LXCを使った軽量仮想環境。
これからの動向が気になるところ。
情報共有しましょう。
http://www.docker.io/
前スレ
Docker
http://mao.2ch.net/test/read.cgi/linux/1374861492/
Docker Part2©2ch.net
■ このスレッドは過去ログ倉庫に格納されています
2017/09/28(木) 14:00:45.18ID:/4TtIqGt
2018/12/08(土) 13:33:41.63ID:+Jbcoor3
またVMの話か。何度言っても理解できないようだな
Dockerが解決するのはアプリのデプロイであ
そのためにコンテナという技術を使い、
アプリケーション実行環境を仮想化することで
実現してるんだよ。
VMとDockerコンテナはそれぞれ役目が違うから
組み合わせて使うのがよくあるユースケースだ
Dockerコンテナ(=アプリケーションコンテナ)の有用性が
明らかになったから、コンテナ専用のマイクロVMが作られたわけだが
このマイクロVMで通常のOSを動かすのは難しいだろうな
Firecrackerで果たしてSolarisが動くかどうか
Linuxしか動かないVMになるだろう
Dockerが解決するのはアプリのデプロイであ
そのためにコンテナという技術を使い、
アプリケーション実行環境を仮想化することで
実現してるんだよ。
VMとDockerコンテナはそれぞれ役目が違うから
組み合わせて使うのがよくあるユースケースだ
Dockerコンテナ(=アプリケーションコンテナ)の有用性が
明らかになったから、コンテナ専用のマイクロVMが作られたわけだが
このマイクロVMで通常のOSを動かすのは難しいだろうな
Firecrackerで果たしてSolarisが動くかどうか
Linuxしか動かないVMになるだろう
2018/12/08(土) 13:38:22.40ID:+Jbcoor3
やっぱり想像通りだった。現状ではLinuxしか対応してない。
Linuxは組み込みとかにも対応してるから、最小限そういった
限られたハードウェアでも動く実績があるんだよ
でもSolarisのようなサーバー向けOSは、一定レベルのハードウェアを
前提にしてるから、いろんなところが依存してるんだろうな
https://firecracker-microvm.github.io/
What operating systems are supported by Firecracker?
Firecracker supports Linux host and guest operating systems with kernel versions 4.14 and above.
The long-term support plan is still under discussion. A leading option is
to support Firecracker for the last two Linux stable branch releases.
Linuxは組み込みとかにも対応してるから、最小限そういった
限られたハードウェアでも動く実績があるんだよ
でもSolarisのようなサーバー向けOSは、一定レベルのハードウェアを
前提にしてるから、いろんなところが依存してるんだろうな
https://firecracker-microvm.github.io/
What operating systems are supported by Firecracker?
Firecracker supports Linux host and guest operating systems with kernel versions 4.14 and above.
The long-term support plan is still under discussion. A leading option is
to support Firecracker for the last two Linux stable branch releases.
711login:Penguin
2018/12/08(土) 14:29:10.10ID:BjNmMfF8 Solarisとか言うオワコンwwwwww
あんたいつの時代から来たの?
あんたいつの時代から来たの?
2018/12/08(土) 14:43:53.94ID:L5TbyMsj
>>705
オマエは論理的なのではなく単に長い物に巻かれるのを良しとしているダケだろうがw
オマエは論理的なのではなく単に長い物に巻かれるのを良しとしているダケだろうがw
2018/12/08(土) 14:55:41.74ID:rWi9h0wU
>>712
悲しいかな、長いものが何一つ登場していないが、意味わかって使ってるか?
悲しいかな、長いものが何一つ登場していないが、意味わかって使ってるか?
