
クラウドはそういうのは使わないの? > でも、手作業による設定と違って、
> 柔軟な設定はできなさそう。
手作業ってなんだ? どうせコマンドうつだけだろ
> Dockerならフォワードチェインから、
Dockerコンテナ = アプリ
お前、アプリの中に、ファイアウォールの設定入れるのか?
Dockerコンテナは仮想マシンじゃないって言ってるだろ >>770
> クラウドはそういうのは使わないの?
だからそれらは全てサーバーの外にあるファイアウォールで設定できる 実際はiptableなんかに頼ることなく、ハード込みで売ってるファイヤウォール使ってるってことだろ。 >>769
お前はリスクマネジメントというものを分かってない
AWSが俺を信じて任せろと言ってるんだからリスクは完全にAWSに転嫁されていて、それで十分なんだよ
もしもAWSの不具合で事故るようなことがあれば、そのときはAWSに損害賠償請求すればよい >>775への反論は
そんな無責任が通用するわけがないだろう
自前で実装して、不具合で事故るようなことがあれば、損害賠償してやる!と
男らしく言うべきだ。
自前で実装する=事故る可能性が高い わけだけど、
損害賠償するのが男らしいんだ!
という感じでお願いねw AWSのインフラはCloudFormationかTerraformを使って設定するのが今どき
全てGitリポジトリに入れて管理すれば誰が何を変えたか分からないって事はなくなる
AWSの場合、接続出来るIPやポートの制限はセキュリティグループで行う
手動で変更されてもEvident.ioを使えば自動で検出して修復できる
Evident.ioを使ってセキュリティオートメーションしてみた
https://dev.classmethod.jp/cloud/aws/security-automation-using-evident-io/
Evident.io使わなくても
CloudTrailとSNS、Lambdaを使えば同じことできそうだが
めんどい コンテナとJSフロント関係は
進歩早すぎてついていけん... >>771
でも、Dockerコンテナ起動したら、
ポートが開くじゃない?
たとえば、ソースIPアドレスで絞り込んだり、
iptablesが必要だと思うけど?
そういうこともawsセンター側できるの? > でも、Dockerコンテナ起動したら、
> ポートが開くじゃない?
開かないが? >>780
例えば、nginxを起動するとポート80番が開く
って話してるのか?
Dockerと関係ない話だよね >>771
コンテナはアプリを動作させるための環境であって、
コンテナ=アプリという式は間違っている。 >>775
まあ大抵にわかのセキュリティエンジニア(笑)が設定ミスってノーガードになるのが事故の原因なんだけどな
オンプレでもFWで守られてるから大丈夫なんて余裕ぶっこいてるサーバーほどよく侵入されてる >>783
コンテナ=アプリ と言ってない
Dockerコンテナ=アプリ と言ってる
正確に言うならアプリ相当として考えろってことだが >>784
なんでデフォルトでポート塞がないの?って話だな
クラウドならサーバー外部にある、ファイアウォール相当のものがデフォルトで塞いでいるから
いくらサーバー側で設定ミスっても接続できない。
意図的にファイアウォールの設定をしない限り接続できないように
安全な状態になっている。 >>784
それはいったんFWの内側のネットワークに侵入されたらノーガードのサーバーに入り放題ってことだろ?
クラウドだとFW相当の設定はサーバー単位だし、その上で仮想ネットワークの出入口に更に強力なFWを設けるのが一般的だ
その上で更にサーバ内でポート閉じる設定するなんて明らかに冗長なだけ >>786
デフォで、オールリジェクト?ポリシーはどうなっているの?
awsでもDockerコンテナ使えますか。
使えるなら、Dockerホストと、その外部ファイアウォールの両方でポート開放が必要ということですよね。
いわば、サーバーの先にブロードバンドルータがあるみたいな感じですよね。 >>787
> それはいったんFWの内側のネットワークに侵入されたらノーガードのサーバーに入り放題ってことだろ?
セキュリティ突破できたらやり放題って当たり前だろ
何を言ってるのかわからん。
> クラウドだとFW相当の設定はサーバー単位だし
普通はネットワーク単位だが?
