Kirjoittaja Aihe: Docker vs Bubblewrap - Sovellusten eristäminen  (Luettu 3681 kertaa)

Sami Lehtinen

  • Käyttäjä
  • Viestejä: 754
  • Techie
    • Profiili
    • Sami Lehtinen
Onko täällä ketään joka on käyttänyt dockeria ja bubblewrappia rinnakkain?

Paljon olen testejä tehnyt, ja tullut siihen tulokseen, että bubblewrap on loistava dockerin vaihtoehto, silloin kun haetaan paljon kevyempää ratkaisua ja sovelluseritystä. Tietysti seuraava kysymys onkin, että onko bubblewrap ollenkaan tarpeen? Pääasiallinen hyöty bubblewrapin käytöstä taitaa olla se, että voi rajata helposti pääsyä tiedostojärjestelmään, niin, että nekään tiedot jotka normaalisti on luettavissa, eivät ole luettavissa jos prosessi korkataan.

Jos on kokemuksia / ajatuksia, niin otetaan mielelään vastaan. Jotkut softat olen laittanut testikäyttöön molemmila menetelmillä, eikä niillä ole mielestäni käytännössä sen isompaa eroa. Riippunee varmaan myös kokonaisuudesta kumpi kannattaa valita, ja kuinka iso sietokyky on mm. dockerin tuomalle ylimääräiselle kuormalle.

Ai mikä Bubblewrap - Low-level unprivileged sandboxing tool used by Flatpak and similar projects.

AimoE

  • Käyttäjä
  • Viestejä: 2782
    • Profiili
Vs: Docker vs Bubblewrap - Sovellusten eristäminen
« Vastaus #1 : 28.05.23 - klo:11.03 »
<offtopic>
Luin otsikon ensin huolimattomasti ja ajattelin "bubbleware"? Sitten avasin tämän ja nyt jotenkin tuntuu siltä, ettei ehkä ollutkaan hullumpi ajatus.
</offtopic>

teele

  • Käyttäjä
  • Viestejä: 850
    • Profiili
Vs: Docker vs Bubblewrap - Sovellusten eristäminen
« Vastaus #2 : 28.05.23 - klo:11.31 »
Vähän aiheen vierestä, mutta miksi käytetään dockeria eikä lxd:tä.

Joskus olen vähän kokeillut lxd:tä, mutta en niin paljon, että olisi selvinnyt, mitä mahdollisia puutteita tai ongelmia siinä on vaikka dockeriin verrattuna.

_Pete_

  • Käyttäjä
  • Viestejä: 1845
  • Fufufuuffuuu
    • Profiili
Vs: Docker vs Bubblewrap - Sovellusten eristäminen
« Vastaus #3 : 29.05.23 - klo:10.18 »
Vähän aiheen vierestä, mutta miksi käytetään dockeria eikä lxd:tä.

Joskus olen vähän kokeillut lxd:tä, mutta en niin paljon, että olisi selvinnyt, mitä mahdollisia puutteita tai ongelmia siinä on vaikka dockeriin verrattuna.

IMO tässä hyvin selvitetty erot:

https://ubuntu.com/blog/lxd-vs-docker


Efraiminpoika

  • Käyttäjä
  • Viestejä: 165
    • Profiili
Vs: Docker vs Bubblewrap - Sovellusten eristäminen
« Vastaus #4 : 31.05.23 - klo:13.15 »
Onko täällä ketään joka on käyttänyt dockeria ja bubblewrappia rinnakkain?

Paljon olen testejä tehnyt, ja tullut siihen tulokseen, että bubblewrap on loistava dockerin vaihtoehto, silloin kun haetaan paljon kevyempää ratkaisua ja sovelluseritystä. Tietysti seuraava kysymys onkin, että onko bubblewrap ollenkaan tarpeen? Pääasiallinen hyöty bubblewrapin käytöstä taitaa olla se, että voi rajata helposti pääsyä tiedostojärjestelmään, niin, että nekään tiedot jotka normaalisti on luettavissa, eivät ole luettavissa jos prosessi korkataan.

Jos on kokemuksia / ajatuksia, niin otetaan mielelään vastaan. Jotkut softat olen laittanut testikäyttöön molemmila menetelmillä, eikä niillä ole mielestäni käytännössä sen isompaa eroa. Riippunee varmaan myös kokonaisuudesta kumpi kannattaa valita, ja kuinka iso sietokyky on mm. dockerin tuomalle ylimääräiselle kuormalle.

Ai mikä Bubblewrap - Low-level unprivileged sandboxing tool used by Flatpak and similar projects.
Mikä siis on tavoite?
Missä mielessä eristäminen?
KVM, LXD, Docker, Buublewrap, Snap, Flatpak ja jail kaikki eristävät sovellutuksia toisistaan jossain mielessä.
Kaikki edellä luetellut lisäävät jotain kuormaa ja pyrkiessään yksinkertaistamaan jotain, monimutkaistavat toisaalla ja kaikissa on opeteltavaa...
Jos on pöytäkone, jota käyttää, kun on paikalla, niin KVM ja LDX on minun valintani eristämiseen. Minusta Docker lisää kaikennäköistä tavaraa jota en halua koneelleini, joten ainakin Docker pitää asentaa virtuaalikoneelle ja jos on jo virtuaalikone niin miksi vielä siihen päälle Docker. Sama olisi tilanne vaikka pääkoneena olisi läppäri.
Palvelimissa kai päätavoite on sovellutusten eristäminen tietoturvallisuus mielessä, mutta kai joka sovellutukselle tulisi silloin olla oma kone, ainakin virtuaalinen.
Minusta Dockerin päätavoite on ihan sama kuin Snapin ja Flatpakin eli eristää kaikenlaisista kirjasto ja versio erilaisuuksista, jotta monistaminen helpompaa, mutta lisättynä vähän muullakin, kuten virtuaaliverkoilla jotka kyllä eristävät oikein käytettynä.

Tämä on tämmöistä eläkeläisäijän jorinaa, mutta kai aikanaan saatu koulutus ja työkokemus ainakin siihen riittää ...
 
eläkeläisäijä

A. Hellaakoski: Tien kulkija tien on vanki. Vapaa on vain umpihanki.