2018/12/08(土) 15:11:44.95ID:L5TbyMsj
2018/12/08(土) 15:12:58.65ID:+Jbcoor3
>>711
だってUnix系ってSolaris以外オワコンじゃんw
だってUnix系ってSolaris以外オワコンじゃんw
2018/12/08(土) 15:23:23.21ID:L5TbyMsj
痛ニウム(とhp-ux)は無事死亡
ヨゴレIBMのキモイAIXは確実に客に避けられるのでエサ撒いたうえでRHを買収
バカを見たのは血道上げてRHのバグ潰しやってた不治痛とボラクルかw
あと散々販促活動してた五橋研究所www
ヨゴレIBMのキモイAIXは確実に客に避けられるのでエサ撒いたうえでRHを買収
バカを見たのは血道上げてRHのバグ潰しやってた不治痛とボラクルかw
あと散々販促活動してた五橋研究所www
717login:Penguin
2018/12/08(土) 15:27:36.57ID:BjNmMfF8 Solarisは既にOracleに殺された
もう先はない
もう先はない
2018/12/08(土) 15:32:43.14ID:L5TbyMsj
hp-uxはCiRCUSであんなに大成功したのに
それをシステムとして売り込んでも
ワールドワイドでの採用実績がほとんどゼロだったというのは逆に凄いと言えば凄い
日本的なITモノって白豚どもの拒否反応を引き出す何かがあるというか
ぶっちゃけどっかコワレてるんだろうな
やってる連中が島国根性だからなのか知らんがw
この辺のネット系サービスはチョンコや支那畜も成功例聞かないので
アジア系全体の問題かもだが
それをシステムとして売り込んでも
ワールドワイドでの採用実績がほとんどゼロだったというのは逆に凄いと言えば凄い
日本的なITモノって白豚どもの拒否反応を引き出す何かがあるというか
ぶっちゃけどっかコワレてるんだろうな
やってる連中が島国根性だからなのか知らんがw
この辺のネット系サービスはチョンコや支那畜も成功例聞かないので
アジア系全体の問題かもだが
2018/12/08(土) 15:35:01.94ID:L5TbyMsj
ボラクルに頃されたというよりはいわゆるリーマンショックに頃された>Sun
中の人が言うには突然カネ入ってこなくなったらしいからな
ボラクルは一式揃って案外安かったので拾ったダケと言ってるな
まぁそれでも買ったのだからどうしようが連中の自由ってこった
中の人が言うには突然カネ入ってこなくなったらしいからな
ボラクルは一式揃って案外安かったので拾ったダケと言ってるな
まぁそれでも買ったのだからどうしようが連中の自由ってこった
2018/12/08(土) 15:37:14.59ID:+Jbcoor3
>>717
知ってる。採用候補になり得る最後のUNIXだった
あとはベンダーロックインされてしまって
抜け出せない所がUNIXを使ってる
わざわざクラウド移行時にUNIXを採用することもないし
そもそも大半のクラウドはIntel互換CPUなので
Solaris以外のUnixが動かないというのもある
結果、マイクロVMもLinuxに対応すれば十分という考えに行き着く
知ってる。採用候補になり得る最後のUNIXだった
あとはベンダーロックインされてしまって
抜け出せない所がUNIXを使ってる
わざわざクラウド移行時にUNIXを採用することもないし
そもそも大半のクラウドはIntel互換CPUなので
Solaris以外のUnixが動かないというのもある
結果、マイクロVMもLinuxに対応すれば十分という考えに行き着く
2018/12/08(土) 15:40:19.17ID:L5TbyMsj
>あとはベンダーロックインされてしまって
>抜け出せない所がUNIXを使ってる
それはLinuxを採用しても同じコト
RHと糞淫にベンダーロックインされてるダケ
それこそまさにawsにベンダーロックインされたがってるトコロすらあるw
>抜け出せない所がUNIXを使ってる
それはLinuxを採用しても同じコト
RHと糞淫にベンダーロックインされてるダケ
それこそまさにawsにベンダーロックインされたがってるトコロすらあるw
2018/12/08(土) 15:43:59.74ID:L5TbyMsj
自分ダケはベンダーロックインから逃れられていると思ってる痛いコは居るかな?w
ttp://www.eweek.com/security/linux-kernel-developer-criticizes-intel-for-meltdown-spectre-response
"Intel siloed SUSE, they siloed Red Hat, they siloed Canonical. They never told Oracle, and they wouldn't let us talk to each other."
ttp://www.eweek.com/security/linux-kernel-developer-criticizes-intel-for-meltdown-spectre-response
"Intel siloed SUSE, they siloed Red Hat, they siloed Canonical. They never told Oracle, and they wouldn't let us talk to each other."
2018/12/08(土) 15:49:20.78ID:L5TbyMsj
ググるもPOWER採用でキモイやつら(666)のお仲間だってのはトックにバレちゃってるから
そっこらじゅうユダ公の息のかかったキモイ汚いモノだらけw
そっこらじゅうユダ公の息のかかったキモイ汚いモノだらけw
724login:Penguin
2018/12/08(土) 15:57:43.92ID:dieSV16U Firecrackerってオンプレミスでも無い限り
自分で使う事は無いよな
FargateかLambdaを通して使うスタイル
自分で使う事は無いよな
FargateかLambdaを通して使うスタイル
2018/12/08(土) 16:14:26.42ID:+Jbcoor3
>>724
使う流れとしては
デプロイをもっと簡単にしたい
1. Dockerコンテナ化する