> その上で仮想ネットワークの出入口に更に強力なFWを設けるのが一般的だ
だからそれがデフォルトなのがクライド >>788
> awsでもDockerコンテナ使えますか。
今の話にDockerコンテナは関係ないから
(パッケージでインストールする)nginxに置き換えるね
> nginxのホストとその外部ファイアウォールの両方でポート開放が必要ということですよね。
> いわば、サーバーの先にブロードバンドルータがあるみたいな感じですよね。
だからなに? >>789
いやセキュリティグループはサーバー単位だろ
本当にAWS使ってるのか? >>790
0点
>>788をよく読んで答えなさい >>792がAWSを使ったことがないことはわかった セキュリティグループは作ってからEC2インスタンスやロードバランサー、データベースにくっつける
IPアドレスの範囲に加え、
特定のセキュリティグループを持ったインスタンスの接続のみを許可する使い方も出来て便利 AWS使ったことないんだけど、ポートを塞ぐだけでセキュリティ云々言うのは間違ってるよ。
webなんかで言われるセキュリティホールは80とか443を使って侵入するから通信の中身やURLを解析して弾かなきゃいけない。
こんなのは自前で実装するのが普通。 オンプレの場合、一旦納品したサーバーは
脆弱性があろうともバージョンアップしないんだろう
だから脆弱性があるサーバーを守るために
ファイアウォールを使う。
馬鹿としか言いようがないw >>798
jsが仕込まれたURLじゃないかとか色々 >>794
反論を煽るようなレスをわざわざするなよ >>801
え?なに? クライアントからサーバーに
jsが仕込まれたURLが送られてくんの?
>>803
え?なに?ストリングクエリに細工されていたら
サーバーに侵入される脆弱性があるの? >>805
テストもレビューもしないってこと?
細工したクエリストリング流してテストすればわかることだよね? 可能性を言えばきりがないが、URL依存の攻撃なんか腐るほどパターンがあるから限られたURLだけ通してあげて、
それ以外は404とかに出すに限る。404も別サーバーでいい。
bashショックもURLだったろ。あれはパッチをできるだけ速く当てるしかないが。 テストとレビューで事足りるならセキュリティは苦労しない。 でもセキュリティあってもテストとレビューで
事足りないものはセキュリティでも漏れるから
意味ないよね > 可能性を言えばきりがないが、URL依存の攻撃なんか腐るほどパターンがあるから限られたURLだけ通してあげて、
だから限られたURLってなんだ?
お前のサーバーは、自分以外のURLで接続できるのか? >>810
普通いくらでも通るぞ。getも知らないのか? >>810
たとえば、基本的なところでは、クエリストリングで、
アプリケーション側で対応するフィールド以外のものは、
排除するとか。 >>797
>webなんかで言われるセキュリティホールは、80とか443を使って侵入するから、
通信の中身やURLを解析して弾かなきゃいけない。
こんなのは自前で実装するのが普通
アプリ製作者が素人で、アプリにバグがあるから、こいつらの技術では自前で実装できないw
SQL 文を文字列でつないで作って、問い合わせる奴。
place holder を使っていない奴は、SQL インジェクションされる
sql文 = "SELECT 列名 FROM 表名 WHERE user_id='$userid';";
この変数に、1 だけなら良いけど、
クラッカーは「1; 文」のように、; を打って、クラッキングする文をつなげてくる
資格も持ってない・勉強していない奴は、当たり前の事も知らない。
place holder を使っていないアプリは、損害賠償請求できる
こういう奴らは、アプリを作っちゃいけない! >>813
そんなもんWAFで弾ける
クラウドならそれこそ画面でポチるだけ >>788
>awsでもDockerコンテナ使えますか
aws は、Docker だろ。
CoreOS, Kubernetes とか コンテナってクラウドに熟達した人が究極のdeployabilityを追求した末に行き着くものだと思ってたけど、意外とそうでもないんだね
クラウドには手が出ないけどなんか新しそうなもの触ってみたいだけな人が多いのかな マネージドKubernetesサービス対決
比較表見るとアマゾンのEKSはGoogleのGKEと比較してコスト高いだけの劣化版に見える
そしてMSのAKSはどちらにも及ばないクソ
https://kubedex.com/google-gke-vs-microsoft-aks-vs-amazon-eks/ >>815
httpsの場合は?
中間者攻撃が成立しないと解読できないと思うけど。 >>819
wafはCloudFrontやALBと組み合わせて使うよ。
それらはSSLアクセラレーターの機能も兼ねてるのでwafやwebサーバ側に来る時点ではhttp平文状態になります。
この場合、サーバー証明書はCloudFrontやALBに組み込むだけで済みます。AWSはドメイン発行やルート局も持ってるので証明書関連はAWSだけで完結できます。
スレチだけどEntity Framework等の昨今のO/Rマッパーを使っていればSQLインジェクション対応してくれるから余り神経質になる事はないよ。自身でSQL文を組み上げる事はしません。 >>819はまさかコンテナにSSL喋らせてるのか?
そんな足回りの関心は丸投げできるようなインフラでないと上で喚いてる「アプリとしてのコンテナ」なんか程遠いだろ もうそろそろ飽きてきたな。
インフラ周りの話はDockerコンテナと関係ないし 今時オーケストレーションやインフラの技術を抜きにしてコンテナを語るのは無理があるだろ
ホビーストがチマチマrunして遊ぶ時代はとうの昔に終わったんだよ >>823
レイヤーが違うんだよ。
Dockerはコンテナに動かすのに必要なものがカーネル以外全て入っている
逆に言えばDockerを動かすものは何でもいい。
Kubernetes使おうがsystemdから起動しようがコマンドで実行しようが関係ない
アプリの話をしているときにOSの話をするのは関係ないだろ?
