Docker Part2

[表示 : 全て最新50 1-99 101- 201- 301- 401- 501- 601- 701- 801- 901- 1001- 2ch.scのread.cgiへ]
Update time : 03/29 04:54 / Filesize : 369 KB / Number-of Response : 1060
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

Docker Part2

1 名前：login:Penguin mailto:sageteoff [2017/09/28(木) 14:00:45.18 ID:/4TtIqGt.net]: LXCを使った軽量仮想環境。
これからの動向が気になるところ。
情報共有しましょう。

www.docker.io/

前スレ
Docker
mao.2ch.net/test/read.cgi/linux/1374861492/
741 名前：login:Penguin mailto:sage [2018/12/07(金) 13:05:33.68 ID:JKnE+2X0.net]: dockerと比べるならVMなんかじゃなくてsnapとかだよ。snapなんかの後継に根こそぎやられる可能性はある。
742 名前：login:Penguin mailto:sage [2018/12/07(金) 13:07:19.36 ID:tqGO7pdw.net]: dockerはアプリ開発者が、自分のアプリのデプロイのために使うもので、
snapとはまったく用途がかぶらない
743 名前：login:Penguin mailto:sage [2018/12/07(金) 13:08:59.77 ID:tqGO7pdw.net]: > intelが仮想化に全力出せばOSを選択する意味はなくなっちゃう。

OS使わないとアプリ動かないやんｗ
744 名前：login:Penguin mailto:sage [2018/12/07(金) 13:10:41.56 ID:tqGO7pdw.net]: どのOSでも使える。ということと、OSを選ぶ必要がないかは話が別だからな
745 名前：login:Penguin mailto:sage [2018/12/07(金) 15:44:32.66 ID:Tm9Vcqu0.net]: >>692
使ってる途中でユーザーの意思に反して勝手にOSにリセットが掛ったり
OSがフリーズして無反応になったのでサポに連絡すると
再起動しときましたー原
746 名前：因不明ですーというウェーイ系awsだと そらOSの起動速度（）は超重要なんだろうなｗｗｗ >>697 >可搬性が高くなって 犬糞はバイナリ互換性ガチ無視だからドッカ～みたいなキワモノに依存せざるを得ないんだろ パッチ当てるたびOS更新するたびにアッチ動かなくなりましたコッチ動かなくなりましたと情弱どもが大騒ぎ >>702 犬糞はドッカーが必要になるぐらいすぐにドコでも動かなくなる可能性が高い不安定なOS環境ってコトだろ コトバを飾るなや []: [ここ壊れてます]
747 名前：login:Penguin mailto:sage [2018/12/07(金) 15:52:05.55 ID:tqGO7pdw.net]: >>703
OSの起動速度が重要なのは、一時的なアクセス数増加に
迅速に対応するためだろ

> 犬糞はバイナリ互換性ガチ無視だからドッカ～みたいなキワモノに依存せざるを得ないんだろ
バイナリ互換性があれば、デプロイが簡単になるという理屈をどうぞ
やっぱりDockerの目的がわかっちゃいねぇｗ

> 犬糞はドッカーが必要になるぐらいすぐにドコでも動かなくなる可能性が高い不安定なOS環境ってコトだろ
Dockerがあれば不安定なOS環境でも安定できるって
それ逆にすごくねｗ

Dockerの凄さをまざまざと見せつけられたｗ
748 名前：login:Penguin mailto:sage [2018/12/07(金) 19:38:05.59 ID:Tm9Vcqu0.net]: >>704
>OSの起動速度が重要なのは、一時的なアクセス数増加に
>迅速に対応するためだろ

awsでも客数の増減でイチイチ鯖をageたり落としたりしてんのかよ
連中のやってんのは課金上げて乞食ユーザーをスポットインスタンスから振り落とすコトだけだろうがｗ

>バイナリ互換性があれば、デプロイが簡単になる
バイナリ互換性がないからデプロイするたびにドッカーが必要になるってコトだろ

>Dockerがあれば不安定なOS環境でも安定できるって
ドッカーによって稼働中のシステム全体がコケるってオチだろｗ
まさにそびえ立つクソの山
749 名前：login:Penguin mailto:sage [2018/12/07(金) 21:48:15.71 ID:JKnE+2X0.net]: 論理展開ができない人間と真面目に議論しても得るものなんかないぞ。さわるなさわるな。
750 名前：login:Penguin mailto:sage [2018/12/07(金) 21:59:50.50 ID:tqGO7pdw.net]: >>706
ホントだなｗ
751 名前：login:Penguin [2018/12/08(土) 12:31:08.24 ID:jLrx7HKQ.net]: What is the runtime performance cost of a Docker container?
https://stackoverflow.com/questions/21889053/what-is-the-runtime-performance-cost-of-a-docker-container

