у тебя ж птср

Что это

Ух :)

у тебя это после интеграторов

> Просто когда-то давно его совсем не рекомендовалось использовать
Не помню такого

> докер прям не предоставлял каких-то надежных механизмов безопасности
Там давным-давно есть TLS mutual auth

> потом по дефолту работал только через unix сокеты
Какая разница, что за сокет? По unix-сокету докер-демона, если что, тоже HTTP бегает.

> так тоже можно, но тогда локально должен стоять шаблонизатор, который будет генерировать docker-compose.yml
Нахера? Делай все, что тебе нужно, в CI/CD, а дальше просто зови docker-compose -H tcp://hostname... Или просто docker -H tcp://hostname ...

а как же ты без ансибола запустишь докер?

шах и мат.

тебе нужен ансибл

А как без ансибла запустить ансибл?

Ну, это значит, что если у меня есть условная логика, которая мне нужна для сбора данных и передачи их в приложение для запуска, она у меня будет лежать в CI/CD скриптах. А там опять или bash, или самописные  скрипты на каком-то языке, или, кхм, ansible

а ещё это все машинный код. кошмар! опять страдать с регистрами!

хотя и там ансибол

в железе

Боль, она везде

она научилась прятаться в облаках

А я разве утверждал, что где-то за тебя деплоем волшебные гномики заниматься будут? Я говорил про то, что тебе для деплоя в докер необязательно юзать ансибл, который будет ssh-шиться на хосты и тупить по 10 минут на каждом. Потому что  контейнеры довольно легко выкатываются на докер через docker api парой строчек на шелле через вызов docker(1) или docker-compose. А для гурманов можно и десяток строк на на питонячке настрогать через python-docker.

А если ты таки хочешь, чтобы деплоем занимались волшебные гномики, то это нужно в разработчики идти. У них такие гномики есть.

packer такая тула называется. И cloud-init