OSとアプリの連携の話をするならまだわかるけど、
OSそのものの話は関係ないじゃん?今の話はそういうレベル。
インフラそのものの話になってしまって、アプリは全く関係ない話になってる。
アプリとインフラの機能を密結合させるという発想しか持ち合わせてないから
こういう話を続けるのだろうけど >>824
大いに関係あるよ
なぜコンテナにTLSが必要ないのか?
それは暗にインフラに対してCloudFrontやALB的なものが存在するという前提を設けているからだろう
レイヤが違う、故に高レベルのレイヤの設計は低レイヤの性質に依存するんだよ
コンテナを単なるVMというならともかく、そうじゃないと主張しているんだろ?
だったらそのためのインフラに対する条件は明確にしておかなければ机上の空論でしかないぞ >>825
お前が言ってるのコンテナと関係ない話じゃん
> なぜウェブアプリにTLSが必要ないのか?
> それは暗にインフラに対してCloudFrontやALB的なものが存在するという前提を設けているからだろう
> レイヤが違う、故に高レベルのレイヤの設計は低レイヤの性質に依存するんだよ
昔からウェブアプリ自身にTLS(SSL)を解く機能は持たせず、
その前に設置しているリバースプロキシ等にやらせるだろ。
例えばRailsを使うにしてもRails自身でSSLを処理するのではなく、
リバースプロキシ等(例 nginx)で行わせる。
このnginxはRailsのプリコンパイルしたCSSやJavaScript等の
静的ファイルの配信でも利用される。静的ファイルの配信は
それが得意なnginxにやらせてRailsはアプリの処理のみを行う。
そういったすみ分けが昔から出来てるわけで、Dockerコンテナだからそうするいう話ではない >>826
証明書ゲートウェイですね
大手でも、そういう名前のサイトで最初で認証させられるわ。 >>827
なんかそれ違う気がする。
>>826のはSSLアクセラレータとかの方でねぇか? 訂正:SSLアクセラレータとかSSLオフロードとかの方でねか? WindowsでDocker (Hyper-V)とVirtualBoxが共存可能になったってよ >>830
バーチャルマシンつかった段階で、負けた感がある。
そこはLinuxをちゃんとつかって、生でDockerしないと。 >>830
何が凄いのか、分からない、良かったら教えてくだしあ
個人的には、Linuxでdocker派です Dockerって、可搬性
>>833
これまでHyper-VをオンにするとVirtualBoxが使えなかった。
それが6.0から共存して使えるようになると騒いでいる。
でも自分も含め動いていない人も居て、本当に動くのか議論されている。 ひょっとしてVMWareとも共存できるようになった? >>834
公式にはできるってアナウンスないって事? >>837
公式にアナウンスされているけど、動かない。でも動いてる人も居るんですよね。きっと。 >>839
QEMUの話。動いたとは書かれていない >>838
Vrtual Boxの方をアプデするのね
Dockerの公式ブログとか見てたw >>841
6.0にしてWindows ハイパーバイザープラットフォームをオンにし、再起動。 素人ながらubuntu16.04にdockerを入れたらネットに接続できなくなりました。ブリッジが勝手にかかっててwifiがつながらない症状が出ています。
操作しようとしたらgot permission denied while trying to connect to the Docker daemon socket at unix 〜〜〜と出てきました
この状態からdockerを削除して元の状態に戻す方法を教えていただけないでしょうか。
sodo gpasswd -a username dockerでグループには追加しました。 >>844
dockerを消す前に、再起動しろ
再起動したら動く 接続できるようになりました。とんだお騒がせをいたしました。 ま、再起動しなくてもネットワークサービスを再起動して
ログインしなおせば動くんだけどなwww 今更ながらdocker勉強し始めました
KVMみたいにOSから作るのは理解できるけど、例えばDockerHubからNginxイメージをpullする時は、dockerをインストOS環境に依存するの?
Debian使ってたらDebian環境用のNginx環境ができるの? そのnginxイメージを作ってるDockerfileを読めばわかることだろ
dockerを使う = Dockerfileを読み書きするってことなんだからな 使用しているベースイメージ次第。環境は関係ない。
dockerは実運用するなら素のベースイメージから上は自分で作るのが基本だから、そのへんの考え方は一度自分でやってみればすぐに理解できる。
出来合いのものはあくまでサンプル。 ありがとう
むぅ理解できないわ
取り敢えず触ってみる んっnginxより上、ベースイメージでの動作はdockerが担保してくれるってことなのかな
触ってみる LinuxカーネルのABIは安定しているので
カーネルより上の層(libc)とかは
基本どのディストリビューションでも動作する
go言語は他のライブラリが必要ない実行ファイルを作れる
scratchイメージにgoの実行ファイルだけ入ったものを作れば
僅か数MBのDockerイメージすら作れる >>854
何ヶ月か前に別スレでその最初の3行にまつわる話したら袋叩き似合った だってウソだもんで>LinuxカーネルのABIは安定している >>854
> go言語は他のライブラリが必要ない実行ファイルを作れる
でもライブラリ相当の機能が実行ファイルに含まれてるから、
goのバイナリはサイズがデカイんだよね お、あったw やっぱりでかい
http://d.hatena.ne.jp/eel3/20150627/1435402293
言語 ファイル名 大きさ(byte)
C言語 hello_c 5516
C++ hello_cpp 5588
D言語 hello_d 360500
Go言語 hello_go 1091428 goはでかいよ
Archやってるとでかいサイズのgoの更新が頻繁に来るからうざい Linux/UNIX文化では動作が変わっても名前は変わらないので必ずリンクできる。
つまり安定性が高い。
一方、Windowsは動作が変わると名前にサフィックスが付く。
従って新しいAPIに自動的にリンクされることはないし、APIの数はドンドン増え続ける。 >>860
?
Linux/UNIX文化では動作が変わっても名前は変わらないので必ずリンクできる。
Windowsは動作が変わると名前にサフィックスが付く。
以前の名前は変わらないので必ずリンクができるし、以前の名前の動作が変わることがない
だから高い互換性が保てる
といいたいのかな
Linuxはカーネルのシステムコールの数が増えなくても
ライブラリとは関係ない話なので、APIの数の代わりにライブラリの関数が増え続けるよ GoのシングルバイナリってGPL汚染はないの?
というかDocker自体、上の方で猿が喚いてる「コンテナはアプリだ!」との主張がもし世間一般に通るなら、
単なる集積物であってアプリにGPLは感染しない理論はかなり無理があるんじゃないかな >>864
そもそもGoはBSDライセンスだし
gccgoを使う場合はGPLのコンポーネント(gcc)を含むが
生成したバイナリはGPLの対象外
gccのランタイムライブラリは例外にしないと
Linuxにクローズドソースのソフトウェアが一切存在出来なくなるから
まさかクローズドソースのは一切無いと思ってた? >>866
LinuxのアプリがGPLに感染しないのは、GPLの「単なる集積」と「システムコール」の例外条項による
自分で条項を読んでみたらいい
Dockerコンテナを単なるアプリケーションパッケージと解釈するなら、これらの例外が適用されるかはかなり怪しいよ
まあGoの場合は解釈論を云々するまでもなくGPLライブラリをスタティックリンクした時点で完全アウトだが >>867
意味不明
Dockerで使う時だけ対象になるとか何処に書いてある? >>867はDockerイメージは全てオープンソースにしないと違法って言ってんのか?
そんなこと言ってんのお前だけだろw Linuxはソース文化なのでコンテナがないとアプリケーションの配布がきつい。 >>867
お前、その主張は、DVDにGPLとそうでないものを
一緒に焼いたら(つまりRedHat Linux状態)
ライセンス違反になると言ってることになってるんだが
気づいているか? Redhatは倫理規定違反で死刑になってもおかしくないけどな。 そもヨゴレのIBMと喜んでくっつかってんだから相当なド底辺クズ野郎どもだろ>RH
大喜びで開発協力してきた日本の大手ITベンダのアホ情弱どもはそれ以下のマヌケだろうけどな >>871
>>871
それがいわゆる「単なる集積」
特定のアプリのために同梱してるんじゃなくて本当に単なる寄せ集めだから派生物と見做されない
一方Dockerは特定のアプリのためにコンポーネントを事実上スタティックリンクしているわけで、例外条項の趣旨を考えれば完全にアウトだ
だからDocker使うなら間違っても「コンテナはアプリだ」なんて言っちゃいけない > 一方Dockerは特定のアプリのためにコンポーネントを事実上スタティックリンクしているわけで
事実上スタティックリンクってことは
本質上スタティックリンクじゃないってことだよね Dockerコンテナはスタティックリンクしてないからアプリと言えるわけである
スタティックリンクしていれば1バイナリになる。 >>877
GPLはスタティックリンクか動的リンクかに関わらず感染するよ ちなみにAndroidアプリだと、LGPLライブラリ(.so)をアプリのパッケージ(ZIP形式)に入れて配布するのはスタティックリンクに該当し、
アプリがLGPLに感染するという解釈が一般的だ
Dockerイメージは言うまでもないよね いつのまに、アプリと呼ぶだけでGPLに感染することになったんだ?w
本質的にアプリだが、アプリと呼ばなければOKって意味不明
俺が「あれ」と「これ」を含んだDockerコンテナ=アプリを作ったとして
他人が作った「あれ」と「これ」のライセンスを、赤の他人の俺がGPLに変更できるわけないし
Dockerfileはただの数行のファイルでしか無いし、
俺がGPLのものを作ってなにか作ったからと言って、それを不特定の人に公開する義務もない
Docker=アプリに反論したいができなくて、とりあえず言ってみたんだろうが
穴がありすぎて、大丈夫かこいつ? >>880
良い皮肉だw
Googleストアにあるやつは全部GPLになっちゃうよなw Dockerイメージを配布せずに、
Dockerfileだけ配布すれば
完全にGPL(LGPL)を回避できる
Dockerは素晴らしいですな! ということで、DockerがGPL違反になるとか言ってるアホは徹底的にコテンパンにされました。おしまい。 いやイメージを配布するのは普通にGPL違反よ
配布しなけりゃいいだけだし、誰もそれは否定してないでしょ まあ確かに、LGPLはシステムライブラリとのリンクを想定してるから、一緒に配布するのはGPLの精神からすると感染だろな。 > いやイメージを配布するのは普通にGPL違反よ
1. そもそもイメージ配布しなければGPL違反でないし
イメージ配布する人を社内に限れば、社内の人だけにソースを配布すれば良い
2. GPLはバイナリを入手した人がソースを入手できればいいので
バイナリを手に入れてない人にソースを配布する必要はない
3. DockerイメージのソースとはDockerfileのこと
4. もちろんDockerイメージの不特定の人に配布したら、
その中に入っているバイナリのソースも渡さないといけない > まあ確かに、LGPLはシステムライブラリとのリンクを想定してるから、一緒に配布するのはGPLの精神からすると感染だろな。
その理屈だと、ISOイメージにして配布しているRedHatなんかも
ライセンス違反ということになってしまうので、間違ってるのは明らか 一言で言うならば、GPL感染した所で、プライベートイメージなら
何ら問題ないってことよ。 >>888
Redhatは裁判になったら死刑判決受けるだろ。 >>888
だからそれは単なる集積
DockerもVMだから単なる集積だと強弁してしまえばイメージの配布も限りなく黒に近いグレーにできなくもない >>891
Dockerのイメージも単なる集積だけど? 見る人が見れば真っ黒に近い黒だろうな。
例えばGNUの尊師が見たら完全にアウツだろ。 Dockerのイメージがどういうふうに展開されてるのか知らないのかな?
単なるファイルとしてディスクに展開されてるんだけど
最終的にはLinuxのコンテナとして動いていて、コンテナがchrootを発展させたものって知っていれば
以下のリンク先の説明にあるように、とあるディレクトリ以下に展開されてるファイルを実行するだけって
わかるはずなんだが?
https://deeeet.com/writing/2013/12/16/where-are-docker-images-storede/ >>894
仮にスタティックリンクではないと解釈できたとしても、実際に実行時には動的リンクしてるんでしょ
誰がどう見ても派生物だよ > 仮にスタティックリンクではないと解釈できたとしても、実際に実行時には動的リンクしてるんでしょ
だからその理屈を言ってしまうと、RedHatのISOイメージも
同じことになってしまうので、その矛盾を解決してから出直してきなって話 >>896
だからGPLの「単なる集積」の条項を読んできなさい そもそもLinuxでパッケージが提供されているものだけを
使用すればGPL違反になりようがないんだよね
だからDockerコンテナ=アプリ >>897
読んで問題がないことがはっきりしている はいどうぞ
「集積物」とそのほかの種類の「改変されたバージョン」の違いは何ですか?
https://www.gnu.org/licenses/gpl-faq.ja.html#MereAggregation
「集積物」はいくつかの別々のプログラムからなり、それらは同じCD-ROMやそのほかのメディアや "Dockerイメージ" に
いっしょに入れられて配布されます。GPLは集積物を作成し配布することを認めています。
たとえ、ほかのソフトウェアが不自由あるいはGPLと両立しないものである場合でもです。
ただ一つの条件は、あなたは、それぞれのプログラムの個別のライセンスが許す権限を
ユーザが行使することを妨げるような、あるライセンスのもとで集積物をリリースすることはできないということです。
二つの別々のプログラムと二つの部分の一つのプログラムを分ける線はどこにあるでしょうか?
これは法的な問題であり、最終的には裁判官が決めることです。わたしたちは、
適切な基準はコミュニケーションのメカニズム(exec、パイプ、rpc、共有アドレス空間での関数呼び出し、など)と
コミュニケーションのセマンティクス(どのような種の情報が相互交換されるか)の両方によると考えています。
モジュールが同じ実行ファイルに含まれている場合、それらは言うまでもなく一つのプログラムに結合されています。
CD-ROMやそのほかのメディアやDockerイメージは実行ファイルではありません
もしモジュールが共有アドレス空間でいっしょにリンクされて実行されるよう設計されているならば、
それらが一つのプログラムに結合されているのはほぼ間違いないでしょう。
逆に、パイプ、ソケット、コマンドライン引数は通常二つの分離したプログラムの間で
使われるコミュニケーションメカニズムです。ですからそれらがコミュニケーションの
ために使われるときには、モジュールは通常別々のプログラムです。
しかしコミュニケーションのセマンティクスが親密であったり、複雑な内部データ構造を交換したりする場合は、
それらも二つの部分がより大規模なプログラムに結合されていると考える基準となりうるでしょう。 個々のファイルをあつめて、Dockerイメージにするだけでは
単なる集積物だろう。 >>900
えっと、君のアプリはDockerイメージ内のGPLライブラリと動的リンクしてないの?w >>902
GPLライブラリとは動的リンクしてないけど?
動的リンクが許されるLGPLライセンスのものばかりだなぁ
GPLのものとは以下の分離したプログラム間でのコミュニケーションメカニズムを使うから問題ないし
> 逆に、パイプ、ソケット、コマンドライン引数は通常二つの分離した
> プログラムの間で使われるコミュニケーションメカニズムです。
これで結論出たよね? そもそもGPLのものを作ってるのであれば
別にGPLに感染した所で何の問題もないよね。
それから本当の目的は「Dockerコンテナ=アプリ」を否定したかったんじゃなかったの?
Dockerコンテナをアプリと読んでしまったらGPL感染する!とかいう謎理論でさ Dockerコンテナ=アプリが気に食わなかったんだろうけど
結局、DockerイメージにするだけでGPL感染させられるか?という
話にしかなってなくて、そんなもんGPLライセンス読めば単なる集積物でしかない
Dockerイメージ(Linuxの機能のコンテナを実行するのに必要なファイルをまとめたもの)は
集積物として扱われるに決まってるし
最初のDockerコンテナ=アプリと何の関係もないし
どんな結論を目指したくてこの話を持ち出してきたのかわからんわ
┐(´ー`)┌ヤレヤレ >>900
そのDockerイメージについての言及がリンク先に見当たらないんだけど、参考までにどこにあるか教えてほしい >>906
じゃあ君は、Dockerイメージがリンクに相当する言及するところを持ってきてくれ。
言い出しっぺなのだから、それぐらいやってから言うべきことだからな。 >>907
あなたの提示した捏造元のFAQがコンテナを想定して書かれたものではない以上、可能性は排除できないでしょ
モジュール同士の結合が強すぎる場合は通信方式に関わらず単一の大きなプログラムを構成していると見做されるとも書いてあるよね
Dockerは単一の大きなアプリじゃなかったのかな Dockerは単一の大きなアプリだよ?
そしてスタティックリンクしてないし、動的リンクは
LGPLのものだけだからGPLの話と何の関係もないけど
二つの無関係な話をごっちゃにして何が目的なの? おまえらはGNUの精神を誤解してるよ。
お前のものは俺のもの、俺のものは俺のもの。
それがGNUだろ。 GPLは俺のもの、バイナリ渡さなければソース公開の義務もないので
ウェブアプリでとっても便利に使えるもの
GPL感染を免れるためにリンクを行わずに
パイプでやり取りするのもよく使うテクニック 秋元はAKBがオープンソースとか言ってたのに、AKBは全然GNUじゃないんだよな。
握手券をCDと偽って売りつけるのがオープンソースっぽいと言われれば、確かにそんな感じもするが。 >>911
GPL感染を防ぐのにパイプでなんか渡す必要ないよ。アプリとして独立していればいいだけ。 >>913
アプリじゃなくてプログラムな。↓こうかいてあるだろ
https://www.gnu.org/licenses/gpl-faq.ja.html#MereAggregation
> しかし多くの場合、GPLの及ぶソフトウェアをプロプライエタリ・システムと一緒に
> 配布することは可能です。これを妥当な形で行うには、自由なプログラムと
> 自由ではないプログラムとがそれぞれ独立を保った形でコミュニケートし、
> それらが事実上単一のプログラムとなってしまうような方法で結合されていないことを確認しなければなりません。
そして「プログラムとして独立」していると見なして良いものの一つが
(GPLのものと)パイプでやり取りするってことだろ あー、言っとくけど、ばれてないだろうと考えての無駄な努力はしなくていい。
「Dockerコンテナ = アプリ」をどうにか崩そうとして
なにかを「アプリ」に結びつけようとしてるのには気づいてるから
バレてる時点でその努力は無駄よ。 GPLに感染したら村ごと焼き払わないと人類滅亡するからな。 もうボケナスと腐れIBMのお陰で滅亡し掛かってるじゃん>人類 焼き払え!
どうした!それでも世界で最も邪悪な一族の末裔か! Docker周りを調べてからWebサービス作ってみようかと思ってたけど後回しにする
小規模だし最初サービス作ってからでも遅くない気がしてきた ても開発環境だけでも幸せになれるかなぁ
まぁ後にしよう いっちょまえに開発開発いわないでWebページ制作といえ
それしかやってないんだからお前らわ いやWebサイトなんか外部委託が普通だろ
自社でWebサービスやってる会社ですら、Webサイト制作などという底辺仕事を自社エンジニアにやらせるのは損失だから外部委託してたりするぞ ん? お前の会社はエンジニアしかいない小さい会社なの? 500人くらいの会社だけど、コアでない業務を外部委託するのなんて普通だろ?
前にいた1000人くらいのSIerも当然外部委託だったよ ほーら言ってることが変わったw
Webサイトなんか外部委託が普通だろ
↓
コアでない業務を外部委託するのなんて普通だろ?
> それしかやってないんだからお前らわ
それしかやってないというのなら、それがコア業務ってことだよねw
矛盾している >>929
そりゃWeb制作がコア業務の会社もあるだろう
で、Web制作を主業とする大企業ってどこ? Web制作を主業とする大企業が今の話とどうつながるの? webサイトとwebサービスを一緒くたにしてると底辺と思われても仕方ないぞ。
webサイトにしても外注ですますって事は諸々の技術が賄えないってことだからwebサイト職人は高年収なんだなこれが。
ちなみにどこにでも底辺がある業界なのでブラックで雇われてるタイプ打ちの事は知らん。 Web制作業界はゴミみたいな単価の案件を奪い合う地獄絵図やぞ
典型的なSIerのブラックなんかとは次元が違う あなたが落としたのは、
キンノロープ ですか?それとも
キノロープですか? >>937
コレってRH系ならyumで入れられんだな >>937
いきなりKubernetesにも対応してるのか
さようならDocker
このスレもこれで終わりだな >>940
違う
cri-oから分離したプロジェクト じゃあCoreOSチームはよくて合流悪くて放逐か
浮かばれねえな Dockerは売り時を逃したな
もう二束三文でMSに買収されてWindowsのコンポーネントになるしかない 買えるならAWSでもGoogleでもMSでもIBMでもどこでも買ってたでしょ
今となっては地獄の値下がりチキンレース不可避 コンテナはdocker以外にも沢山あるからな
docker社の価値のメインはdockerよりdocker hubだろう >>945
MSは自社鯖製品にドッカー組み込んでるみたいだから買収するとしたら合理的かもだな
ホストwinなら他社と違ってかならずこの手のグルーコードが必要になるし デーモンを使わずにコンテナやポッドを実行可能:
Docker互換のオープンソースコンテナエンジン「Podman 1.0.0」が公開
http://www.atmarkit.co.jp/ait/articles/1901/25/news055.html
podmanってrktとはどう違うの? >>948
どっかのオタクが気紛れにつくったものなんてビジネスでは使い物になりません
その点、RedHat(IBM)ならエンタープライズクォリティの長期的なサポートが期待できます >>949
自分の責任では調査も満足にできず、
ベンダサポートが無いとダメなんでしょうね。 >>948
>>937と同じモノだぬ
つかrktはKubernetes1.10でDeprecatedらしんで(ry >>937
rootなしで、privilleged できるのか? >>950
自己責任で済む業態ならいいが、不具合起こしたときに客に損害賠償請求される仕事もあるんやで
ベンダーサポートを利用するのは、自分で調べればいいとかそういう問題ではなくてリスク移転が目的 >>954
それはありますね。
ただ、ベンダを最初から持ち出す輩は、
ソースを調べようともせず、丸投げしているのがほとんどだとおもわれ。 >>955
スレチだが、ベンダーに投げれば済むことをアホみたいに時間かけて自分で調査することが許されるのは相当恵まれた環境だと思うぞ
客に工数で金貰ってる仕事ならそんなの夢物語 >>954
ストレージでハマったさくらのクラウドはベンダにリスク移転できたか? 費用って面ならあとから損害賠償請求すればいいだけでしょ? すべてasisで提供されているのに損害賠償請求できるの?
んで実際ソレやったのか? あとリスクって何も損害賠償だけじゃないぞ?
深刻な不具合が発生したときに自分で調査する羽目になった場合の所要工数もリスクだ
それをベンダーに丸投げできるならそれも正真正銘リスク移転だよ >>960
結局損害賠償請求はできないってコトじゃん
ダメな時はダメ
そもリスク移転はできないとw
上っ面ダケのカッコつけマンばっかだなココwww オマエもパッチ当ててwinが腐ったトキはブツブツ言いながらOS再インスコしてんだろ?w
毎回MSに損害賠償請求してんのか?そも出来んのか?
リスク転移はできない実例だらけじゃねえかw サポートなんて問い合わせ先があるってだけ。責任転嫁なんてできるわけないんじゃん。
自分で調べられるんならいらないよ。 MSのサポートはすごいよな。
客「XXすると、こういう不具合が起きちゃうんだけど?」
MS「そういうことはしないでください。別の方法で実現してください。」
ごめん。元組み込み屋の愚痴でした。 俺 バグがあるんだけど
MS 再現プログラム出してください
俺 はいこれ
MS お問い合わせの製品バージョンはサポート終了です
俺 再現プログラムは最新バージョンで再現するんだけど で最後の「俺」の発言に対する返答はどうなったんだよ 最新版で出してくれとか、弊社側では再現しませんでしたと切られるのがオチでね >>967
戴爾も笑えるぞ
viivロゴ貼ってるならHDDがNCQ対応じゃねえとダメじゃねえの?という質問に調査中のまま逃げ切りw >>970
再現しないとしたら誰がどうやって対応するの
「再現しませんでした」は「こっちとは無関係なお前独自の環境が原因なので何とかできるのはお前だけだ、俺に聞いてどうする?」を優しく言ってるだけ >>969
最新版でも再現することをMSも確認した
そして最新版の修正もなく打ち切られた そらMSのツゴーだろうよw
聞くだけヤボってもんよ セキュアなコンテナランタイム「Kata Container」が、AWSのマイクロVM「Firecracker」をサポート。アプリごとに適切なコンテナランタイムを選ぶ時代へ
https://www.publickey1.jp/blog/19/kata_containerawsvmfirecracker.html kata containerってFirecrackerと同じレイヤーのランタイムだと思ってたけど違うのか 社内にswarmクラスタを組んだのですがvolumeはどのように扱うべきなのでしょうか
node1にappをdeployした場合appはnode1のvolumeをマウントます
ここでなんらかの理由でnode1がクラッシュしnode2でappが再起動した場合node1のvolumeはマウントできないので初期状態でappが起動してしまいます どこかしらの共有ストレージをマウントするようには設定できねえの? あとはどこかしらのオブジェクトストアを指定して初期化するような動作を組み込むとか ドッカーだけでコンテナクラスタ構築するならswarmの方がとっつきやすくね クラスタ構築は楽だと思う
あとcomposeを再利用できる https://www.atmarkit.co.jp/ait/articles/1902/27/news062.html
「サイズ約40MBの単一バイナリ」:
Rancher Labs、エッジ向けKubernetes軽量ディストリビューションOSSプロジェクト「k3s」を開始
Rancher Labsは2019年2月26日(米国時間)、IoTなど、コンピューティングリソースへの制限が厳しい環境で動かすためのKubernetesディストリビューションを開発するオープンソースプロジェクト、「k3s」を開始した。 > 「Dockerを使った単一ノードのKubernetes v1.13.3クラスタは1GBを少し超える程度のメモリを使う。k3sの同一構成では260MBを少し超える程度で、これにはアップストリームのクラスタに含まれないingressコントローラーやサービスロードバランサーが含まれている」
260MBのメモリを積んでるIoT()なの?w IoTってラズベリーパイとか?
512MB〜1GBはあるみたいだから余裕じゃね? なるほどな
最低でもラズπレベルがターゲットなんだな Kubernetesのmanifestの管理ツール「ksonnet」を使ってみた
https://qiita.com/inajob/items/7abe753a7c2c828230f9
これ何?くそねっと? 害人はマイナー言語つかう極東の住民になんか忖度しねえからな >>987
それはmaster/worker混在構成だからでしょ。
workerだけならもっと少ない。 >>939
> さようならDocker
その言葉、何年も前に聞いた気がする。
Dockerの代わりとなる、あれなんだっけ?
消えたのはあっちだったよなぁw >>987
> 「Dockerを使った単一ノードのKubernetes v1.13.3クラスタは1GBを少し超える程度のメモリを使う。
やっとメモリ使用量の問題についての話題が出たなーって感じ。
kubernetesをGCPの4GBぐらいもVMで使って、
おいおい、1/4もメモリ持っていくのかよ。
そこにサーバーいれなきゃいけないんだぞって呆れてた 訂正 kubernetesをGCPの4GBぐらい"の"VMで使って、
正確には3.75GBだっけな? このスレッドは1000を超えました。
新しいスレッドを立ててください。
life time: 526日 0時間 40分 9秒 5ちゃんねるの運営はプレミアム会員の皆さまに支えられています。
運営にご協力お願いいたします。
───────────────────
《プレミアム会員の主な特典》
★ 5ちゃんねる専用ブラウザからの広告除去
★ 5ちゃんねるの過去ログを取得
★ 書き込み規制の緩和
───────────────────
会員登録には個人情報は一切必要ありません。
月300円から匿名でご購入いただけます。
▼ プレミアム会員登録はこちら ▼
https://premium.5ch.net/
▼ 浪人ログインはこちら ▼
https://login.5ch.net/login.php レス数が1000を超えています。これ以上書き込みはできません。