Выпуск cистемы управления контейнерной виртуализацией Docker 18.09

18.11.2018 09:16

Представлен релиз инструментария для управления изолированными Linux-контейнерами Docker 18.09, предоставляющего высокоуровневый API для манипуляции контейнерами на уровне изоляции отдельных приложений. Docker позволяет, не заботясь о формировании начинки контейнера, запускать произвольные процессы в режиме изоляции и затем переносить и клонировать сформированные для данных процессов контейнеры на другие серверы, беря на себя всю работу по созданию, обслуживанию и сопровождению контейнеров. Инструментарий базируется на применении встроенных в ядро Linux штатных механизмов изоляции на основе пространств имён (namespaces) и групп управления (cgroups). Код Docker написан на языке Go и распространяется под лицензией Apache 2.0.

Основные изменения:

Начиная с Docker 18.09 время поддержки выпуска увеличено с 4 до 7 месяцев в связи с модернизацией цикла разработки Docker Community Edition (стабильные релизы теперь формируются не раз в квартал, а раз в полгода, плюс для тестирования введены ночные сборки);
Базовый runtime для управления контейнерами обновлён до выпуска containerd 1.2, в котором стабилизировано использование механизма gRPC для управления контейнерами, обеспечена совместимость с платформой Kubernetes 1.12 и улучшена поддержка универсальных образов для различных архитектур (multi-arch);
Расширены возможность нового сборочного бэкенда (обеспечивает функциональность команды "docker build") BuildKit, построенного с использованием расширяемой модульной архитектуры, поддерживающего распараллеливание процесса разрешения зависимостей в несколько потоков, эффективно использующего кэширование инструкций и результатов импорта/экспорта, жестко не привязанного к формату файлов Dockerfile, автоматически выполняющего операции сборки мусора, поддерживающего вложенный запуск работ и не требующего в процессе работы полномочий пользователя root. По сравнению с прошлым выпуском:
- Переработан код для организации параллельного выполнения работ и изменена модель кэширования, что позволило существенно ускорить сборку. Например, при тестировании Dockerfile проекта moby скорость сборки возросла от 2 до 9.5 раз за счёт одновременного выполнения разных стадий сборки, игнорирования неиспользуемых стадий и файлов, инкрементальной передачи данных между сборками с учётом контекста;
- Добавлена возможность интеграции в Dockerfile "секретов" (secrets) и их безопасной передачи в процессе сборки, без сохранения в результирующих образах и без оседания в сборочном кэше;
- Реализована возможность проброса по SSH сокетов ssh-agent, например, для соединения с приватными репозиториями с использованием существующего соединения через ssh-agent;
- Появилась возможность управления сборочным кэшем, отдельно от образов. Добавлена новая команда "docker builder prune" для очистки кэша и возможность определения правил очистки;
- Представлена новая директива "#syntax", позволяющая подключать расширения для парсинга Dockerfile;
- Добавлена возможность использования BuildKit без включения экспериментального режима.
Объявлена устаревшей поддержка драйверов хранения devicemapper и overlay, прекращена поддержка версий TLS меньше 1.2, удалена поддержка платформ Ubuntu 14.04 и Debian 8 "Jessie";
API обновлён до версии 1.39. Добавлена поддержка удалённого обращения при помощи SSH;
Добавлена новая команда "docker engine" для управления жизненным циклом Docker Engine, запущенном в отдельном привилегированном контейнере на базе containerd;
Обновлены сценарии автодополнения ввода для bash и zsh;
Добавлен новый драйвер ведения логов local, позволяющий хранить лог в локальном файле. В отличие от jsonfilelog новый драйвер не привязан к конкретному формату лога;
Добавлена поддержка применения по умолчанию глобального пула адресов;

На базе Docker Engine 18.09 сформирован выпуск коммерческого продукта Docker Enterprise 2.1, отличающийся поставкой дополнительных плагинов, поддержкой SLA (Service Level Agreement) и средствами для верификации по цифровым подписям. В новой версии добавлены модули для верификации в соответствии с требованиями FIPS 140-2 и реализована настройка, ограничивающая работу только с образами, имеющими корректные цифровые подписи (блокировка в случае обнаружения нарушения целостности контейнера).