It doesn't work with Docker, K8s right now, but everyone's going nuts anyway for AWS's Firecracker microVMs
https://www.theregister.co.uk/2018/11/27/aws_sets_firecracker/

Firecrackerは今までのVMより速くなったとは言え、ベアメタルの95%を超える程度のCPUパフォーマンス
たかが5%されど5%

コンテナはCPUのオーバーヘッドはほぼ0
セキュリティよりパフォーマンスを優先したい場合や
セキュリティが必要ない開発環境では
今まで通りコンテナが使われるだろう
752 名前：login:Penguin [2018/12/08(土) 12:45:37.18 ID:dieSV16U.net]: FirecrakerはKVMベースで、それぞれのVMにカーネルが必要だが、
先の記事によればエミュレートする周辺機器を4つに限定してオーバーヘッドを削減している

ブロックデバイス
ネットワークインターフェイス
シリアルコンソール
VMを停止するためのボタンとして使うキーボードコントローラー
753 名前：login:Penguin mailto:sage [2018/12/08(土) 13:33:41.63 ID:+Jbcoor3.net]: またVMの話か。何度言っても理解できないようだな

Dockerが解決するのはアプリのデプロイであ
そのためにコンテナという技術を使い、
アプリケーション実行環境を仮想化することで
実現してるんだよ。

VMとDockerコンテナはそれぞれ役目が違うから
組み合わせて使うのがよくあるユースケースだ
Dockerコンテナ（＝アプリケーションコンテナ）の有用性が
明らかになったから、コンテナ専用のマイクロVMが作られたわけだが
このマイクロVMで通常のOSを動かすのは難しいだろうな

Firecrackerで果たしてSolarisが動くかどうか
Linuxしか動かないVMになるだろう
754 名前：login:Penguin mailto:sage [2018/12/08(土) 13:38:22.40 ID:+Jbcoor3.net]: やっぱり想像通りだった。現状ではLinuxしか対応してない。
Linuxは組み込みとかにも対応してるから、最小限そういった
限られたハードウェアでも動く実績があるんだよ

