Docker Part2©2ch.net

[過去ﾛｸﾞ] Docker Part2©2ch.net (1002ﾚｽ)
上下前次 1-新

このｽﾚｯﾄﾞは過去ﾛｸﾞ倉庫に格納されています｡
次ｽﾚ検索歴削→次ｽﾚ栞削→次ｽﾚ過去ﾛｸﾞﾒﾆｭｰ

765(1): 2018/12/11(火)12:48 ID:zSz5aCBW(1) AAS
クラウドのインスタンスって、最初からOSが組み込まれているのか？
どんな設定されているかわからないものを使うって不安でない？
最初からiptableが開かれているとかさ？

766: 2018/12/11(火)12:59 ID:TdDwAL/l(4/9) AAS
根本的なところがずれてるな

自分でOSを組み込んだら、どんな設定になるのかわかるのか？
iptableの状態がどうなってるのか、安心できるのか？

767: 2018/12/11(火)13:44 ID:jw9Lxp3n(1) AAS
>>765
そもそもクラウドにiptableの設定なんか必要ない
そういうのはインフラ側の設定で制御するんだよ
オンプレ脳の人間はインフラを「容易には弄れないもの」と考えて何でもサーバー内で完結しようとする
しかしクラウドにおいてはむしろそれは逆で、サーバーよりもインフラの設定の方が柔軟に変更でき、構成管理も極めて容易だ
iptableのような脆弱な仕組みに頼ることなくデザインによってセキュリティ等の要件を担保できる
これがクラウドの強みだ

768(1): 2018/12/11(火)13:57 ID:TdDwAL/l(5/9) AAS
説明下手だなｗ

デザインによってセキュリティ等の要件を担保できるとか
意味不明な説明じゃなくて単純に言えばいいだけだろ

クラウドではサーバーの外にあるファイアウォールで制御する
そのファイアウォールは、設定画面やCLIコマンドやAPIから設定できる

769(2): 2018/12/11(火)18:55 ID:vSSmL6HQ(1) AAS
多層防御やんないの？

770(1): 2018/12/11(火)18:57 ID:RFWXoMiO(1) AAS
>>768
わかりやすい。

でも、手作業による設定と違って、
柔軟な設定はできなさそう。

Dockerならフォワードチェインから、
サブチェインに飛ばして、そこでフィルタやパケットの統計をとったり、
あるいは、ポート開放のために、-t nat にフォワードの設定が必要になるだろうけど、
クラウドはそういうのは使わないの？

771(2): 2018/12/11(火)19:01 ID:TdDwAL/l(6/9) AAS
> でも、手作業による設定と違って、
> 柔軟な設定はできなさそう。

手作業ってなんだ？どうせコマンドうつだけだろ

> Dockerならフォワードチェインから、
Dockerコンテナ = アプリ

お前、アプリの中に、ファイアウォールの設定入れるのか？
Dockerコンテナは仮想マシンじゃないって言ってるだろ

772: 2018/12/11(火)19:02 ID:TdDwAL/l(7/9) AAS
>>770
> クラウドはそういうのは使わないの？
だからそれらは全てサーバーの外にあるファイアウォールで設定できる

773: 2018/12/11(火)19:02 ID:YQlb17UG(1) AAS
実際はiptableなんかに頼ることなく、ハード込みで売ってるファイヤウォール使ってるってことだろ。

774: 2018/12/11(火)19:02 ID:TdDwAL/l(8/9) AAS
>>769
やりたいならやればいいのでは？

775(2): 2018/12/11(火)20:20 ID:aNKr+Tu5(1) AAS
>>769
お前はリスクマネジメントというものを分かってない
AWSが俺を信じて任せろと言ってるんだからリスクは完全にAWSに転嫁されていて、それで十分なんだよ
もしもAWSの不具合で事故るようなことがあれば、そのときはAWSに損害賠償請求すればよい

776: 2018/12/11(火)20:39 ID:TdDwAL/l(9/9) AAS
>>775への反論は

そんな無責任が通用するわけがないだろう

自前で実装して、不具合で事故るようなことがあれば、損害賠償してやる！と
男らしく言うべきだ。

自前で実装する＝事故る可能性が高いわけだけど、
損害賠償するのが男らしいんだ！

という感じでお願いねｗ

777: 2018/12/11(火)20:50 ID:wGD7MWoB(1) AAS
AWSのインフラはCloudFormationかTerraformを使って設定するのが今どき

全てGitリポジトリに入れて管理すれば誰が何を変えたか分からないって事はなくなる

AWSの場合、接続出来るIPやポートの制限はセキュリティグループで行う

手動で変更されてもEvident.ioを使えば自動で検出して修復できる

Evident.ioを使ってセキュリティオートメーションしてみた
外部ﾘﾝｸ:dev.classmethod.jp
省3

778: 2018/12/11(火)21:01 ID:hpl/6PSX(1) AAS
外部ﾘﾝｸ:connect.uh-oh.jp

現実の人の繋がりに疲れた人に

宣伝です。

779: 2018/12/12(水)00:19 ID:0hXJnkj2(1) AAS
コンテナとJSフロント関係は
進歩早すぎてついていけん...

780(1): [さげ] 2018/12/12(水)00:40 ID:JHof8k11(1/7) AAS
>>771
でも、Dockerコンテナ起動したら、
ポートが開くじゃない？
たとえば、ソースIPアドレスで絞り込んだり、
iptablesが必要だと思うけど？
そういうこともawsセンター側できるの？

781: 2018/12/12(水)00:43 ID:Zb7agEVB(1/6) AAS
> でも、Dockerコンテナ起動したら、
> ポートが開くじゃない？

開かないが？

782: 2018/12/12(水)00:43 ID:Zb7agEVB(2/6) AAS
>>780
例えば、nginxを起動するとポート80番が開く
って話してるのか？

Dockerと関係ない話だよね

783(1): 2018/12/12(水)02:56 ID:JHof8k11(2/7) AAS
>>771

コンテナはアプリを動作させるための環境であって、
コンテナ＝アプリという式は間違っている。

784(2): 2018/12/12(水)02:57 ID:oUbBeYcM(1) AAS
>>775
まあ大抵にわかのセキュリティエンジニア（笑）が設定ミスってノーガードになるのが事故の原因なんだけどな
オンプレでもFWで守られてるから大丈夫なんて余裕ぶっこいてるサーバーほどよく侵入されてる

上下前次 1-新書関写板覧索設栞歴

あと 218 ﾚｽあります
ｽﾚ情報赤ﾚｽ抽出画像ﾚｽ抽出歴の未読ｽﾚ AAｻﾑﾈｲﾙ

ぬこの手ぬこTOP 0.161s*