исправить +13 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/49628-docker

Ключевые слова: docker, container

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (88)

1.1, Аноним (-), 10:22, 18/11/2018 [ответить] [﹢﹢﹢] [ · · · ]	+/–
#nobigfatdaemon

1.2, Аноним (-), 10:46, 18/11/2018 [ответить] [﹢﹢﹢] [ · · · ]	+3 +/–
> удалена поддержка платформ Ubuntu 14.04 за чтооооо.....

2.24, й (?), 17:19, 18/11/2018 [^] [^^] [^^^] [ответить]	–2 +/–
так оно eol'нется через полгода, как бы намекают, что если хотите самый последний докер -- пора бы переходить на более свежую ос.

3.32, anon123 (?), 21:56, 18/11/2018 [^] [^^] [^^^] [ответить]	+1 +/–
Поддержка Ubuntu LTS начиная с 14.04 продлена до 10 лет.

4.35, анонимм (?), 22:27, 18/11/2018 [^] [^^] [^^^] [ответить]	–5 +/–
> Поддержка Ubuntu LTS начиная с 14.04 продлена до 10 лет. А что, есть официальное заявление?

5.64, Traun (?), 15:13, 19/11/2018 [^] [^^] [^^^] [ответить]	+3 +/–
Прикинь, Вась! Иногда надо читать дальше заголовков. https://www.opennet.me/opennews/art.shtml?num=49615

6.66, SysA (?), 15:24, 19/11/2018 [^] [^^] [^^^] [ответить]	–4 +/–
Читать надо оригиналы! :) https://endoflife.software/operating-systems/linux/ubuntu

6.67, анонимм (?), 15:27, 19/11/2018 [^] [^^] [^^^] [ответить]	–5 +/–
> Прикинь, Вась! Иногда надо читать дальше заголовков. Во-первых, я просил текст из официальных источников, а во-вторых, даже в той новости, на которую ты дал ссылку, ничего не сказано о принятом решении - только размышления на тему. Ну и кто из нас Вася?

6.79, god (?), 19:44, 19/11/2018 [^] [^^] [^^^] [ответить]	–4 +/–
так там как раз таки написано что 14я убунта не в списке - вот лошара

7.81, Виталий (??), 19:49, 19/11/2018 [^] [^^] [^^^] [ответить]	+10 +/–
Видать xpeновый god выдался, неурожайный, раз уже и мозги потекли)) Читаем вместе: "Для Ubuntu 16.04 и 14.04 обновления пока планируется выпускать в течение 5 лет.". Дошло? В течении ЕЩЕ 5 лет от сего момента. Как-бы срок изначально запланированных апдейтов для 14.04 истек в этом году, и его продлили еще на 5 лет. Ну а для 16.04 истечет через 2 года, и его тоже продлили на 5 лет. Твоя понимай?)

8.86, й (?), 20:01, 19/11/2018 [^] [^^] [^^^] [ответить]	–6 +/–
слова ещё там нету сайт убунты про это тоже ничего не знает, у них ровно 5 ле... текст свёрнут, показать

8.88, имя (?), 20:38, 19/11/2018 [^] [^^] [^^^] [ответить]	–4 +/–
Неужели тут так много Виталиев 7 за такой бред ... текст свёрнут, показать

8.97, имя (?), 21:28, 19/11/2018 [^] [^^] [^^^] [ответить]	–3 +/–
От плюсов бред правдивей не становится ... текст свёрнут, показать

6.98, имя (?), 21:36, 19/11/2018 [^] [^^] [^^^] [ответить]	+/–
Иногда нужно учиться ещё и мыслить.