でもSolarisのようなサーバー向けOSは、一定レベルのハードウェアを
前提にしてるから、いろんなところが依存してるんだろうな

https://firecracker-microvm.github.io/

What operating systems are supported by Firecracker?
Firecracker supports Linux host and guest operating systems with kernel versions 4.14 and above.
The long-term support plan is still under discussion. A leading option is
to support Firecracker for the last two Linux stable branch releases.
755 名前：login:Penguin [2018/12/08(土) 14:29:10.10 ID:BjNmMfF8.net]: Solarisとか言うオワコンwwwwww
あんたいつの時代から来たの？
756 名前：login:Penguin mailto:sage [2018/12/08(土) 14:43:53.94 ID:L5TbyMsj.net]: >>706
オマエは論理的なのではなく単に長い物に巻かれるのを良しとしているダケだろうがｗ
757 名前：login:Penguin mailto:sage [2018/12/08(土) 14:55:41.74 ID:rWi9h0wU.net]: >>713
悲しいかな、長いものが何一つ登場していないが、意味わかって使ってるか？
758 名前：login:Penguin mailto:sage [2018/12/08(土) 15:11:44.95 ID:L5TbyMsj.net]: >>714
自分が何をやってるのか(やらされてるのか)すら分かってないんだなｗ
アワレなやっちゃな
759 名前：login:Penguin mailto:sage [2018/12/08(土) 15:12:58.65 ID:+Jbcoor3.net]: >>712
だってUnix系ってSolaris以外オワコンじゃんｗ
760 名前：login:Penguin mailto:sage [2018/12/08(土) 15:23:23.21 ID:L5TbyMsj.net]: 痛ニウム(とhp-ux)は無事死亡
ヨゴレIBMのキモイAIXは確実に客に避けられるのでエサ撒いたうえでRHを買収
バカを見たのは血道上げてRHのバグ潰しやってた不治痛とボラクルかｗ
あと散々販促活動してた五橋研究所ｗｗｗ
761 名前：login:Penguin [2018/12/08(土) 15:27:36.57 ID:BjNmMfF8.net]: Solarisは既にOracleに殺された
もう先はない
762 名前：login:Penguin mailto:sage [2018/12/08(土) 15:32:43.14 ID:L5TbyMsj.net]: hp-uxはCiRCUSであんなに大成功したのに
それをシステムとして売り込んでも
ワールドワイドでの採用実績がほとんどゼロだったというのは逆に凄いと言えば凄い
日本的なITモノって白豚どもの拒否反応を引き出す何かがあるというか
ぶっちゃけどっかコワレてるんだろうな
やってる連中が島国根性だからなのか知らんがｗ
この辺のネット系サービスはチョンコや支那畜も成功例聞かないので
アジア系全体の問題かもだが
763 名前：login:Penguin mailto:sage [2018/12/08(土) 15:35:01.94 ID:L5TbyMsj.net]: ボラクルに頃されたというよりはいわゆるリーマンショックに頃された＞Sun
中の人が言うには突然カネ入ってこなくなったらしいからな
ボラクルは一式揃って案外安かったので拾ったダケと言ってるな
まぁそれでも買ったのだからどうしようが連中の自由ってこった
764 名前：login:Penguin mailto:sage [2018/12/08(土) 15:37:14.59 ID:+Jbcoor3.net]: >>718
知ってる。採用候補になり得る最後のUNIXだった
あとはベンダーロックインされてしまって
抜け出せない所がUNIXを使ってる

わざわざクラウド移行時にUNIXを採用することもないし
そもそも大半のクラウドはIntel互換CPUなので
Solaris以外のUnixが動かないというのもある

結果、マイクロVMもLinuxに対応すれば十分という考えに行き着く
765 名前：login:Penguin mailto:sage [2018/12/08(土) 15:40:19.17 ID:L5TbyMsj.net]: >あとはベンダーロックインされてしまって
>抜け出せない所がUNIXを使ってる

それはLinuxを採用しても同じコト
RHと糞淫にベンダーロックインされてるダケ
それこそまさにawsにベンダーロックインされたがってる�
766 名前：gコロすらあるｗ []: [ここ壊れてます]
767 名前：login:Penguin mailto:sage [2018/12/08(土) 15:43:59.74 ID:L5TbyMsj.net]: 自分ダケはベンダーロックインから逃れられていると思ってる痛いコは居るかな？ｗ

ttp://www.eweek.com/security/linux-kernel-developer-criticizes-intel-for-meltdown-spectre-response

"Intel siloed SUSE, they siloed Red Hat, they siloed Canonical. They never told Oracle, and they wouldn't let us talk to each other."
768 名前：login:Penguin mailto:sage [2018/12/08(土) 15:49:20.78 ID:L5TbyMsj.net]: ググるもPOWER採用でキモイやつら(666)のお仲間だってのはトックにバレちゃってるから
そっこらじゅうユダ公の息のかかったキモイ汚いモノだらけｗ
769 名前：login:Penguin [2018/12/08(土) 15:57:43.92 ID:dieSV16U.net]: Firecrackerってオンプレミスでも無い限り
自分で使う事は無いよな
FargateかLambdaを通して使うスタイル
770 名前：login:Penguin mailto:sage [2018/12/08(土) 16:14:26.42 ID:+Jbcoor3.net]: >>725
使う流れとしては

