Випадки в'язниць FreeBSD або Docker [закрито]


17

Які основні відмінності між в'язницями на FreeBSD і Docker в Linux? Чи є один значно безпечніший чи ефективніший за інших? Сідниці набагато старші за випадки Докера, тому сам код можна вважати більш безпечним. Але в'язниці ніколи не «застукалися», тож, можливо, вони не такі гарні, як випадки Докера? Або це лише тому, що Linux настільки популярніший, ніж FreeBSD?

Відповіді:


24

Я торкнуся деяких аспектів в'язниць FreeBSD та Linux Docker, про те, наскільки вони схожі та чим вони відрізняються.

  • обидва служать одній і тій же цілі: це реалізація легкої віртуалізації, коли ви запускаєте додаток у відокремленому та ізольованому відсіку під тим же ядром, і тут подібність закінчується, і відмінності починаються
  • Docker - це інструмент, який використовується в основному для запуску підготовлених бінарних зображень, які можна отримати з різних публічних або приватних сховищ. Більшість людей використовують його таким чином. Менше людей будують свої власні та завантажують їх у ці сховища.
  • Сідниці FreeBSD більше схожі на LXC в Linux: це метод створення контейнера з нуля. Ви створюєте його, встановлюєте в нього програмне забезпечення, і це майже все - це може трактуватися як FreeBSD всередині FreeBSD. Існує не простий спосіб експортувати цей контейнер як єдине програмне забезпечення, як, наприклад, у Docker. Так майже всі люди, які використовують FreeBSD, au contraire, завжди створюють свій власний шматок FreeBSD всередині контейнера з нуля (тобто з встановленої базової системи), встановлюючи програмне забезпечення з системи FreeBSD Ports або з джерела. Тюрем FreeBSD, таким чином, менш дружні і мають більш високу вартість запуску.
  • так само, як контейнери LXC стійкі, в'язниці FreeBSD також є стійкими. Всі зміни залишаються неушкодженими між черевиками. Як я вже говорив, це лише фрагмент ОС всередині однієї ОС (хоча версії програмного забезпечення для користувачів можуть відрізнятися, поки ABI не підтримується в ядрі FreeBSD). Це означає , що ви не можете здійснювати зміни - вони відбуваються , як тільки вони будуть створені.
  • З усього вищесказаного очевидно, чому контейнери FreeBSD не можуть мати схожий рівень оркестрації, як це робить Docker: немає публікацій портів, томів немає, немає зв’язків чи мета-зв’язків між різними в'язницями. Лише інтерфейси, що мають мережеву ОС, надають вам: мережеві розетки, unix-сокети, загальні точки монтажу.
  • Звичайно, немає обмежень щодо того, хто може спілкуватися з ким у в'язницях FreeBSD, оскільки таких у Docker немає.
  • ви можете запускати натільні зображення докера у FreeBSD, тому що є хоча б часткова підтримка докера під FreeBSD, але, оскільки Linux безкоштовний, я настійно раджу проти цього (і я щиро і дуже люблю FreeBSD), оскільки вони будуть проходити через сумісність з Linux шар (надається модулем ядра FreeBSD), який забезпечує деякі відомі обмеження.

Для отримання додаткової інформації про докер на FreeBSD. Раніше він працював у в'язниці (уявіть собі подвійну ізоляцію :)), це стало можливим як порт головним розробником FreeNAS, оскільки вони хотіли використовувати його в цьому дистрибутиві. Ось одна стаття з них, яка розповідає про це, і стару сторінку вікі для неї . Відтоді вони перестали його підтримувати і, здається, більше не працюють. Більше слідкуйте у наступному коментарі.
Vrakfall

Ось останній на форумі пост, який розповідає про стан Докера у FreeBSD . Реквізити до Фішфрі там за деякою інформацією, яку я тут упустив. Ще можна використовувати докер на FreeBSD, запустивши його у віртуалізованому Linux (bhyve, virtualbox тощо) та використовуючи для нього підключення до клієнтського порту , який досі підтримується та працює. Зрештою, boot2docker спочатку був створений для використання докера таким чином на MacOS.
Vrakfall

І ми знаємо, що MacOS - це (ганебно, кашлю , це мій переконливий біт) порт BSD . Але все це, звичайно, лише для середовища розвитку і жодним чином не може бути використане у виробництві. Це для тих, хто хоче продовжувати працювати над FreeBSD і мати можливість розробляти докерські речі для своєї роботи / хобі / будь-якого іншого.
Vrakfall

О, і я забув сказати, але ви це згадали, старий docker-freebsdпорт справді використовував Linuxulator FreeBSD .
Vrakfall

Не просто я хочу запускати публічні образи. Наприклад, якщо я не хочу витрачати незліченну кількість годин на вивчення безпеки, я переходжу до dockerhub і пишу "загартований": hub.docker.com/search?q=hardened&type=image і запускаю щось звідти. Це значно збільшує продуктивність порівняно зі створенням власного контейнера FreeBSD з нуля, не будучи експертом з питань безпеки. Але якщо у вас є альтернативне подібне швидке рішення, то будь ласка, поділіться! :-)
inf3rno
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.