A
Size: a a a
2020 January 16
GM
тебе придется скорее всего магию с docker save/load организовать, но, да, для dind можно организовать кэш
если готовый пойти на priveleged режим то можно дать dind контейнерам доступ к сокету докера и доступ на хост непосредственно и хранить кешь просто в обычных директориях на хосте
A
если готовый пойти на priveleged режим то можно дать dind контейнерам доступ к сокету докера и доступ на хост непосредственно и хранить кешь просто в обычных директориях на хосте
думаю стоит начать с того что кешей у гитлаб-раннера + докера может быть несколько разных
A
без sast
Да, похоже, я напутал и sast в core-версию не завезли
A
если готовый пойти на priveleged режим то можно дать dind контейнерам доступ к сокету докера и доступ на хост непосредственно и хранить кешь просто в обычных директориях на хосте
Для проброса докерного сокета привилегированный режим не нужен (как, в общем-то, и dind). Это два альтернативных варианта получения возможности запускать docker build, которые отличаются лишь размером создаваемой дыры в безопасности.
GG
Alexander
Для проброса докерного сокета привилегированный режим не нужен (как, в общем-то, и dind). Это два альтернативных варианта получения возможности запускать docker build, которые отличаются лишь размером создаваемой дыры в безопасности.
++++
AG
Alexander
Для проброса докерного сокета привилегированный режим не нужен (как, в общем-то, и dind). Это два альтернативных варианта получения возможности запускать docker build, которые отличаются лишь размером создаваемой дыры в безопасности.
так не прод же, а сборка , почему не юзать?
A
Хотя, гипотетчески, проброс сокета можно прикрыть authz-плагином, но нало ресечить.
AG
Alexander
Для проброса докерного сокета привилегированный режим не нужен (как, в общем-то, и dind). Это два альтернативных варианта получения возможности запускать docker build, которые отличаются лишь размером создаваемой дыры в безопасности.
Ну а так да, именно альтернатива
GG
по сертификатам еще скажи
AG
Alexander
Хотя, гипотетчески, проброс сокета можно прикрыть authz-плагином, но нало ресечить.
Зачем??
AG
ну это да, единственная причина
A
так не прод же, а сборка , почему не юзать?
Привилегированный режим - доступ к девайсам и, соответсивенно, доступ к хосту при определенной квалификации атакующего.
Проброс сокета без authz-плагина, вообще, то же самое, что наличие прав на sudo в рута на хосте.
Проброс сокета без authz-плагина, вообще, то же самое, что наличие прав на sudo в рута на хосте.
AG
Alexander
Привилегированный режим - доступ к девайсам и, соответсивенно, доступ к хосту при определенной квалификации атакующего.
Проброс сокета без authz-плагина, вообще, то же самое, что наличие прав на sudo в рута на хосте.
Проброс сокета без authz-плагина, вообще, то же самое, что наличие прав на sudo в рута на хосте.
Это сборка, у тебя в локалке
AG
В чём проблема?
AG
Alexander
Привилегированный режим - доступ к девайсам и, соответсивенно, доступ к хосту при определенной квалификации атакующего.
Проброс сокета без authz-плагина, вообще, то же самое, что наличие прав на sudo в рута на хосте.
Проброс сокета без authz-плагина, вообще, то же самое, что наличие прав на sudo в рута на хосте.
Или коллег боишься?