4.47, Аноним (47), 08:15, 19/11/2018 [^] [^^] [^^^] [ответить]	+/–
пока включая только 18.04, да и то на словах

4.48, Аноним (48), 08:41, 19/11/2018 [^] [^^] [^^^] [ответить]	+4 +/–
Это откуда инфа? https://www.ubuntu.com/about/release-cycle - 14.04 только с 2014-2019. Где тут 10 лет?

5.58, нет (??), 13:53, 19/11/2018 [^] [^^] [^^^] [ответить]	–1 +/–
У тебя в ссылке в 18.04 только 5 лет хотя уже объявлено что 10.

6.69, Аноним (48), 16:23, 19/11/2018 [^] [^^] [^^^] [ответить]	+/–
Ссылка же на официальный сайт. Что и следовало ожидать: космонавт звездит, как всегда.

4.63, Попугай Кеша (?), 15:10, 19/11/2018 [^] [^^] [^^^] [ответить]	+/–
У Windows XP для корпорейтов и то поддержка была больше

5.65, Аноним (-), 15:14, 19/11/2018 [^] [^^] [^^^] [ответить]	+1 +/–
Главное обмазаться зондами посильнее, так победим!)

2.31, Gannet (ok), 21:15, 18/11/2018 [^] [^^] [^^^] [ответить]	–3 +/–
Используй systemd-контейнеры, там и 14 покатит. Что мешает? Ах да, господа, вперёд, минусуйте.

2.49, Аноним (49), 10:14, 19/11/2018 [^] [^^] [^^^] [ответить]	–5 +/–
Кому убунта нужна на сервере?.... Есть же CentOS

3.55, Аноним (55), 13:33, 19/11/2018 [^] [^^] [^^^] [ответить]	+2 +/–
CentOS еще не переименовали в IBMOS ?

4.60, Аноним (60), 14:20, 19/11/2018 [^] [^^] [^^^] [ответить]	+/–
пока еще нет. В любом случае, есть ещё OpenSUSE

3.70, Аноним (-), 16:30, 19/11/2018 [^] [^^] [^^^] [ответить]	+/–
Зачем нужна центось, когда есть Ubuntu?

4.80, god (?), 19:46, 19/11/2018 [^] [^^] [^^^] [ответить]	–4 +/–
кому нормальному нужна убунту, когда есть debian

5.82, Нормальный чувак (?), 19:52, 19/11/2018 [^] [^^] [^^^] [ответить]	+2 +/–
Мне нужна убунта. Дебиан оставь себе!

6.94, Аноним (94), 21:05, 19/11/2018 [^] [^^] [^^^] [ответить]	+1 +/–
С учётом поддержки 10 лет для лтс поддерживаю!

2.117, Аноним (117), 09:58, 23/11/2018 [^] [^^] [^^^] [ответить]	+/–
Технология молодая. Стрёмная. Нет сил поддерживать 14.04. И желания у них нет. Не успевают или не способны много и хорошо. Устриц - ел. )

1.3, anonymous (??), 10:50, 18/11/2018 [ответить] [﹢﹢﹢] [ · · · ]	–14 +/–
Пока докер не научится работать с открытым стандартом контейнеров можно закапывать. А вообще давно уже все юзают альтернативу в виде подмана с сыновьями.

2.5, Журналист (?), 10:58, 18/11/2018 [^] [^^] [^^^] [ответить]	+/–
А как у подмана и аналогов с работой под OSX? Есть ли такие же проблемы как у докера при работе с APFS?

3.8, Ъ (?), 12:28, 18/11/2018 [^] [^^] [^^^] [ответить]	+4 +/–
Он о buildah, podman, scopeo имеет смутное представление. Он даже не знает, что до недавнего времени эти утилиты имели недостатки, которые ставили мертвый крест на продакшен серверах. Да и сейчас доля podman на продакшен очень, ооочееннннь ограничена.

4.10, пох (?), 12:40, 18/11/2018 [^] [^^] [^^^] [ответить]	–4 +/–
редхату-то уже об этом рассказали? А то я что-то волнуюсь...