それを動かすディストリは、コンテナさえ動けばいいよね
2. コンテナ専用の軽量ディストリ採用
VMもコンテナ動けば十分だよね
3. FirecrackerなどのマイクロVM採用
という流れだよ。
Dockerコンテナ化は目的があって行うことだが、
それ以外は、必要ないから減らすという考え
使う流れとしては
デプロイをもっと簡単にしたい
1. Dockerコンテナ化する
それを動かすディストリは、コンテナさえ動けばいいよね
2. コンテナ専用の軽量ディストリ採用
VMもコンテナ動けば十分だよね
3. FirecrackerなどのマイクロVM採用
という流れだよ。
Dockerコンテナ化は目的があって行うことだが、
それ以外は、必要ないから減らすという考え
2018/12/08(土) 16:18:36.37ID:L5TbyMsj
ドッカー野郎がPC使って調子こいてられるのもSunがvboxに投資してたからだろ
docker toolboxなんてまさにまんまそれだ
MySQLもそうだ
イケてないライセンスのvmware(player含む)だと何もできない
翻ってRHはどうだ?win上で動く実用的なx86仮想化の技術なんて何も持たねえだろ
これだけ見てもSunがドンだけ先見て投資してたのかってハナシだよ
自社開発したチップの外販すらできんグズで消費するしか能のないググるとは比較にならない
docker toolboxなんてまさにまんまそれだ
MySQLもそうだ
イケてないライセンスのvmware(player含む)だと何もできない
翻ってRHはどうだ?win上で動く実用的なx86仮想化の技術なんて何も持たねえだろ
これだけ見てもSunがドンだけ先見て投資してたのかってハナシだよ
自社開発したチップの外販すらできんグズで消費するしか能のないググるとは比較にならない
2018/12/08(土) 16:22:32.04ID:+Jbcoor3
なんでvbox? LinuxでDocker使うのに仮想マシンはいらないし、
WindowsとmacOSでは仮想マシン使ってるけど
もうvboxは使ってないくて、両方共OS標準の仮想マシン使ってるし
特にWindowsではvboxはDockerと同居できなくなったんで
もう数年使ってないよ。
WindowsとmacOSでは仮想マシン使ってるけど
もうvboxは使ってないくて、両方共OS標準の仮想マシン使ってるし
特にWindowsではvboxはDockerと同居できなくなったんで
もう数年使ってないよ。
728login:Penguin
2018/12/08(土) 17:01:23.32ID:ctzZZ9Ht 口だけのエアプだから知らないんだろう
729login:Penguin
2018/12/08(土) 17:17:22.07ID:dieSV16U Fargateは自動的にVMを確保してくれて
便利だが比較的高い
従来からあるEC2の方が安いが、コンテナを動かすVMは自分で管理する必要がある
ジレンマ
便利だが比較的高い
従来からあるEC2の方が安いが、コンテナを動かすVMは自分で管理する必要がある
ジレンマ
2018/12/08(土) 18:23:26.70ID:L5TbyMsj
>WindowsではvboxはDockerと同居できなくなったんで
フツーに同居してるけどな
問題なくdocker machineも動いてるし
何かの間違いなのかな
フツーに同居してるけどな
問題なくdocker machineも動いてるし
何かの間違いなのかな
2018/12/08(土) 18:37:17.06ID:L5TbyMsj
Solaris同梱のkshのバージョンがが古いとのたまい乍ら
サポ切れバージョンの犬糞をドッカープル()することにはダンマリ
こういう手合いをダブスタ野郎と言うw
サポ切れバージョンの犬糞をドッカープル()することにはダンマリ
こういう手合いをダブスタ野郎と言うw
732login:Penguin
2018/12/08(土) 18:53:52.19ID:dieSV16U2018/12/08(土) 19:01:40.23ID:PaHNzXQu
もう相手にするなよマジで
734login:Penguin
2018/12/08(土) 19:14:36.46ID:dieSV16U Docker for WindowsはHyper-Vを利用し
Docker ToolboxはVirtualBoxを利用する
さらに、最近ではWindows Subsystem for LinuxでVMなしで動かせるようになったようだ
WSLのcgroupsやiptablesなどのサポートが改善された事による成果だ
https://github.com/Microsoft/WSL/issues/2291#issuecomment-438388987
Docker ToolboxはVirtualBoxを利用する
さらに、最近ではWindows Subsystem for LinuxでVMなしで動かせるようになったようだ
WSLのcgroupsやiptablesなどのサポートが改善された事による成果だ
https://github.com/Microsoft/WSL/issues/2291#issuecomment-438388987
2018/12/08(土) 19:44:38.54ID:+Jbcoor3
「pullして使う」っていうのも発想が
アプリ開発者じゃないって感じるよな
dockerはビルドして使うものだからね
そもそもアプリ開発者が、自分で開発したアプリをデプロイするために
アプリと実行環境をイメージとしてまとめるっていうのが主な使い方なんだから
ベースとなるディストリは、更新すりゃいいだけ
それがすぐに簡単にできるようにDockerfileがあって
新しいディストリへの更新は数分程度で終わってしまう
それがVMやコンテナ単体では出来ないことで、Dockerが解決している問題
アプリ開発者じゃないって感じるよな
dockerはビルドして使うものだからね
そもそもアプリ開発者が、自分で開発したアプリをデプロイするために
アプリと実行環境をイメージとしてまとめるっていうのが主な使い方なんだから
ベースとなるディストリは、更新すりゃいいだけ
それがすぐに簡単にできるようにDockerfileがあって