デプロイをもっと簡単にしたい
1. Dockerコンテナ化する

それを動かすディストリは、コンテナさえ動けばいいよね
2. コンテナ専用の軽量ディストリ採用

VMもコンテナ動けば十分だよね
3. FirecrackerなどのマイクロVM採用

という流れだよ。

Dockerコンテナ化は目的があって行うことだが、
それ以外は、必要ないから減らすという考え
771 名前：login:Penguin mailto:sage [2018/12/08(土) 16:18:36.37 ID:L5TbyMsj.net]: ドッカー野郎がPC使って調子こいてられるのもSunがvboxに投資してたからだろ
docker toolboxなんてまさにまんまそれだ
MySQLもそうだ
イケてないライセンスのvmware(player含む)だと何もできない
翻ってRHはどうだ？win上で動く実用的なx86仮想化の技術なんて何も持たねえだろ
これだけ見てもSunがドンだけ先見て投資してたのかってハナシだよ
自社開発したチップの外販すらできんグズで消費するしか能のないググるとは比較にならない
772 名前：login:Penguin mailto:sage [2018/12/08(土) 16:22:32.04 ID:+Jbcoor3.net]: なんでvbox？ LinuxでDocker使うのに仮想マシンはいらないし、
WindowsとmacOSでは仮想マシン使ってるけど
もうvboxは使ってないくて、両方共OS標準の仮想マシン使ってるし
特にWindowsではvboxはDockerと同居できなくなったんで
もう数年使ってないよ。
773 名前：login:Penguin [2018/12/08(土) 17:01:23.32 ID:ctzZZ9Ht.net]: 口だけのエアプだから知らないんだろう
774 名前：login:Penguin [2018/12/08(土) 17:17:22.07 ID:dieSV16U.net]: Fargateは自動的にVMを確保してくれて
便利だが比較的高い
従来からあるEC2の方が安いが、コンテナを動かすVMは自分で管理する必要がある
ジレンマ
775 名前：login:Penguin mailto:sage [2018/12/08(土) 18:23:26.70 ID:L5TbyMsj.net]: >WindowsではvboxはDockerと同居できなくなったんで
フツーに同居してるけどな
問題なくdocker machineも動いてるし
何かの間違いなのかな
776 名前：login:Penguin mailto:sage [2018/12/08(土) 18:37:17.06 ID:L5TbyMsj.net]: Solaris同梱のkshのバージョンがが古いとのたまい乍ら
サポ切れバージョンの犬糞をドッカープル（）することにはダンマリ
こういう手合いをダブスタ野郎と言うｗ
777 名前：login:Penguin [2018/12/08(土) 18:53:52.19 ID:dieSV16U.net]: Hyper-Vを利用しているとVT-xは利用出来ない
同時に利用はできず、片方だけ使える
そしてVT-xはVirtualBoxに必要

>>732
意味不明
ちゃんと更新すれば良いだけだろ？
778 名前：login:Penguin mailto:sage [2018/12/08(土) 19:01:40.23 ID:PaHNzXQu.net]: もう相手にするなよマジで
779 名前：login:Penguin [2018/12/08(土) 19:14:36.46 ID:dieSV16U.net]: Docker for WindowsはHyper-Vを利用し
Docker ToolboxはVirtualBoxを利用する

さらに、最近ではWindows Subsystem for LinuxでVMなしで動かせるようになったようだ
WSLのcgroupsやiptablesなどのサポートが改善された事による成果だ

https://github.com/Microsoft/WSL/is
780 名前：sues/2291#issuecomment-438388987 []: [ここ壊れてます]
781 名前：login:Penguin mailto:sage [2018/12/08(土) 19:44:38.54 ID:+Jbcoor3.net]: 「pullして使う」っていうのも発想が
アプリ開発者じゃないって感じるよな

dockerはビルドして使うものだからね
そもそもアプリ開発者が、自分で開発したアプリをデプロイするために
アプリと実行環境をイメージとしてまとめるっていうのが主な使い方なんだから

ベースとなるディストリは、更新すりゃいいだけ
それがすぐに簡単にできるようにDockerfileがあって
新しいディストリへの更新は数分程度で終わってしまう

それがVMやコンテナ単体では出来ないことで、Dockerが解決している問題
782 名前：login:Penguin mailto:sage [2018/12/08(土) 19:50:23.58 ID:rWi9h0wU.net]: アプリ開発者のためだけのものではないぞ。念の為に言っておくが。
783 名前：login:Penguin mailto:sage [2018/12/08(土) 19:50:40.18 ID:+Jbcoor3.net]: >>735
WSL凄いよな。パフォーマンスの点でDocker for Windowsを（WSLから）使うけど
その問題が解決するならば、仮想マシンで動かさなくて良くなるからもっと便利になる