5.11, Ъ (?), 13:00, 18/11/2018 [^] [^^] [^^^] [ответить]	+1 +/–
В 7 до сих пор абсолютное большинство контейнеров находится под крышей Docker. В 8 же будет переломный момент для Docker vs (Buildah, Podman, Scopeo). Вы с этими инструментами знакомы, сами использовали на большом количестве инсталляций или слышал звон, да не знаю, где он? В курсе, что эти инструменты лишь недавно вышли из вечной альфы-беты?

6.14, пох (?), 13:55, 18/11/2018 [^] [^^] [^^^] [ответить]

+5 +/–

понимаете, от того что инвесторы доскера любят большие числа - совершенно не происходит никакой магии, и эта вечная убогая недоделка из состояния вечной пре-альфы не выйдет никогда, даже если ей нарисуют версию не 18 а 180.

а вот то что редхат ее выпилила напрочь из своей восьмерки - не оставив своим пользователям вообще никакого выбора - говорит о том, что им на вас наплевать...ой, зачеркнуто - что они в принципе не видят никакой катастрофы в этой замене и готовы помогать своим клиентам, если вдруг лыжи у тех разъедутся. А вот с доскером - почему-то нет.

Почему бы это? ;-)

7.18, нет (??), 15:12, 18/11/2018 [^] [^^] [^^^] [ответить]	–1 +/–
Потому что редхат это айбиэм и это вечные проприетарщики. Вендор лок это их всё.

8.21, пох (?), 16:15, 18/11/2018 [^] [^^] [^^^] [ответить]	+2 +/–
понял, понял, подман и открытый стандарт контейнеров - это проприетарь и вендорл... текст свёрнут, показать

9.56, нет (??), 13:48, 19/11/2018 [^] [^^] [^^^] [ответить]	–1 +/–
Зачем докеру поддерживать форматы которые даже из альфы толком не вышли лучше по... текст свёрнут, показать

10.68, Аноним (68), 15:31, 19/11/2018 [^] [^^] [^^^] [ответить]	+/–
а чем EULA от redhat была лучше ... текст свёрнут, показать

11.76, username (??), 18:35, 19/11/2018 [^] [^^] [^^^] [ответить]	–1 +/–
Ничем После покупки шляпы можно считать что инициатива открытых контейнеров от... текст свёрнут, показать

12.107, нет (??), 15:25, 20/11/2018 [^] [^^] [^^^] [ответить]	+/–
Просто совещание на эту тему ещё не собрали А так можно считать что одна экосис... текст свёрнут, показать

3.16, Аноним (-), 14:37, 18/11/2018 [^] [^^] [^^^] [ответить]	+/–
Никак. Но контейнеры переносимы между Docker и Podman.

2.37, freehck (ok), 23:52, 18/11/2018 [^] [^^] [^^^] [ответить]	+/–
> Пока докер не научится работать с открытым стандартом контейнеров можно закапывать. > А вообще давно уже все юзают альтернативу в виде подмана с сыновьями. Да. Принимая во внимание масштабную поддержку докера от гугла в виде того же k8s, Ваше утверждение крайне сомнительно.

3.52, Moomintroll (ok), 11:37, 19/11/2018 [^] [^^] [^^^] [ответить]

+/–

> ... масштабную поддержку докера от гугла в виде того же k8s

Вообще-то, кубернетес умеет ещё как минимум rkt и containerd.

С другой стороны, у докера есть Swarm, так что не кубернетесом единым...

4.54, имя (?), 13:15, 19/11/2018 [^] [^^] [^^^] [ответить]	+2 +/–
Сварм не взлетел, так что пока kubernetes rules the world.

4.71, freehck (ok), 16:49, 19/11/2018 [^] [^^] [^^^] [ответить]

+/–

>> ... масштабную поддержку докера от гугла в виде того же k8s
> Вообще-то, кубернетес умеет ещё как минимум rkt и containerd.

