любой может, если трафик по паттернам похож на DDoS :)

или если прилетит абуза от владельцев проксей там

ну я выхватывал от амзона, когда танком долбал свой же сервак, в той же vpc. Попросили разъяснений, разъснил, сказали долбай на здоровье. Но: день сервак был недоступен )

tor'ом надо разбавлять просто 😊

> We disabled security profiles by using the --security-opt seccomp :unconfined Docker parameter. Also, it is possible to manually move tasks out of cgroups by using the cgdelete utility. Executing the peak throughput tests again, we now see no difference in throughput between Docker and the underlying platform.

а вот net=host они с чем сранивают? я не увидел описания default

У тебя все программы так или иначе в каких-то сигруппах да крутятся.
Всё зависит от настроек сигрупп и от конфигурации ввода-вывода: сли у тебя сетевой трафик ходит через veth+bridge или дисковый через overlayfs или volume поверх медленного хранилища, то, ясное дело производительность соответствующих операций будет ниже, чем без этих конструкций. Сам по себе факт работы процесса в докерных сигруппах и неймспейсах по влиянию на производительность ничем не отличается от работы в systemd-шных сигруппах и неймспейсах.
Volume-ы докера сами по себе тоже не тормозят ввод-вывод (это обычные bind mount-ы), а вот блочные устройства и сетевые фс, поверх которых они организованы, вполне могут тормозить.

Очевидно, что с дефолтной схемой с docker0 бриджем, в который втыкается один из концов veth-пары.

+

Baron Samedi (0.01) увеличил репутацию Alexander (19.13) (+0.82)

очевидно - с опциями по-умолчанию )

Откуда тогда 3% потерь? И они пишут "потери cgroups"

Понятия не имею, что они имеют в виду под "потерями cgroups". Но, если ты не выпилил сигруппы из ядра на этапе сборки, то у тебя в любом случае все процессы в каких-то сигруппах да запускаются (хотя бы в корневой). При использовании systemd, последний вообще абсолютно все юзерспейсные процессы (кроме, возможно, самого pid 1) запускает в дочерних сигруппах разной степени вложенности.

В целом, статья неплохая, особенно, про сетевую часть, но местами есть вот такие вот странные заявления, основанные на домыслах.

Я собственно спрашиваю потому что тоже не могу обосновать именно с той же логикой. И не гуглится "cgroups penalty"

Т.е. очевидно, что они не бесплатные. Но в 2020 году я вообще не знаю как без них  что-то запустить даже принудительно

Вечер добрый, зубры девопса. У меня вопрос по связке ansible и gitlab CI: есть репо с ролями ансибла, я базово настроил, что pipeline для запуска какой-то указанной роли, отрабатывает. Но хочется, чтобы:
- разворачивание только по кнопке (ну это легко, опция manual)
- у меня в репозитории пока несколько ролей и количество будет увеличиваться. Как можно сделать, так, чтобы при коммите в репозиторий, я зашел в pipeline и мог запустить любую указанную роль? (а не ту которая прописал в gitlab-ci.yml) плюс может передать какие-то опции (например limit=some-serve).
Если это уже жевано/пережевано - ткните куда смотреть. В интернете посмотрел, но что-то пока ответа на мой вопрос не нашел

https://webworxshop.com/automating-my-infrastructure-with-ansible-and-gitlab-ci-part-2-deploying-stuff-with-roles/ - здесь посмотрел, судя по всему надо делать джобы под каждую роль (c кнопкой запуска)?

может в ансибле подскажут... @pro_ansible

ну и у гитлаба есть @ru_gitlab