具体的には仮想マシンにメモリを割り当てなくて良くなるから、アプリが使用する
必要最小限のメモリだけで良くなる

macOSもそうなってほしいね。macOSはUNIXだけどLinuxではないので
仮想マシンを使わないとDockerが使えない
784 名前：login:Penguin mailto:sage [2018/12/08(土) 19:56:23.54 ID:L5TbyMsj.net]: >>735
>Windows Subsystem for Linux
動作が遅いんだよなソレ
785 名前：login:Penguin [2018/12/08(土) 20:46:45.10 ID:2GxAzxkY.net]: >>739
エアプ乙wwwwwwwww
786 名前：login:Penguin [2018/12/08(土) 21:11:29.00 ID:dieSV16U.net]: WSLはCPU速度はVMと同等かそれ以上に速いが
I/OはNTFSを使う都合上遅い
後一年も経てば解決するかも
787 名前：login:Penguin mailto:sage [2018/12/08(土) 21:14:37.86 ID:rWi9h0wU.net]: >>741
なんで一年なの？もしよかったら。
788 名前：login:Penguin [2018/12/08(土) 21:29:09.06 ID:dieSV16U.net]: >>742
一応問題視はしてるらしいので
https://news.mynavi.jp/article/20180815-676572/

いつまで掛かるかは分からん
1年？2年？3年？
789 名前：login:Penguin mailto:sage [2018/12/09(日) 00:10:57.54 ID:cc85A2e8.net]: cygwinの時も同じ問題があって、それは解決できなかったんだけど、
MSの場合はカーネルやファイルシステムに手を入れることも視野に入れられるからな

これまでWindowsのアップデートのたびにWSLの互換性は上がっていってるので
MSの本気度はかなり高いことがわかってる。例えばこれとか

マイクロソフト、Windows 10にUNIX系OSと似た擬似コンソール実装
https://news.mynavi.jp/article/20180817-679662/

パフォーマンスを上げるためにカーネルに手を入れる可能性も十分あると思うわ
790 名前：login:Penguin mailto:sage [2018/12/09(日) 00:12:49.28 ID:cc85A2e8.net]: > I/OはNTFSを使う都合上遅い
NTFSが遅いんじゃなくて、NTFSでLinuxのファイルシステムに求められる機能
（パーミッションなど）をエミュレートするから遅いんだけどな

NTFSのファイルシステム自体は高速
Windowsから触ってる時、何も遅く無いだろ？
791 名前：login:Penguin mailto:sage [2018/12/09(日) 01:14:22.47 ID:HpkcVb/n.net]: ちょっとドッカ行ってくる！
792 名前：login:Penguin [2018/12/09(日) 02:07:56.20 ID:To7rhTt4.net]: >>738
>>738
Windowsという再起動OSなんて使いたくない。
勝手に通信するし、あんなものをLinuxの代わりなどならない。

どうせ、終コンになる。
Edgeなんて使わなくて良かった。

生のLinux使えばいい。
793 名前：login:Penguin mailto:sage [2018/12/09(日) 10:31:38.95 ID:EY4Hdmdj.net]: 最近のM$のLinuxへの擦り寄り方が気持ち悪い・・
794 名前：login:Penguin [2018/12/09(日) 11:58:40.20 ID:lnGs3c0o.net]: EdgeもChromiumベースになるらしい
もともとユーザー数少ないし、下手に独自のエンジン作られても非互換の部分が増えるだけだし
良いんじゃね？
もっとOSSに擦り寄れよ
795 名前：login:Penguin mailto:sage [2018/12/09(日) 13:16:03.28 ID:y11hLOEC.net]: >>743
ニュースなってたんだ。ありがと。あとはデーモン管理できるようになれば実用段階だね。
796 名前：login:Penguin mailto:sage [2018/12/09(日) 13:28:40.17 ID:THytfEd4.net]: >>748
Windowsはクラウドでの運用に適さないからね
Azure使ってみたらよく分かるけど、MSのAzureチームもWindows使うの苦痛なんだろう
797 名前：login:Penguin mailto:sage [2018/12/09(日) 13:29:50.96 ID:krBcsUKs.net]: >>748
クラウドの客が犬糞使いたがってる影響だな
まぁ色々やむを得ずなんだろ
798 名前：login:Penguin mailto:sage [2018/12/09(日) 22:54:59.88 ID:To7rhTt4.net]: >>751
そもそもライセンスが面倒
799 名前：login:Penguin mailto:sage [2018/12/10(月) 00:04:12.08 ID:SK07uHh5.net]: >>753
だから必然的にクラウドを使うんだよ
AzureもAWSもGCPもWindowsインスタンスが用意されていて
そこにライセンスも使用料も含まれてる

