docker ist ja der hotshit, wird aber evtl auf LXC gegrounded
Included
Ding die in Container/Docker sind:
- Virtualisierung durch Kapselung
- https://en.wikipedia.org/wiki/Linux_namespaces, für die Sicherheit
- SELINUX FTW
- cgroups für die limits und QUOTA
- "Infrastructure as Code" mit Dockerfiles, wo drin steht welche Software ich alles in meinem Container brauche
- Images aus Dockerfiles (muss man dann nicht jedemal sein image bauen)
Methoden
- alles immer wegschmeissen
- dauert halt länger, darum gibt es images
- updates gehen nicht mehr, sondern ich muss wenn ich ein byte css ändern will ALLES neu bauen, darum hat man images das sowas schneller geht. (das man aber auch neu bauen muss;(
-
- ich würde aber gern mein diff sehen, zb in nem rsync, das nur die eine css file raus is
- "Infrastructure as Code" FTW und nicht als Gefühlszustands des Admins.
Alternative
- das gute von oben: Linux_namespaces und SELINUX
- Infrastructure as Code FTW aber auf plainOS
- mehrerer hosts mit unterschiedlichen usern (mit userspace)
- anstatt Dockerfile, wo jeder user alles nachladen kann, hosts mit allem möglichen und sinnvollen, aber sicherem vorinstalliert
- netzwerk und ports: entweder eigene IPs oder suexec