新しいディストリへの更新は数分程度で終わってしまう
それがVMやコンテナ単体では出来ないことで、Dockerが解決している問題
2018/12/08(土) 19:50:23.58ID:rWi9h0wU
アプリ開発者のためだけのものではないぞ。念の為に言っておくが。
2018/12/08(土) 19:50:40.18ID:+Jbcoor3
>>734
WSL凄いよな。パフォーマンスの点でDocker for Windowsを(WSLから)使うけど
その問題が解決するならば、仮想マシンで動かさなくて良くなるからもっと便利になる
具体的には仮想マシンにメモリを割り当てなくて良くなるから、アプリが使用する
必要最小限のメモリだけで良くなる
macOSもそうなってほしいね。macOSはUNIXだけどLinuxではないので
仮想マシンを使わないとDockerが使えない
WSL凄いよな。パフォーマンスの点でDocker for Windowsを(WSLから)使うけど
その問題が解決するならば、仮想マシンで動かさなくて良くなるからもっと便利になる
具体的には仮想マシンにメモリを割り当てなくて良くなるから、アプリが使用する
必要最小限のメモリだけで良くなる
macOSもそうなってほしいね。macOSはUNIXだけどLinuxではないので
仮想マシンを使わないとDockerが使えない
2018/12/08(土) 19:56:23.54ID:L5TbyMsj
739login:Penguin
2018/12/08(土) 20:46:45.10ID:2GxAzxkY >>738
エアプ乙wwwwwwwww
エアプ乙wwwwwwwww
740login:Penguin
2018/12/08(土) 21:11:29.00ID:dieSV16U WSLはCPU速度はVMと同等かそれ以上に速いが
I/OはNTFSを使う都合上遅い
後一年も経てば解決するかも
I/OはNTFSを使う都合上遅い
後一年も経てば解決するかも
2018/12/08(土) 21:14:37.86ID:rWi9h0wU
>>740
なんで一年なの?もしよかったら。
なんで一年なの?もしよかったら。
742login:Penguin
2018/12/08(土) 21:29:09.06ID:dieSV16U2018/12/09(日) 00:10:57.54ID:cc85A2e8
cygwinの時も同じ問題があって、それは解決できなかったんだけど、
MSの場合はカーネルやファイルシステムに手を入れることも視野に入れられるからな
これまでWindowsのアップデートのたびにWSLの互換性は上がっていってるので
MSの本気度はかなり高いことがわかってる。例えばこれとか
マイクロソフト、Windows 10にUNIX系OSと似た擬似コンソール実装
https://news.mynavi.jp/article/20180817-679662/
パフォーマンスを上げるためにカーネルに手を入れる可能性も十分あると思うわ
MSの場合はカーネルやファイルシステムに手を入れることも視野に入れられるからな
これまでWindowsのアップデートのたびにWSLの互換性は上がっていってるので
MSの本気度はかなり高いことがわかってる。例えばこれとか
マイクロソフト、Windows 10にUNIX系OSと似た擬似コンソール実装
https://news.mynavi.jp/article/20180817-679662/
パフォーマンスを上げるためにカーネルに手を入れる可能性も十分あると思うわ
2018/12/09(日) 00:12:49.28ID:cc85A2e8
> I/OはNTFSを使う都合上遅い
NTFSが遅いんじゃなくて、NTFSでLinuxのファイルシステムに求められる機能
(パーミッションなど)をエミュレートするから遅いんだけどな
NTFSのファイルシステム自体は高速
Windowsから触ってる時、何も遅く無いだろ?
NTFSが遅いんじゃなくて、NTFSでLinuxのファイルシステムに求められる機能
(パーミッションなど)をエミュレートするから遅いんだけどな
NTFSのファイルシステム自体は高速
Windowsから触ってる時、何も遅く無いだろ?
2018/12/09(日) 01:14:22.47ID:HpkcVb/n
ちょっとドッカ行ってくる!
746login:Penguin
2018/12/09(日) 02:07:56.20ID:To7rhTt42018/12/09(日) 10:31:38.95ID:EY4Hdmdj
最近のM$のLinuxへの擦り寄り方が気持ち悪い・・
748login:Penguin
2018/12/09(日) 11:58:40.20ID:lnGs3c0o EdgeもChromiumベースになるらしい
もともとユーザー数少ないし、下手に独自のエンジン作られても非互換の部分が増えるだけだし
良いんじゃね?
もっとOSSに擦り寄れよ
もともとユーザー数少ないし、下手に独自のエンジン作られても非互換の部分が増えるだけだし
良いんじゃね?
もっとOSSに擦り寄れよ
2018/12/09(日) 13:16:03.28ID:y11hLOEC
>>742
ニュースなってたんだ。ありがと。あとはデーモン管理できるようになれば実用段階だね。
ニュースなってたんだ。ありがと。あとはデーモン管理できるようになれば実用段階だね。
2018/12/09(日) 13:28:40.17ID:THytfEd4
2018/12/09(日) 13:29:50.96ID:krBcsUKs
2018/12/09(日) 22:54:59.88ID:To7rhTt4
>>750
そもそもライセンスが面倒
そもそもライセンスが面倒
2018/12/10(月) 00:04:12.08ID:SK07uHh5
>>752
だから必然的にクラウドを使うんだよ
AzureもAWSもGCPもWindowsインスタンスが用意されていて
そこにライセンスも使用料も含まれてる
もしかして知らなかった?
オンプレで自前サーバーとかて立ててる
時代のやり方してる所は知らなそうだよね
だから必然的にクラウドを使うんだよ
AzureもAWSもGCPもWindowsインスタンスが用意されていて
そこにライセンスも使用料も含まれてる
もしかして知らなかった?
オンプレで自前サーバーとかて立ててる
時代のやり方してる所は知らなそうだよね
2018/12/10(月) 00:39:51.48ID:J1i/Nso2
windowsを使おうと思わないから、インスタンスがあっても知らんよ。。
2018/12/10(月) 01:05:32.56ID:7TlUMjqb
awsとか使ったことあるならwindows使わなくてもインスタンスあることくらい知ってるだろ
2018/12/10(月) 10:47:43.06ID:dQ2JA6Qk
クラウド使ってないのがバレた瞬間w
2018/12/10(月) 11:12:08.35ID:NeKVBZE8
インスタンス料金表とか見たらデカデカと載ってるからね
知らないのはさすがにありえないわ
知らないのはさすがにありえないわ
2018/12/11(火) 00:50:36.92ID:4E+hOthN
ふとAWSのダッシュボードみてみたら、Linuxなんかよりも先にあるねWindows
2018/12/11(火) 01:41:37.66ID:fnQebX3c
アイウエオ順だからね
2018/12/11(火) 03:32:26.01ID:uPmSs8pv
ダッシュボードほとんどつかわねーもん。
2018/12/11(火) 06:39:42.41ID:TdDwAL/l
そりゃクラウド使ってなきゃ、
「必ず使わないとその他のメニューに行けないダッシュボード」を
使わないことだってあるだろうなぁw
「必ず使わないとその他のメニューに行けないダッシュボード」を
使わないことだってあるだろうなぁw
2018/12/11(火) 08:35:26.14ID:ckB4u5dR
えっ、お前マネージメントコンソールやリファレンスを一切見ることなくCLIを使いこなし、
適切なインスタンスタイプ名を一発で引き当てることができないの?w
適切なインスタンスタイプ名を一発で引き当てることができないの?w
2018/12/11(火) 11:41:27.35ID:TdDwAL/l
何にいくらコストがかかるって
CLIで見れたっけ?
CLIで見れたっけ?
2018/12/11(火) 11:56:58.01ID:TdDwAL/l
引き当てるって書いてあるし、ガチャ方式でやるってことか
使ったことがないからネタに走ったってことね
使ったことがないからネタに走ったってことね
765login:Penguin
2018/12/11(火) 12:48:42.72ID:zSz5aCBW クラウドのインスタンスって、最初からOSが組み込まれているのか?
どんな設定されているかわからないものを使うって不安でない?
最初からiptableが開かれているとかさ?
どんな設定されているかわからないものを使うって不安でない?
最初からiptableが開かれているとかさ?
2018/12/11(火) 12:59:53.39ID:TdDwAL/l
根本的なところがずれてるな
自分でOSを組み込んだら、どんな設定になるのかわかるのか?
iptableの状態がどうなってるのか、安心できるのか?
自分でOSを組み込んだら、どんな設定になるのかわかるのか?
iptableの状態がどうなってるのか、安心できるのか?
2018/12/11(火) 13:44:58.63ID:jw9Lxp3n
>>765
そもそもクラウドにiptableの設定なんか必要ない
そういうのはインフラ側の設定で制御するんだよ
オンプレ脳の人間はインフラを「容易には弄れないもの」と考えて何でもサーバー内で完結しようとする
しかしクラウドにおいてはむしろそれは逆で、サーバーよりもインフラの設定の方が柔軟に変更でき、構成管理も極めて容易だ
iptableのような脆弱な仕組みに頼ることなくデザインによってセキュリティ等の要件を担保できる
これがクラウドの強みだ
そもそもクラウドにiptableの設定なんか必要ない
そういうのはインフラ側の設定で制御するんだよ
オンプレ脳の人間はインフラを「容易には弄れないもの」と考えて何でもサーバー内で完結しようとする
しかしクラウドにおいてはむしろそれは逆で、サーバーよりもインフラの設定の方が柔軟に変更でき、構成管理も極めて容易だ
iptableのような脆弱な仕組みに頼ることなくデザインによってセキュリティ等の要件を担保できる
これがクラウドの強みだ
2018/12/11(火) 13:57:03.24ID:TdDwAL/l
説明下手だなw
デザインによってセキュリティ等の要件を担保できるとか
意味不明な説明じゃなくて単純に言えばいいだけだろ
クラウドではサーバーの外にあるファイアウォールで制御する
そのファイアウォールは、設定画面やCLIコマンドやAPIから設定できる
デザインによってセキュリティ等の要件を担保できるとか
意味不明な説明じゃなくて単純に言えばいいだけだろ
クラウドではサーバーの外にあるファイアウォールで制御する
そのファイアウォールは、設定画面やCLIコマンドやAPIから設定できる
2018/12/11(火) 18:55:36.03ID:vSSmL6HQ
多層防御やんないの?
770login:Penguin
2018/12/11(火) 18:57:19.35ID:RFWXoMiO >>768
わかりやすい。
でも、手作業による設定と違って、
柔軟な設定はできなさそう。
Dockerならフォワードチェインから、
サブチェインに飛ばして、そこでフィルタやパケットの統計をとったり、
あるいは、ポート開放のために、-t nat にフォワードの設定が必要になるだろうけど、
クラウドはそういうのは使わないの?
わかりやすい。
でも、手作業による設定と違って、
柔軟な設定はできなさそう。
Dockerならフォワードチェインから、
サブチェインに飛ばして、そこでフィルタやパケットの統計をとったり、
あるいは、ポート開放のために、-t nat にフォワードの設定が必要になるだろうけど、
クラウドはそういうのは使わないの?
2018/12/11(火) 19:01:33.77ID:TdDwAL/l
> でも、手作業による設定と違って、
> 柔軟な設定はできなさそう。
手作業ってなんだ? どうせコマンドうつだけだろ
> Dockerならフォワードチェインから、
Dockerコンテナ = アプリ
お前、アプリの中に、ファイアウォールの設定入れるのか?
Dockerコンテナは仮想マシンじゃないって言ってるだろ
> 柔軟な設定はできなさそう。
手作業ってなんだ? どうせコマンドうつだけだろ
> Dockerならフォワードチェインから、
Dockerコンテナ = アプリ
お前、アプリの中に、ファイアウォールの設定入れるのか?
Dockerコンテナは仮想マシンじゃないって言ってるだろ
2018/12/11(火) 19:02:07.57ID:TdDwAL/l
2018/12/11(火) 19:02:50.71ID:YQlb17UG
実際はiptableなんかに頼ることなく、ハード込みで売ってるファイヤウォール使ってるってことだろ。
2018/12/11(火) 19:02:59.55ID:TdDwAL/l
>>769
やりたいならやればいいのでは?
やりたいならやればいいのでは?
2018/12/11(火) 20:20:08.70ID:aNKr+Tu5
>>769
お前はリスクマネジメントというものを分かってない
AWSが俺を信じて任せろと言ってるんだからリスクは完全にAWSに転嫁されていて、それで十分なんだよ
もしもAWSの不具合で事故るようなことがあれば、そのときはAWSに損害賠償請求すればよい
お前はリスクマネジメントというものを分かってない
AWSが俺を信じて任せろと言ってるんだからリスクは完全にAWSに転嫁されていて、それで十分なんだよ
もしもAWSの不具合で事故るようなことがあれば、そのときはAWSに損害賠償請求すればよい
2018/12/11(火) 20:39:50.12ID:TdDwAL/l
>>775への反論は
そんな無責任が通用するわけがないだろう
自前で実装して、不具合で事故るようなことがあれば、損害賠償してやる!と
男らしく言うべきだ。
自前で実装する=事故る可能性が高い わけだけど、
損害賠償するのが男らしいんだ!
という感じでお願いねw
そんな無責任が通用するわけがないだろう
自前で実装して、不具合で事故るようなことがあれば、損害賠償してやる!と
男らしく言うべきだ。
自前で実装する=事故る可能性が高い わけだけど、
損害賠償するのが男らしいんだ!
という感じでお願いねw
777login:Penguin
2018/12/11(火) 20:50:55.90ID:wGD7MWoB AWSのインフラはCloudFormationかTerraformを使って設定するのが今どき
全てGitリポジトリに入れて管理すれば誰が何を変えたか分からないって事はなくなる
AWSの場合、接続出来るIPやポートの制限はセキュリティグループで行う
手動で変更されてもEvident.ioを使えば自動で検出して修復できる
Evident.ioを使ってセキュリティオートメーションしてみた
https://dev.classmethod.jp/cloud/aws/security-automation-using-evident-io/
Evident.io使わなくても
CloudTrailとSNS、Lambdaを使えば同じことできそうだが
めんどい
全てGitリポジトリに入れて管理すれば誰が何を変えたか分からないって事はなくなる
AWSの場合、接続出来るIPやポートの制限はセキュリティグループで行う
手動で変更されてもEvident.ioを使えば自動で検出して修復できる
Evident.ioを使ってセキュリティオートメーションしてみた
https://dev.classmethod.jp/cloud/aws/security-automation-using-evident-io/
Evident.io使わなくても
CloudTrailとSNS、Lambdaを使えば同じことできそうだが
めんどい
778login:Penguin
2018/12/11(火) 21:01:01.62ID:hpl/6PSX2018/12/12(水) 00:19:12.15ID:0hXJnkj2
コンテナとJSフロント関係は
進歩早すぎてついていけん...
進歩早すぎてついていけん...
2018/12/12(水) 00:40:57.10ID:JHof8k11
>>771
でも、Dockerコンテナ起動したら、
ポートが開くじゃない?
たとえば、ソースIPアドレスで絞り込んだり、
iptablesが必要だと思うけど?
そういうこともawsセンター側できるの?
でも、Dockerコンテナ起動したら、
ポートが開くじゃない?
たとえば、ソースIPアドレスで絞り込んだり、
iptablesが必要だと思うけど?
そういうこともawsセンター側できるの?
2018/12/12(水) 00:43:06.20ID:Zb7agEVB
> でも、Dockerコンテナ起動したら、
> ポートが開くじゃない?
開かないが?
> ポートが開くじゃない?
開かないが?
2018/12/12(水) 00:43:48.96ID:Zb7agEVB
2018/12/12(水) 02:56:29.06ID:JHof8k11
2018/12/12(水) 02:57:03.71ID:oUbBeYcM
>>775
まあ大抵にわかのセキュリティエンジニア(笑)が設定ミスってノーガードになるのが事故の原因なんだけどな
オンプレでもFWで守られてるから大丈夫なんて余裕ぶっこいてるサーバーほどよく侵入されてる
まあ大抵にわかのセキュリティエンジニア(笑)が設定ミスってノーガードになるのが事故の原因なんだけどな
オンプレでもFWで守られてるから大丈夫なんて余裕ぶっこいてるサーバーほどよく侵入されてる
2018/12/12(水) 10:49:09.21ID:Zb7agEVB
2018/12/12(水) 10:51:05.96ID:Zb7agEVB
>>784
なんでデフォルトでポート塞がないの?って話だな
クラウドならサーバー外部にある、ファイアウォール相当のものがデフォルトで塞いでいるから
いくらサーバー側で設定ミスっても接続できない。
意図的にファイアウォールの設定をしない限り接続できないように
安全な状態になっている。
なんでデフォルトでポート塞がないの?って話だな
クラウドならサーバー外部にある、ファイアウォール相当のものがデフォルトで塞いでいるから
いくらサーバー側で設定ミスっても接続できない。
意図的にファイアウォールの設定をしない限り接続できないように
安全な状態になっている。
2018/12/12(水) 12:46:39.18ID:rkj8vXTd
>>784
それはいったんFWの内側のネットワークに侵入されたらノーガードのサーバーに入り放題ってことだろ?
クラウドだとFW相当の設定はサーバー単位だし、その上で仮想ネットワークの出入口に更に強力なFWを設けるのが一般的だ
その上で更にサーバ内でポート閉じる設定するなんて明らかに冗長なだけ
それはいったんFWの内側のネットワークに侵入されたらノーガードのサーバーに入り放題ってことだろ?
クラウドだとFW相当の設定はサーバー単位だし、その上で仮想ネットワークの出入口に更に強力なFWを設けるのが一般的だ
その上で更にサーバ内でポート閉じる設定するなんて明らかに冗長なだけ
788login:Penguin
2018/12/12(水) 12:53:29.02ID:JHof8k11 >>786
デフォで、オールリジェクト?ポリシーはどうなっているの?
awsでもDockerコンテナ使えますか。
使えるなら、Dockerホストと、その外部ファイアウォールの両方でポート開放が必要ということですよね。
いわば、サーバーの先にブロードバンドルータがあるみたいな感じですよね。
デフォで、オールリジェクト?ポリシーはどうなっているの?
awsでもDockerコンテナ使えますか。
使えるなら、Dockerホストと、その外部ファイアウォールの両方でポート開放が必要ということですよね。
いわば、サーバーの先にブロードバンドルータがあるみたいな感じですよね。
2018/12/12(水) 13:33:11.96ID:Zb7agEVB
>>787
> それはいったんFWの内側のネットワークに侵入されたらノーガードのサーバーに入り放題ってことだろ?
セキュリティ突破できたらやり放題って当たり前だろ
何を言ってるのかわからん。
> クラウドだとFW相当の設定はサーバー単位だし
普通はネットワーク単位だが?
> その上で仮想ネットワークの出入口に更に強力なFWを設けるのが一般的だ
だからそれがデフォルトなのがクライド
> それはいったんFWの内側のネットワークに侵入されたらノーガードのサーバーに入り放題ってことだろ?
セキュリティ突破できたらやり放題って当たり前だろ
何を言ってるのかわからん。
> クラウドだとFW相当の設定はサーバー単位だし
普通はネットワーク単位だが?
> その上で仮想ネットワークの出入口に更に強力なFWを設けるのが一般的だ
だからそれがデフォルトなのがクライド
2018/12/12(水) 13:34:32.04ID:Zb7agEVB
>>788
> awsでもDockerコンテナ使えますか。
今の話にDockerコンテナは関係ないから
(パッケージでインストールする)nginxに置き換えるね
> nginxのホストとその外部ファイアウォールの両方でポート開放が必要ということですよね。
> いわば、サーバーの先にブロードバンドルータがあるみたいな感じですよね。
だからなに?
> awsでもDockerコンテナ使えますか。
今の話にDockerコンテナは関係ないから
(パッケージでインストールする)nginxに置き換えるね
> nginxのホストとその外部ファイアウォールの両方でポート開放が必要ということですよね。
> いわば、サーバーの先にブロードバンドルータがあるみたいな感じですよね。
だからなに?
2018/12/12(水) 14:03:28.23ID:rkj8vXTd
2018/12/12(水) 14:18:50.62ID:LrMZOP1V
>>791
https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/VPC_Security.html
この下の図を見ろ。
インスタンスの外にセキュリティグループが存在している
https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/VPC_Security.html
この下の図を見ろ。
インスタンスの外にセキュリティグループが存在している
2018/12/12(水) 14:20:39.26ID:JHof8k11
2018/12/12(水) 14:34:36.22ID:LrMZOP1V
>>793
反論できないならレスすんなよw
反論できないならレスすんなよw
2018/12/12(水) 14:53:24.26ID:rkj8vXTd
>>792がAWSを使ったことがないことはわかった
796login:Penguin
2018/12/12(水) 15:21:10.76ID:kA2tO+1p セキュリティグループは作ってからEC2インスタンスやロードバランサー、データベースにくっつける
IPアドレスの範囲に加え、
特定のセキュリティグループを持ったインスタンスの接続のみを許可する使い方も出来て便利
IPアドレスの範囲に加え、
特定のセキュリティグループを持ったインスタンスの接続のみを許可する使い方も出来て便利
2018/12/12(水) 15:21:58.33ID:afrcY71M
AWS使ったことないんだけど、ポートを塞ぐだけでセキュリティ云々言うのは間違ってるよ。
webなんかで言われるセキュリティホールは80とか443を使って侵入するから通信の中身やURLを解析して弾かなきゃいけない。
こんなのは自前で実装するのが普通。
webなんかで言われるセキュリティホールは80とか443を使って侵入するから通信の中身やURLを解析して弾かなきゃいけない。
こんなのは自前で実装するのが普通。
2018/12/12(水) 15:24:04.80ID:LrMZOP1V
2018/12/12(水) 15:25:51.40ID:LrMZOP1V
オンプレの場合、一旦納品したサーバーは
脆弱性があろうともバージョンアップしないんだろう
だから脆弱性があるサーバーを守るために
ファイアウォールを使う。
馬鹿としか言いようがないw
脆弱性があろうともバージョンアップしないんだろう
だから脆弱性があるサーバーを守るために
ファイアウォールを使う。
馬鹿としか言いようがないw
800login:Penguin
2018/12/12(水) 15:26:01.33ID:kA2tO+1p 自分のアプリのバグで大穴を開けなきゃ普通は大丈夫
2018/12/12(水) 15:32:49.47ID:afrcY71M
>>798
jsが仕込まれたURLじゃないかとか色々
jsが仕込まれたURLじゃないかとか色々
802login:Penguin
2018/12/12(水) 15:39:58.21ID:JHof8k11 >>794
反論を煽るようなレスをわざわざするなよ
反論を煽るようなレスをわざわざするなよ
803login:Penguin
2018/12/12(水) 15:41:21.13ID:JHof8k11 >>798
ストリングクエリとか
ストリングクエリとか
2018/12/12(水) 15:43:22.45ID:LrMZOP1V
805login:Penguin
2018/12/12(水) 15:44:35.32ID:JHof8k11 >>804
最初からわかっていたら苦労しない。
最初からわかっていたら苦労しない。
2018/12/12(水) 15:50:02.78ID:LrMZOP1V
2018/12/12(水) 15:50:03.76ID:afrcY71M
可能性を言えばきりがないが、URL依存の攻撃なんか腐るほどパターンがあるから限られたURLだけ通してあげて、
それ以外は404とかに出すに限る。404も別サーバーでいい。
bashショックもURLだったろ。あれはパッチをできるだけ速く当てるしかないが。
それ以外は404とかに出すに限る。404も別サーバーでいい。
bashショックもURLだったろ。あれはパッチをできるだけ速く当てるしかないが。
2018/12/12(水) 15:51:25.13ID:afrcY71M
テストとレビューで事足りるならセキュリティは苦労しない。
■ このスレッドは過去ログ倉庫に格納されています
ニュース
- 【サッカーW杯】1次リーグ敗退に韓国大統領が異例の失望表明…「無能な指揮官選べば結果は火を見るより明らか」★3 [王子★]
- 「愛子さま皇位継承あり得ず」 中曽根弘文氏、結婚する人ない ★2 [ぐれ★]
- 【岐阜】ペダル踏み間違え…ドラッグストアに車が突っ込み49歳女性が店の前で巻き込まれ死亡 56歳公務員の女性が運転 可児市 [ぐれ★]
- 【五輪】IOC「私たちは再び日本で冬季五輪を行いたいと考えている」 [ニーニーφ★]
- 女優・松本まりか「壊されたくない物があるなら、罰で強制でなく…大切に思ってもらえるように行動すべき」作家の国旗に関する投稿に ★2 [少考さん★]
- 長友が本気のブラジル撃破を約束「忘れられない一日にさせます」報道陣には「(帰りの)飛行機とっているんだったら全部キャンセルで」 [ゴアマガラ★]
- 🏡立てろカス共😡
- 人生において本当に価値のあるものって何? [904880432]
- 【邦楽の王】「Adoのファン」 👈どこ行ったの!????? [868284817]
- 【訃報】病院が次々閉鎖「もう回らない」診療報酬アップも「焼け石に水」 物価高騰や人件費の上昇により [943688309]
- ネットのマナーが悪い国ランキング、あの国が1位wwwwwwwwxw
- 【高市悲報】芸能人「統一教会に救われた人も居る」これなんだったの・・・😰 [616817505]