もしかして知らなかった？
オンプレで自前サーバーとかて立ててる
時代のやり方してる所は知らなそうだよね
800 名前：login:Penguin mailto:sage [2018/12/10(月) 00:39:51.48 ID:J1i/Nso2.net]: windowsを使おうと思わないから、インスタンスがあっても知らんよ。。
801 名前：login:Penguin mailto:sage [2018/12/10(月) 01:05:32.56 ID:7TlUMjqb.net]: awsとか使ったことあるならwindows使わなくてもインスタンスあることくらい知ってるだろ
802 名前：login:Penguin mailto:sage [2018/12/10(月) 10:47:43.06 ID:dQ2JA6Qk.net]: クラウド使ってないのがバレた瞬間w
803 名前：login:Penguin mailto:sage [2018/12/10(月) 11:12:08.35 ID:NeKVBZE8.net]: インスタンス料金表とか見たらデカデカと載ってるからね
知らないのはさすがにありえないわ
804 名前：login:Penguin mailto:sage [2018/12/11(火) 00:50:36.92 ID:4E+hOthN.net]: ふとAWSのダッシュボードみてみたら、Linuxなんかよりも先にあるねWindows
805 名前：login:Penguin mailto:sage [2018/12/11(火) 01:41:37.66 ID:fnQebX3c.net]: アイウエオ順だからね
806 名前：login:Penguin mailto:sage [2018/12/11(火) 03:32:26.01 ID:uPmSs8pv.net]: ダッシュボードほとんどつかわねーもん。
807 名前：login:Penguin mailto:sage [2018/12/11(火) 06:39:42.41 ID:TdDwAL/l.net]: そりゃクラウド使ってなきゃ、
「必ず使わないとその他のメニューに行けないダッシュボード」を
使わないことだってあるだろうなぁｗ
808 名前：login:Penguin mailto:sage [2018/12/11(火) 08:35:26.14 ID:ckB4u5dR.net]: えっ、お前マネージメントコンソールやリファレンスを一切見ることなくCLIを使いこなし、
適切なインスタンスタイプ名を一発で引き当てることができないの？w
809 名前：login:Penguin mailto:sage [2018/12/11(火) 11:41:27.35 ID:TdDwAL/l.net]: 何にいくらコストがかかるって
CLIで見れたっけ？
810 名前：login:Penguin mailto:sage [2018/12/11(火) 11:56:58.01 ID:TdDwAL/l.net]: 引き当てるって書いてあるし、ガチャ方式でやるってことか
使ったことがないからネタに走ったってことね
811 名前：login:Penguin [2018/12/11(火) 12:48:42.72 ID:zSz5aCBW.net]: クラウドのインスタンスって、最初からOSが組み込まれているのか？
どんな設定されているかわからないものを使うって不安でない？
最初からiptableが開かれているとかさ？
812 名前：login:Penguin mailto:sage [2018/12/11(火) 12:59:53.39 ID:TdDwAL/l.net]: 根本的なところがずれてるな

自分でOSを組み込んだら、どんな設定になるのかわかるのか？
iptableの状態がどうなってるのか、安心できるのか？
813 名前：login:Penguin mailto:sage [2018/12/11(火) 13:44:58.63 ID:jw9Lxp3n.net]: >>766
そもそもクラウドにiptableの設定なんか必要ない
そういうのはインフラ側の設定で制御するんだよ
オンプレ脳の人間はインフラを「容易には弄れないもの」と考えて何でもサーバー内で完結しようとする
しかしクラウドにおいてはむしろそれは逆で、サーバーよりもインフラの設定の方が柔軟に変更でき、構成管理も極めて容易だ
iptableのような脆弱な仕組みに頼ることなくデザインによってセキュリティ等の要件を担保できる
これがクラウドの強みだ
814 名前：login:Penguin mailto:sage [2018/12/11(火) 13:57:03.24 ID:TdDwAL/l.net]: 説明下手だなｗ

デザインによってセキュリティ等の要件を担保できるとか
意味不明な説明じゃなくて単純に言えばいいだけだろ

クラウドではサーバーの外にあるファイアウォールで制御する
そのファイアウォールは、設定画面やCLIコマンドやAPIから設定できる
815 名前：login:Penguin mailto:sage [2018/12/11(火) 18:55:36.03 ID:vSSmL6HQ.net]: 多層防御やんないの？
816 名前：login:Penguin [2018/12/11(火) 18:57:19.35 ID:RFWXoMiO.net]: >>769
わかりやすい。

