Názory k článku
Pozor na obrazy pro Docker. Třetina z nich obsahuje závažné chyby
-
Martin Šoch (neregistrovaný)
Není se co divit. Od té doby, co jsou programátoři zodpovědní za výrobu virtuálních obrazů šla kvalita produkčních serverů hodně dolů.
Většina z nich totiž nechápe základní UNIXové principy a tedy dělá základní chyby. Velmi běžný jev, který často potkávám, je spouštět z cronu běžným uživatelem editovatelný skript pod uživatelem root. Nebo dělat deploy aplikace uživatelem root (aby přece skript mohl restartovat server!)...
Ono je to logické. Studovat novinky v programovacím jazyce, v knihovnách a ještě do toho sledovat bezpečnostní chyby, to už jeden člověk nezvládne.
-
Tomáš2 (neregistrovaný)
máš něčím podloženou domněnku, že kvalita produkční serverů klesla díky použivání dockeru?
Docker je super věc, jak může programátor bez problémů si pro vývoj rozjet cokoliv a nečekat až mu admini připraví produkční containery.
Však každá firma, kde jsem školil automaticky počítala s tím, že produkční containery musí připravovat admini, stejně jako připravují běžně servery. Pokud doteď se o servery starali ve firmě programátoři, s dockerem se to nezmění a pořád to budou dělat oni, častý to problém velké části projektů.
U dockeru je nutné vždy nepodmínečně si připravit vlastními silami vše od base image a nepoužívat v produkci veřejné containery, nad kterými není kontrola, ukrást někomu přístup na github a poté do jeho containerů propašovat breberky je prostě reálný vektor útoku.
-
Aniž bych chtěl zpochybňovat cokoliv co jsi napsal, zvyšující se popularita CD (Continuous Deployment/Delivery) trochu nabourává tezi o produkčních kontejnerech, resp. o možnosti jednoduchého oddělení vývoje od produkce. Spíš je to o tom hned od začátku vývoje mít v týmu lidi (člověka) co upozorňují na možné problémy a řešit je hned v zárodku přímo v kódu.
Jinak naprosto souhlasím, že Docker je fantastická věc, která dává vývojáři obrovskou flexibilitu bez potřeby trávit hodiny konfigurováním prostředí.
-
Tomáš2 (neregistrovaný)
Jasně CI/CD s tím funguje dobře, jen je potřeba mít dockerfile vně aplikačního repositáře, aby za něj byl zodpovědný někdo jiný než samotný programátor.
Ono na to stejně společnosti příjdou při prvních problémech, ať už se jedná o nekonzistentní prostředí napříč veřejnými containery nebo se jedná o nutnost mít u všech containeru vlastní společnou závislost. Jak jednou padne produkce, protože se z repositáře stáhla nekompatibilní aktualizovaná verze containeru, začnou to řešit i ti největší ignoranti, doufám :).
Je to jako u všeho, ti kteří se chovají jak amatéři a myslí si, že umí vše, budou vždycky dělat chyby a způsobovat nemalé problémy. Docker nepřináší nic, co by bez něho nešlo, jen ruší technickou bariéru, takže s tím najednou pracuje více lidí, aspoň více lidí ale pochopí, co vlastně ten admin dělá :)
-
ee ee (neregistrovaný)
Myslim ze oddelovani odpovednosti neni dobre. Upousti se od toho u kvality, upousti se od toho u ops. Prehazovani pres zed je proste spatne. Tohle je to same, musi se to delat kontinualne a proste ten clen teamu ktery ma nejblize k ops tohle musi resit, treba s doporucenima security teamu nebo podobne.
-
Ondra Satai NekolaZlatý podporovatelDockerfile klidně může zůstat v repu, prostě se posílají změny na review i k operations člověku, ať už je integrovaný v teamu nebo mimo.
ČLÁNKY DO MAILU