IA
Size: a a a
2021 January 30
u
Планируется небольшой проектик для госконторы - несколько java-сервисов, pg-базенка, MQ, мониторинг, все как обычно. Ищу способ легко деплоя этого хозяйства, примитивного масштабирования (без автомата) и дохлые сервисы чтобы переподнимались. Но штука в том, что в конторе этой все низя - Docker низя, Kuber низя и пр. Типа не сертифицированное ПО. Можно конечно на Ansible чота навелосипедить... Как обычно поступают в таких ситуациях в 2к21?
Ну и поднимать это всё без докера - ИМХО время и нервы на ветер
IA
Предложи подман, проканает
IA
Не докер и они не знают че это стопудова
M
А тераформ ?
Что за сертификация ? Сертификация open source software ?
Что за сертификация ? Сертификация open source software ?
А еще не знаю, на первой же встрече они такие сразу же "нам докер низя", позже бумажки пришлют, а я пока почву прощупываю
M
Финка? Если да, то закрутите докер под стандарты PCI DSS и скажите им пусть идут курить бамбук
Не, не финка
IA
Когда узнают, будет акт выполненных работ уже подписан
SG
К докеру, кстати, требования по PCI не такие уж драконовские.
убрать межноктейнерное взаимодействие через docker0
запуск от непривилигерованного(вот тут кстати подман может віручить)
отключить повышение привилегий
и настроить cap_drop: all а разрешить тольно нужній минимум
убрать межноктейнерное взаимодействие через docker0
запуск от непривилигерованного(вот тут кстати подман может віручить)
отключить повышение привилегий
и настроить cap_drop: all а разрешить тольно нужній минимум
SG
ну и профиль для apparmor/selinux
SG
а, ну и сокет не держать жопой наружу, конечно же)))
IA
Уверен у них весь штат придумывает эти запреты на винде
IA
У меня есть решение лучше
IA
Предложи им внедрить otkat
IA
Сразу все станет сертифицированным
SG
думаю он там давно внедрен
SG
потому и не сертифицированно)))
M
К докеру, кстати, требования по PCI не такие уж драконовские.
убрать межноктейнерное взаимодействие через docker0
запуск от непривилигерованного(вот тут кстати подман может віручить)
отключить повышение привилегий
и настроить cap_drop: all а разрешить тольно нужній минимум
убрать межноктейнерное взаимодействие через docker0
запуск от непривилигерованного(вот тут кстати подман может віручить)
отключить повышение привилегий
и настроить cap_drop: all а разрешить тольно нужній минимум
Спасибо, попробую протолкнуть эту тему
D
Планируется небольшой проектик для госконторы - несколько java-сервисов, pg-базенка, MQ, мониторинг, все как обычно. Ищу способ легко деплоя этого хозяйства, примитивного масштабирования (без автомата) и дохлые сервисы чтобы переподнимались. Но штука в том, что в конторе этой все низя - Docker низя, Kuber низя и пр. Типа не сертифицированное ПО. Можно конечно на Ansible чота навелосипедить... Как обычно поступают в таких ситуациях в 2к21?
Можно работу сменить
VL
Джельтмены, может есть возможность поделиться новой книжкой по терраформу- инфраструктура на уровне кода [Евгений Брикман]
есть, но в оригинале