九维我操你爹
https://t.me/xixihealth/17666
https://t.me/c/1459082815/946
作为一个有段时间没活跃的 nerdctl maintainer 出来说两句
nerdctl 实际上是作为 containerd 一个 CTL 来作为初始化的开发。定位改为 Docker 的替代实际上是很后面的事情了
而要做兼容的事情实际上要考虑的就很多了,我自己做过很多很 dirty 的活包括不仅限于
1. 兼容 Docker 随机 port 的行为
2. 清理环境
3. 处理 DNS 相关的问题
4. 修 registry 的行为
而 nerdctl 很多东西实际上受限于无法有 Docker 一样的 daemon ,搞个 bridge ,再搞个 DNS 会导致很多东西很难做
比如我之前想做的参考 podman 一样做一个 DNS CNI(
同时 nerdctl 很多机制需要依赖 containerd 的 plugin 来做回调,比如 logger driver 就是如此实现的,所以会有人吐槽为什么我记录个日志还得在内存里 load 一个 nerdctl 233333
而局限于 CNI 做事是主观+客观因素双重因素导致的。nerdctl 试图在 ctd 以及 OS 这一层做的尽可能的兼容(PS nerdctl 是支持 freebsd 的东西的(XDD),而且要考虑 rootless 以及nerdctl 被各种工具开箱集成这一事实(比如 mac 上的虚拟机,第三方集成等),最后 CNI 可能是带着镣铐下的最优解
所以 nerdctl 并不是 docker 的完全替代品我是完全赞成的。但是这个局面只能说是多种因素共同作用
等我有时间我再想想网络这块能怎么样做的更好.jpg
https://t.me/c/1459082815/946
作为一个有段时间没活跃的 nerdctl maintainer 出来说两句
nerdctl 实际上是作为 containerd 一个 CTL 来作为初始化的开发。定位改为 Docker 的替代实际上是很后面的事情了
而要做兼容的事情实际上要考虑的就很多了,我自己做过很多很 dirty 的活包括不仅限于
1. 兼容 Docker 随机 port 的行为
2. 清理环境
3. 处理 DNS 相关的问题
4. 修 registry 的行为
而 nerdctl 很多东西实际上受限于无法有 Docker 一样的 daemon ,搞个 bridge ,再搞个 DNS 会导致很多东西很难做
比如我之前想做的参考 podman 一样做一个 DNS CNI(
同时 nerdctl 很多机制需要依赖 containerd 的 plugin 来做回调,比如 logger driver 就是如此实现的,所以会有人吐槽为什么我记录个日志还得在内存里 load 一个 nerdctl 233333
而局限于 CNI 做事是主观+客观因素双重因素导致的。nerdctl 试图在 ctd 以及 OS 这一层做的尽可能的兼容(PS nerdctl 是支持 freebsd 的东西的(XDD),而且要考虑 rootless 以及nerdctl 被各种工具开箱集成这一事实(比如 mac 上的虚拟机,第三方集成等),最后 CNI 可能是带着镣铐下的最优解
所以 nerdctl 并不是 docker 的完全替代品我是完全赞成的。但是这个局面只能说是多种因素共同作用
等我有时间我再想想网络这块能怎么样做的更好.jpg
Telegram
囍频道
一些很粗浅的调研发现,实在有点不好意思发出来
但是作为过来人,劝人别来的时候还是要发点切实的材料是不是……
但是作为过来人,劝人别来的时候还是要发点切实的材料是不是……
后来随手发的一条有幸被 saka 回了。回过头来看自己都觉得之前的频道消息没把自己的想法讲清楚,所以在炎上被骂之前先叠个甲,重新梳理下我想表达什么东西
首先阅读理解一下引用的部分哈,我只是想表达两件事:
1. 我完全理解 nerdctl 为啥会有这些和 docker-ce engine 不同的行为。一些 docker 做得不太好的设计,nerdctl 是完全有理由不去继承的。何况 containerd 和 docker 并不是两种相同的东西,在 containerd 之上构建的东西经常需要去实现很多以前 docker 自己底层替你做好的事
2. 但是站在用户视角,从 docker 切换到 nerdctl 以后一些很简单的事情都变得很麻烦了。以前跨网桥的两个容器默认可以互相访问,迁移过来却遇到了问题。而在设法解决这个问题时,照着官方文档创建关闭 firewall cni 插件的网桥的说明操作,没有跑通,忍不住吐槽两句我觉得也是人之常情?
总结一下,我不觉得 nerdctl 有什么问题。不然肯定积极地尝试提 pr 修复。就算我技术能力不行,至少也可以去骚扰 saka 不是?(笑
我也不是马后炮,在调研过程中翻 issue 的时候早就看到了这个熟悉的名字。而且我和 saka 也互相交换过联系方式,并不觉得找他帮忙有什么心理或技术上的障碍
推上有 nerdctl 的 maintainer 也回过我,说 nerdctl 算是技术实验场,所以不应该把 nerdctl 看作是 docker 的替身。我现在对这一点完全同意,但是在遇到这次事之前,我以为 nerdctl【首先】是 docker 的替身,【此外】还有一些新的功能
这个看法是不准确的,所以最开始发这一条,说 nerdctl 厨体验卡到期,就是这个意思。通过公司安排的调研任务,我对 nerdctl 的错误认知被改正过来了。从今往后,是又爱又恨的新篇章
首先阅读理解一下引用的部分哈,我只是想表达两件事:
1. 我完全理解 nerdctl 为啥会有这些和 docker-ce engine 不同的行为。一些 docker 做得不太好的设计,nerdctl 是完全有理由不去继承的。何况 containerd 和 docker 并不是两种相同的东西,在 containerd 之上构建的东西经常需要去实现很多以前 docker 自己底层替你做好的事
2. 但是站在用户视角,从 docker 切换到 nerdctl 以后一些很简单的事情都变得很麻烦了。以前跨网桥的两个容器默认可以互相访问,迁移过来却遇到了问题。而在设法解决这个问题时,照着官方文档创建关闭 firewall cni 插件的网桥的说明操作,没有跑通,忍不住吐槽两句我觉得也是人之常情?
总结一下,我不觉得 nerdctl 有什么问题。不然肯定积极地尝试提 pr 修复。就算我技术能力不行,至少也可以去骚扰 saka 不是?(笑
我也不是马后炮,在调研过程中翻 issue 的时候早就看到了这个熟悉的名字。而且我和 saka 也互相交换过联系方式,并不觉得找他帮忙有什么心理或技术上的障碍
推上有 nerdctl 的 maintainer 也回过我,说 nerdctl 算是技术实验场,所以不应该把 nerdctl 看作是 docker 的替身。我现在对这一点完全同意,但是在遇到这次事之前,我以为 nerdctl【首先】是 docker 的替身,【此外】还有一些新的功能
这个看法是不准确的,所以最开始发这一条,说 nerdctl 厨体验卡到期,就是这个意思。通过公司安排的调研任务,我对 nerdctl 的错误认知被改正过来了。从今往后,是又爱又恨的新篇章
怎么会有语言允许用户这么干……
而且不开玩笑,我第一反应以为这句话是在干下面两件事:
(let match = restoreKey); (if match === key)https://gbhackers.com/hackers-abuse-runc-tool-to-escape-containers-and-compromise-hosts/
GBHackers Security | #1 Globally Trusted Cyber Security News Platform
Hackers Abuse runc Tool to Escape Containers and Compromise Hosts
Three critical vulnerabilities in runc, the widely-used container runtime that powers Docker and Kubernetes, have been disclosed.
