Доступы Node в Docker

@andyj · Регистрация: 16.03.2017

Author24 — интернет-сервис помощи студентам

Добрый день, проконсультируйте плиииз...

С Докерами никогда не работал. Только начал собирать информацию. Прямых ответов не нашел!

...понимаю что это больше вопрос к "линуксоидам", но меня интересует именно работа под Ноде.

Можно ли в Докере ограничить доступ к ОС и к файловой системе для Ноды?

Хочу просчитать возможность выделить на своем хостинге (где еще не установлены докеры) несколько (до 10) докеров для других Node-программистов. Внутрь установить Node и дать право менять там коды. Выдать им максимум 20 Мб на винчестере и 200-500 мб в ОЗУ.

Главное: ЗАПРЕТИТЬ им доступ к другим папкам линукса и к системным командам "способным что-нибудь сломать/взломать".
Нужен ответ "Да, возможно" или "Нет, не возможно"!

Знаю что подобное можно сделать в "виртуальных машинах". А в докерах?
(...мне с НУЛЯ надо докеры учить - не хочу разобравшись и проигравшись месяц узнать что "для этого не подходит ваааще" )

@muxahuk1214 · 29.04.2020, 22:00

из того, что мне известно про докер (я программист, не девопс) - из под докера не возможно получить доступ к хосту (ну, может конечно есть какая-то уязвимость нулевого дня.. никогда не знаешь, но на вряд ли..)[ну собственно если ему не давать доступ к другим ресурсам на хосте, то у него доступа не будет]
не очень понимаю какой доступ вы хотите ограничить, если к хосту, то докер для того и придуман.. если на самом докере, как в виртуалке - то точно так же как и на виртуалке (юзер группами и разрешениями...).
Честно не знаю как выделять 20 мегабайт и 200 озу на докер, может как-то и можно..
НО, что бы у них был доступ к внутренностям запущенного докер имеджа у них должен быть доступ к демону (запускать контейнер, присоединятся к нему, может ещё что..) или этот доступ должен быть настроен и проксироваться через хост, но это уменьшает безопасность хоста..
Я бы сказал, что докер для такой задачи не предназначен, однако теоретически я могу представить что это может работать..

Тут бы я посоветовал сделать что-то типо heroku, ака ресурс где пользователи загружают свой код и нажимают "задеплоить" и использую ci/cd автоматически деплоить их код в докер имеджы... но это ппц как не легко сделать...

Чем им не нравиться запускать код локально? или установить локально докер и запускать имеджи свои там?
Или вы хотите типо vds им выделить что бы их код "работал в интернете"?

@andyj · 30.04.2020, 08:55 **[ТС]**

Сообщение от muxahuk1214

не очень понимаю какой доступ вы хотите ограничить, если к хосту, то докер для того и придуман..

Кучу манов перечитал. 99% начинаются с "на сколько это круто для...", а потом сразу переходят к "как установить".
В основном пишут что очень удобно для установки своего приложения на чужом хосте без танцев с бубном по решению конфликтов при установке той-же версии Ноды.

Про доступы вычитал лишь то что ДРУГ С ДРУГОМ докеры общаться не могут, пока им вручную порты не откроешь.

Но про доступ к винчестеру - не нашел! И не знаю как они ОС видят!

Сообщение от muxahuk1214

Честно не знаю как выделять 20 мегабайт и 200 озу на докер, может как-то и можно..

Про ОЗУ уже вычитал - похоже при запуске докера я могу ему лимит на память поставить.

Про ограничение винчестера не нашел. Знаю что можно винчестер "линукс-пользователю" ограничить. Но это не подходит!

Не по теме:

Сообщение от muxahuk1214

Чем им не нравиться запускать код локально? или установить локально докер и запускать имеджи свои там?

Пока вопрос лишь теоретический.

По сути хочу написать "безопасный дистанционный исполнитель под нагрузкой"! Что-то вроде "песочницы", но для сильной нагрузки на процессор. Сопроцессор... Ускоритель... Для ускорения долгих (и не горящих) МАТЕМАТИЧЕСКИХ задач.

Задача - иметь возможность дать ТЕБЕ такой докер, который ты БУДЕШЬ НЕ ПРОТИВ запустить на своем хостинге (по личной просьбе и/или за небольшую доплату)! У него будет отрезан весь интернет кроме моих IP. Будут сильно лимитированы память и винчестер. И "под честное слово" что не буду постоянно на 100% держать нагрузку процессорОВ... Внутри будет ноде-кластер по количеству процессоров. Установка не должна быть сложной (вроде создания пользователя, которому нужно урезать все права и вручную лимитировать винчестер) - в идеале "в одну команду".

Мой докер не должен НИЧЕГО узнать про ОС! В идеале даже IP. Не должен иметь возможность выйти в сеть(даже пинговать гугл). Node "fs"-модуль должен видеть лишь пустой винчестер на 20-50 Мб.

Такое в принципе возможно?

@andyj 272 / 176 / 30 Регистрация: 16.03.2017 Сообщений: 1,631
		1
	Доступы Node в Docker 28.04.2020, 09:53. Показов 509. Ответов 2 Метки нет (Все метки) Добрый день, проконсультируйте плиииз... С Докерами никогда не работал. Только начал собирать информацию. Прямых ответов не нашел! ...понимаю что это больше вопрос к "линуксоидам", но меня интересует именно работа под Ноде. Можно ли в Докере ограничить доступ к ОС и к файловой системе для Ноды? Хочу просчитать возможность выделить на своем хостинге (где еще не установлены докеры) несколько (до 10) докеров для других Node-программистов. Внутрь установить Node и дать право менять там коды. Выдать им максимум 20 Мб на винчестере и 200-500 мб в ОЗУ. Главное: ЗАПРЕТИТЬ им доступ к другим папкам линукса и к системным командам "способным что-нибудь сломать/взломать". Нужен ответ "Да, возможно" или "Нет, не возможно"! Знаю что подобное можно сделать в "виртуальных машинах". А в докерах? (...мне с НУЛЯ надо докеры учить - не хочу разобравшись и проигравшись месяц узнать что "для этого не подходит ваааще" ) 0

@muxahuk1214 Coding is art 536 / 420 / 153 Регистрация: 04.09.2013 Сообщений: 1,057
	29.04.2020, 22:00	2
	из того, что мне известно про докер (я программист, не девопс) - из под докера не возможно получить доступ к хосту (ну, может конечно есть какая-то уязвимость нулевого дня.. никогда не знаешь, но на вряд ли..)[ну собственно если ему не давать доступ к другим ресурсам на хосте, то у него доступа не будет] не очень понимаю какой доступ вы хотите ограничить, если к хосту, то докер для того и придуман.. если на самом докере, как в виртуалке - то точно так же как и на виртуалке (юзер группами и разрешениями...). Честно не знаю как выделять 20 мегабайт и 200 озу на докер, может как-то и можно.. НО, что бы у них был доступ к внутренностям запущенного докер имеджа у них должен быть доступ к демону (запускать контейнер, присоединятся к нему, может ещё что..) или этот доступ должен быть настроен и проксироваться через хост, но это уменьшает безопасность хоста.. Я бы сказал, что докер для такой задачи не предназначен, однако теоретически я могу представить что это может работать.. Тут бы я посоветовал сделать что-то типо heroku, ака ресурс где пользователи загружают свой код и нажимают "задеплоить" и использую ci/cd автоматически деплоить их код в докер имеджы... но это ппц как не легко сделать... Чем им не нравиться запускать код локально? или установить локально докер и запускать имеджи свои там? Или вы хотите типо vds им выделить что бы их код "работал в интернете"? 0

@andyj 272 / 176 / 30 Регистрация: 16.03.2017 Сообщений: 1,631
	30.04.2020, 08:55 [ТС]	3
	Сообщение от muxahuk1214 не очень понимаю какой доступ вы хотите ограничить, если к хосту, то докер для того и придуман.. Кучу манов перечитал. 99% начинаются с "на сколько это круто для...", а потом сразу переходят к "как установить". В основном пишут что очень удобно для установки своего приложения на чужом хосте без танцев с бубном по решению конфликтов при установке той-же версии Ноды. Про доступы вычитал лишь то что ДРУГ С ДРУГОМ докеры общаться не могут, пока им вручную порты не откроешь. Но про доступ к винчестеру - не нашел! И не знаю как они ОС видят! Сообщение от muxahuk1214 Честно не знаю как выделять 20 мегабайт и 200 озу на докер, может как-то и можно.. Про ОЗУ уже вычитал - похоже при запуске докера я могу ему лимит на память поставить. Про ограничение винчестера не нашел. Знаю что можно винчестер "линукс-пользователю" ограничить. Но это не подходит! Не по теме: Сообщение от muxahuk1214 Чем им не нравиться запускать код локально? или установить локально докер и запускать имеджи свои там? Пока вопрос лишь теоретический. По сути хочу написать "безопасный дистанционный исполнитель под нагрузкой"! Что-то вроде "песочницы", но для сильной нагрузки на процессор. Сопроцессор... Ускоритель... Для ускорения долгих (и не горящих) МАТЕМАТИЧЕСКИХ задач. Задача - иметь возможность дать ТЕБЕ такой докер, который ты БУДЕШЬ НЕ ПРОТИВ запустить на своем хостинге (по личной просьбе и/или за небольшую доплату)! У него будет отрезан весь интернет кроме моих IP. Будут сильно лимитированы память и винчестер. И "под честное слово" что не буду постоянно на 100% держать нагрузку процессорОВ... Внутри будет ноде-кластер по количеству процессоров. Установка не должна быть сложной (вроде создания пользователя, которому нужно урезать все права и вручную лимитировать винчестер) - в идеале "в одну команду". Мой докер не должен НИЧЕГО узнать про ОС! В идеале даже IP. Не должен иметь возможность выйти в сеть(даже пинговать гугл). Node "fs"-модуль должен видеть лишь пустой винчестер на 20-50 Мб. Такое в принципе возможно? 0