でも、手�
817 名前：�ﾆによる設定と違って、 柔軟な設定はできなさそう。 Dockerならフォワードチェインから、 サブチェインに飛ばして、そこでフィルタやパケットの統計をとったり、 あるいは、ポート開放のために、-t nat にフォワードの設定が必要になるだろうけど、 クラウドはそういうのは使わないの？ []: [ここ壊れてます]
818 名前：login:Penguin mailto:sage [2018/12/11(火) 19:01:33.77 ID:TdDwAL/l.net]: > でも、手作業による設定と違って、
> 柔軟な設定はできなさそう。

手作業ってなんだ？どうせコマンドうつだけだろ

> Dockerならフォワードチェインから、
Dockerコンテナ = アプリ

お前、アプリの中に、ファイアウォールの設定入れるのか？
Dockerコンテナは仮想マシンじゃないって言ってるだろ
819 名前：login:Penguin mailto:sage [2018/12/11(火) 19:02:07.57 ID:TdDwAL/l.net]: >>771
> クラウドはそういうのは使わないの？
だからそれらは全てサーバーの外にあるファイアウォールで設定できる
820 名前：login:Penguin mailto:sage [2018/12/11(火) 19:02:50.71 ID:YQlb17UG.net]: 実際はiptableなんかに頼ることなく、ハード込みで売ってるファイヤウォール使ってるってことだろ。
821 名前：login:Penguin mailto:sage [2018/12/11(火) 19:02:59.55 ID:TdDwAL/l.net]: >>770
やりたいならやればいいのでは？
822 名前：login:Penguin mailto:sage [2018/12/11(火) 20:20:08.70 ID:aNKr+Tu5.net]: >>770
お前はリスクマネジメントというものを分かってない
AWSが俺を信じて任せろと言ってるんだからリスクは完全にAWSに転嫁されていて、それで十分なんだよ
もしもAWSの不具合で事故るようなことがあれば、そのときはAWSに損害賠償請求すればよい
823 名前：login:Penguin mailto:sage [2018/12/11(火) 20:39:50.12 ID:TdDwAL/l.net]: >>776への反論は

そんな無責任が通用するわけがないだろう

自前で実装して、不具合で事故るようなことがあれば、損害賠償してやる！と
男らしく言うべきだ。

自前で実装する＝事故る可能性が高いわけだけど、
損害賠償するのが男らしいんだ！

という感じでお願いねｗ
824 名前：login:Penguin [2018/12/11(火) 20:50:55.90 ID:wGD7MWoB.net]: AWSのインフラはCloudFormationかTerraformを使って設定するのが今どき

全てGitリポジトリに入れて管理すれば誰が何を変えたか分からないって事はなくなる

AWSの場合、接続出来るIPやポートの制限はセキュリティグループで行う

手動で変更されてもEvident.ioを使えば自動で検出して修復できる

Evident.ioを使ってセキュリティオートメーションしてみた
https://dev.classmethod.jp/cloud/aws/security-automation-using-evident-io/

Evident.io使わなくても
CloudTrailとSNS、Lambdaを使えば同じことできそうだが
めんどい
825 名前：login:Penguin [2018/12/11(火) 21:01:01.62 ID:hpl/6PSX.net]: connect.uh-oh.jp/

現実の人の繋がりに疲れた人に

宣伝です。
826 名前：login:Penguin mailto:sage [2018/12/12(水) 00:19:12.15 ID:0hXJnkj2.net]: コンテナとJSフロント関係は
進歩早すぎてついていけん...
827 名前：login:Penguin mailto:さげ [2018/12/12(水) 00:40:57.10 ID:JHof8k11.net]: >>772
でも、Dockerコンテナ起動したら、
ポートが開くじゃない？
たとえば、ソースIPアドレスで絞り込んだり、
iptablesが必要だと思うけど？
そういうこともawsセンター側できるの？
828 名前：login:Penguin mailto:sage [2018/12/12(水) 00:43:06.20 ID:Zb7agEVB.net]: > でも、Dockerコンテナ起動したら、
> ポートが開くじゃない？

開かないが？
829 名前：login:Penguin mailto:sage [2018/12/12(水) 00:43:48.96 ID:Zb7agEVB.net]: >>781
例えば、nginxを起動するとポート80番が開く
って話してるのか？

Dockerと関係ない話だよね
830 名前：login:Penguin mailto:sage [2018/12/12(水) 02:56:29.06 ID:JHof8k11.net]: >>772

コンテナはアプリを動作させるための環境であって、
コンテナ＝アプリという式は間違っている。
831 名前：login:Penguin mailto:sage [2018/12/12(水) 02:57:03.71 ID:oUbBeYcM.net]: >>776
まあ大抵にわかのセキュリティエンジニア（笑）が設定ミスってノーガードになるのが事故の原因なんだけどな
オンプレでもFWで守られてるから大丈夫なんて余裕ぶっこいてるサーバーほどよく侵入されてる
832 名前：login:Penguin mailto:sage [2018/12/12(水) ]: [ここ壊れてます]
833 名前：10:49:09.21 ID:Zb7agEVB.net mailto: >>784
コンテナ＝アプリと言ってない
Dockerコンテナ=アプリと言ってる
正確に言うならアプリ相当として考えろってことだが []: [ここ壊れてます]
834 名前：login:Penguin mailto:sage [2018/12/12(水) 10:51:05.96 ID:Zb7agEVB.net]: >>785
なんでデフォルトでポート塞がないの？って話だな

クラウドならサーバー外部にある、ファイアウォール相当のものがデフォルトで塞いでいるから
いくらサーバー側で設定ミスっても接続できない。

意図的にファイアウォールの設定をしない限り接続できないように
安全な状態になっている。
835 名前：login:Penguin mailto:sage [2018/12/12(水) 12:46:39.18 ID:rkj8vXTd.net]: >>785
それはいったんFWの内側のネットワークに侵入されたらノーガードのサーバーに入り放題ってことだろ？
クラウドだとFW相当の設定はサーバー単位だし、その上で仮想ネットワークの出入口に更に強力なFWを設けるのが一般的だ
その上で更にサーバ内でポート閉じる設定するなんて明らかに冗長なだけ
836 名前：login:Penguin [2018/12/12(水) 12:53:29.02 ID:JHof8k11.net]: >>787
デフォで、オールリジェクト？ポリシーはどうなっているの？

awsでもDockerコンテナ使えますか。
使えるなら、Dockerホストと、その外部ファイアウォールの両方でポート開放が必要ということですよね。
いわば、サーバーの先にブロードバンドルータがあるみたいな感じですよね。
837 名前：login:Penguin mailto:sage [2018/12/12(水) 13:33:11.96 ID:Zb7agEVB.net]: >>788
> それはいったんFWの内側のネットワークに侵入されたらノーガードのサーバーに入り放題ってことだろ？
セキュリティ突破できたらやり放題って当たり前だろ
何を言ってるのかわからん。

> クラウドだとFW相当の設定はサーバー単位だし
普通はネットワーク単位だが？

> その上で仮想ネットワークの出入口に更に強力なFWを設けるのが一般的だ
だからそれがデフォルトなのがクライド
838 名前：login:Penguin mailto:sage [2018/12/12(水) 13:34:32.04 ID:Zb7agEVB.net]: >>789
> awsでもDockerコンテナ使えますか。
今の話にDockerコンテナは関係ないから
（パッケージでインストールする）nginxに置き換えるね

> nginxのホストとその外部ファイアウォールの両方でポート開放が必要ということですよね。
> いわば、サーバーの先にブロードバンドルータがあるみたいな感じですよね。

だからなに？
839 名前：login:Penguin mailto:sage [2018/12/12(水) 14:03:28.23 ID:rkj8vXTd.net]: >>790
いやセキュリティグループはサーバー単位だろ
本当にAWS使ってるのか？
840 名前：login:Penguin mailto:sage [2018/12/12(水) 14:18:50.62 ID:LrMZOP1V.net]: >>792
https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/VPC_Security.html

この下の図を見ろ。
インスタンスの外にセキュリティグループが存在している
841 名前：login:Penguin mailto:sage [2018/12/12(水) 14:20:39.26 ID:JHof8k11.net]: >>791
0点

>>789をよく読んで答えなさい

[ 続きを読む ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef