Очень понравилось про zfs особенно попытка натянуть сову на глобусНеправильный ответ на этот вопрос стоил вакансии в ЦОДе опсоса. Тоже по наивности думал, что zfs всему голова. Потом популярно и объективно объяснили про raid-массивы, файловые системы и почему энтерпрайзные базы используют raw-диски.
Как рукожопость архитекторов по для подсчёта ЗП присовокупляется к докеру?Просим показать пример как во истину должно быть собственным примером. Сделать банковский процессинг только на контейнерах и утереть всем нос неслыханной надёжностью.
И особенно забавно, что оом приходит только к контейнерамЕго до знакомства с контейнерами не встречал. только слышал. LO в несколько тысяч встречал, но ООМК не было, память выжиралась, что ОС начинала фризить, но ООМК не было. Зато с контейнерами чуть ли не каждый день. Даже не интересно стало.
что за ересь?Почему сразу ересь? Один из моментов каждодневной ебли с контейнерами.
Слово транщакции ничего не говорит?Много чего говорит. Я думаю, в банковском процессинге не приходится по несколько раз на день базу поднимать. Тем более транзакция не панацея. Совсем. Сейчас будет немного дилетантских рассуждений:
Тем более там платная подписка.Где платная подписка? В OELiux? За пол десятка лет работы с ним ни разу ни за одно обновление платить не пришлось. Откуда такой чёс?
А чей-то не 1С? Давненько нативный клиент под Linux есть.Обычно есть небольшой зоопарк из разных версий и платформ под финду. Хотя бывает и нечто цельное. Только оно изначально покупалось под окошки и никто не горит желанием переносить его на линукс.
Не уловил связи окружения и по для расчёта ЗПВнезапная встреча контейнера и OOM Killer не является чем-то экстраординарным и критическим. В настройках dockercompose можно указать что делать с контейнером при этой встрече: выключить, перезагрузить и ещё что-то. Некоторые свои системы специально делают без раздела подкачки, чтобы контейнеры при подобной ситуации не оттягивали свой конец, а сразу рестартовали. А теперь представь контейнер, в котором считают твою зряплату, или через который идёт транзакция в банк о ЗП, внезапно перезагрузился. И твоя ЗП на нолик стала меньше.
4. chrootда, сам хотел привести в пример эту технологию. По большому счёту, там хватит грамотного разделения прав на основе дискреционной модели.
5. lxcтопикстартеру достаточно стянуть подходящий образ wordpress и директорию, за которую трепещит, выставить во внешний volume. Правда, там надо ещё будет поженить этот образ с базой и вэб-сервером - стандартный винегрет на докере. Только там хватит грамотного разделения прав на основе дискреционной модели.
6. qemu/kvmжесткач. Можно выставить директорию наружу из виртуалки. Думаю, топикстартеру хватит того груза от изучения cgroup.
Дословно "злая горничная", т.е. учеловека есть доступ к твоему компьютеру и некоторое время. Если комп будет зашифрован encrypts, то "злая горничная" может подменить тебе загрузчик ОС и зашифрованнаф ФС не поможет.Обычно шифруется системный раздел отдельно от загрузчика. Сноси, меняй делай что хочешь с загрузчиком, пока пароль не введёшь от системной области, ничего не изменится. В особо запущенных случаях шифруется отдельно загрузчик и отдельно системная область.
Ну этот вариант менее вероятный. Просто немного паранои.Наиболее вероятный вариант "злой горец", который всунет твои пальцы между дверь и дверной коробкой и ты всё как на духу выложишь.
Ну и напоследок, настроить nginx так, чтобы он доверял Cloudflare и подставлял IP-адрес в remote_addrНе стоит из вэб сервера делать пакетный фильтр. Какой бы он не был быстрый ему не угнаться за системным пакетный фильтром. Эта задача решается одной строкой в iptables, где в source address для правила ACCEPT указываются адреса Cloudflare. Всё остальное DROP.