2014-10-01 18:51 GMT+02:00 spin@hackerspace.pl:
Guise, czy kontenery Dockera można odpalać na, dajmy na to, konkretnych procach klastra?
LXC się na, wystarczy ustawić kontenerowi cpuset. Czy w Dockerze się da, nie mam pojęcia, ale nie ma nic, co by to uniemożliwiało.
Jak czytam o Dockerze to jest takie trochę "oh this is hardware-level exploitable", więc teraz pytanie - is it much?
Nie, jest to słabe i soft. To nie są maszyny wirtualne i to nie jest bezpieczne z założenia. Te kontenery nie są szczególnie mocno od siebie odseparowane, ich własności zależą od bardzo dziurawego jądra Linuxa. (Nie mówiąc o tym, że współdzielą VFS, a ukrywanie informacji per kontener jest dość nahaczone w namespace.)
Główny plus Dockera to wygoda. Jeśli uda im się przenieść tę wygodę na zestawianie maszyn wirtualnych, z frontcache i deduplikacją pamięci z np. Xen jako hypervisorem, z deduplikacją systemu plików, to będzie fajnie.
R.