Да, вот только много ли Вы видели людей, которые используют k8s не совместно с docker?

> С другой стороны, у докера есть Swarm, так что не кубернетесом единым...

А разве swarm ещё шевелится?

5.95, Аноним (94), 21:10, 19/11/2018 [^] [^^] [^^^] [ответить]	+/–
а разве его не впилили в сам докер?

6.102, freehck (ok), 02:34, 20/11/2018 [^] [^^] [^^^] [ответить]	+/–
> а разве его не впилили в сам докер? Воу. А вот это для меня откровение. Возможно, надо дать ему шанс и посмотреть на него ещё разок.

2.40, Аноним (40), 05:07, 19/11/2018 [^] [^^] [^^^] [ответить]	+/–
Кто эти все? Я например никого не знаю кто бы это юзал.

2.108, пох (?), 15:26, 20/11/2018 [^] [^^] [^^^] [ответить]	+/–
Ты всегда пытаешься казаться умным, но получается наоборот. Предлагаю обратную тактику))

1.9, Аноним (9), 12:36, 18/11/2018 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
> Объявлена устаревшей поддержка драйверов хранения devicemapper и overlay А что сейчас рекомендуется использовать?

2.15, Hellraiser (??), 14:19, 18/11/2018 [^] [^^] [^^^] [ответить]	–1 +/–
> А что сейчас рекомендуется использовать? overlay2

2.19, RNZ (ok), 15:48, 18/11/2018 [^] [^^] [^^^] [ответить]	+/–
zfs или ceph

3.77, Аноним (77), 18:59, 19/11/2018 [^] [^^] [^^^] [ответить]	–1 +/–
Исключительно вместе и под кубер

4.100, пох (?), 21:49, 19/11/2018 [^] [^^] [^^^] [ответить]

+/–

> Исключительно вместе и под кубер

угу, тут ведь данные точно не нужны.

2.115, Аноним (-), 16:35, 21/11/2018 [^] [^^] [^^^] [ответить]	+/–
Рeкомeндую зaнятьcя бoдиbuildингoм, вeсьма oздoрaвливaет (если без фанaтизма и без фaрмы)! ;)

1.13, JavaC (?), 13:52, 18/11/2018 [ответить] [﹢﹢﹢] [ · · · ]	+4 +/–
Интересно, сколько в этой версии сломали старого и добавили новых косяков

1.17, Аноним (17), 15:07, 18/11/2018 [ответить] [﹢﹢﹢] [ · · · ]	+/–
То есть как это "не заботясь о формировании начинки контейнера"? А "docker build" - эта команда что делает? Или докер, в понимании его создателей, окончательно превратился в игрушку для макак, таскающих образы из репозитория?

2.22, пох (?), 16:27, 18/11/2018 [^] [^^] [^^^] [ответить]	+2 +/–
не вырывайте цитаты из контектста - _позволяет_, не заботясь, далее по тексту ... большой текст свёрнут, показать

3.30, Аноним (30), 20:47, 18/11/2018 [^] [^^] [^^^] [ответить]	–2 +/–
> поверх неглядя хапнутого первого попавшегося мусора с докерхаба Как из моих слов следует "хапанье не глядя"? Во-первых, есть официальные образы, за доброкачественность которых ручаются создатели докера. Во-вторых, нет ничего сложного скачать, например, alpine minirootfs и сделать на нём образ с нужным софтом, если не доверяешь контейнерам в докеровском репо.

4.36, пох (?), 22:28, 18/11/2018 [^] [^^] [^^^] [ответить]

+1 +/–

> Во-первых, есть официальные образы, за доброкачественность которых ручаются создатели докера.

мамой клянутся!

5.38, Аноним (38), 00:57, 19/11/2018 [^] [^^] [^^^] [ответить]	+/–
Ваша ирония понятна, но устанавливая ПО этих разработчиков человек, как ни крути, им доверяет. Если же по какой-то причине пользователь докера не доверяем качеству образов (например, образы делают менее квалифицированные сотрудники, нежели те, кто пишут сам код, или образы делают энтузиасты со стороны, а статус официальных они получают без достаточной проверки) - есть вариант "from scratch". > "позволяет", это не единственный возможный функционал, но наиболее востребованный целевой аудиторией Это-то и печалит.

6.46, пох (?), 07:35, 19/11/2018 [^] [^^] [^^^] [ответить]	+5 +/–
а куда ж ты денешься - как известно, буква s в слове Docker означает security ,... большой текст свёрнут, показать

7.101, Аноним (101), 23:05, 19/11/2018 [^] [^^] [^^^] [ответить]

+/–

> У меня вот уже целая коллекция образов, которые...

Ну так ведь это же и доказывает, что о формировании содержимого контейнера надо заботиться самым ответственным образом! Возможность запускать что-то произвольное не заботясь о формировании начинки контейнера - это иллюзия. Можно нарваться на образ с кодом, который в лучшем случае за деньги хостинг-арендатора будет что-нибудь майнить в пользу автора образа, в худшем - воровать номера кредиток.
> что-то там качать из этих вот ваших интернетов и пытаться <...> там что-то покомпилять

Фейспалм.жэпэгэ. Где вы такое находите?

8.103, пох (?), 11:11, 20/11/2018 [^] [^^] [^^^] [ответить]	+/–
и зачем нам тогда вся эта музыка с контейнерами Оно для того только и было при... текст свёрнут, показать

3.72, freehck (ok), 17:08, 19/11/2018 [^] [^^] [^^^] [ответить]	+1 +/–
Нихт, эту проблему докер как раз НЕ решает Поясняю буквально недавно разрабы-в... большой текст свёрнут, показать

4.75, пох (?), 18:21, 19/11/2018 [^] [^^] [^^^] [ответить]	+/–
о, до этой стадии мои подопечные еще не доросли то есть, внезапно, и composer ... большой текст свёрнут, показать

3.111, Аноним (111), 01:52, 21/11/2018 [^] [^^] [^^^] [ответить]	+/–
> FROM scratch (преудивительный, заметьте, синтаксис) и появился-то в 14й, что-ли, только версии - для особых ценителей Никто не мешал сделать tar с нуля и импортировать этот tar в виде image в docker.

4.113, пох (?), 12:36, 21/11/2018 [^] [^^] [^^^] [ответить]

+/–

и очень плохо что никто не мешал (и не мешает по сей день) - потому что при этом не остается никаких следов того, что наимпортили.
В результате и получаются образы с содержимым, мгновенно возникшим из ниоткуда, созданые неведомо кем, причем еще и докерфайл в этом случае не создается, а те параметры, что можно подделать из командной строки, весьма ограничены.

А консистентного метода создания новых образов так и нет - кодошлепам некогда, они новую муру шлепают, и вообще, дадено же вам "from scratch", подумаешь, синтаксис уродлив.

1.20, Аноним (20), 15:56, 18/11/2018 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Возможно говно мамонтовое которое работает на железе перенести в докер и запустить?

2.23, pda (?), 16:39, 18/11/2018 [^] [^^] [^^^] [ответить]	+1 +/–
Смотря какое говно. Контейнер это не виртуалка, он использует ядро хоста. Так что, если старое ядро не нужно, а только старые библиотеки, то вполне. Если нужны старые ядра, то лучше пробовать qemu + kvm + проброс устройств.

2.29, Аноним (29), 20:06, 18/11/2018 [^] [^^] [^^^] [ответить]	+6 +/–
Для этого лучше брать не докер, а systemd-nspawn или lxc: докер нужен для организации не самостоятельных контейнеров, а для наслоения друг на друга стандартных образов с экономией места и издержек при обновлении.

3.51, andy (??), 10:50, 19/11/2018 [^] [^^] [^^^] [ответить]	–2 +/–
> Для этого лучше брать не докер, а systemd-nspawn или lxc: докер нужен > для организации не самостоятельных контейнеров, а для наслоения друг на друга > стандартных образов с экономией места и издержек при обновлении. Экономией чего, простите?

4.116, Аноним (116), 19:06, 21/11/2018 [^] [^^] [^^^] [ответить]	+/–
Нет там никакой экономии со стороны железа (диск, память, проц и т.п.), не волнуйтесь

2.33, Аноним (33), 22:10, 18/11/2018 [^] [^^] [^^^] [ответить]	+/–
Use KVM, Luke!

2.74, Аноним (-), 17:25, 19/11/2018 [^] [^^] [^^^] [ответить]	+/–
Запуская, я разрешаю!

1.34, Аноним (33), 22:18, 18/11/2018 [ответить] [﹢﹢﹢] [ · · · ]	+4 +/–
"время поддержки выпуска увеличено с 4 до 7 месяцев" ОМГ! А у нас в продакшене докер 3х летней давности крутится, т.к. в более поздних версиях "разработчики" что-то безвозвратно сломали.

2.84, Аноним (84), 19:58, 19/11/2018 [^] [^^] [^^^] [ответить]	–2 +/–
Я свалил с продакшона на фриланс, и не жалею! Зарплата поднялась в 4 раза.

1.50, Аноним (50), 10:42, 19/11/2018 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
а что вместо devicemapper? глючный btrfs? overlay2?

2.62, нах (?), 14:37, 19/11/2018 [^] [^^] [^^^] [ответить]	+1 +/–
kvm. Ну или хотя бы lxc, он, вроде ,поддерживает. И physical network attachment, afair, тоже - который из докера выпилен давным-давно, и тоже некоторые плакали-убивались. Если вам понадобился devicemapper - вы явно используете докер не для того, для чего планировали разработчики.

2.93, нах (?), 21:04, 19/11/2018 [^] [^^] [^^^] [ответить]	+2 +/–
А вместо девмаппера пойду-ка в доту погамаю!

1.53, metakeks (?), 12:15, 19/11/2018 [ответить] [﹢﹢﹢] [ · · · ]	–3 +/–
Они наконец исправили дуплище, которое через -v /etc:/test позволяет cat /test/shadow из хостовой системы? или так и кладут на это?

2.57, Анонн (?), 13:51, 19/11/2018 [^] [^^] [^^^] [ответить]	–1 +/–
> Они наконец исправили дуплище, которое через -v /etc:/test позволяет cat /test/shadow из > хостовой системы? или так и кладут на это? Не кладут, а тщательно планирют этим заняться сразу после переименования в dockerS -- без 's' в названии тут никак не обойтись.

2.61, нах (?), 14:34, 19/11/2018 [^] [^^] [^^^] [ответить]

+/–

так и кладут - с пробором, потому что "если ты дал левому пользователю доступ к docker socket'у - ты дал ему рута" (миллионом возможных способов, а не только cat).

В принципе, все в рамках концепции - оно не предназначено для изоляции _пользователей_, тем более - заведомо засланных казачков. Оно предназначено для изоляции процессов - запущенное в контейнере без -v /etc:чтонибудь - до твоего /etc гарантированно не доберется. Другое дело, что оно и тут недоделанное :-(

2.92, нах (?), 21:04, 19/11/2018 [^] [^^] [^^^] [ответить]	–1 +/–
Это опенсорс детка, исходники в руки и вперед.

2.112, Аноним (111), 02:01, 21/11/2018 [^] [^^] [^^^] [ответить]	+1 +/–
> Они наконец исправили Вы же сами пишите mount --bind /etc /test (-v /etc:/test), что вы тут исправлять, простите, хотите? Что бы mount вам запрещал это делать?

2.118, докерфорева (?), 18:24, 23/11/2018 [^] [^^] [^^^] [ответить]	+/–
дурачек

1.109, Аноним (-), 01:11, 21/11/2018 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Докер это сила!

игнорирование участников | лог модерирования

Добавить комментарий

Текст: