История изменений
Исправление vbr, (текущая версия) :
Ну это из разряда «зачем заводить отдельного пользователя для сервиса, можно же под рутом». Можно, а зачем? Так и тут.
В нынешнее время контейнеры это хороший бонус для изоляции. В первую очередь логической, чтобы знать на 100%, как конкретная программа взаимодействует с остальной операционной системой (т.к. контейнер заставляет явно перечислять все порты, используемые образом, все точки монтирования, случайно нагадить куда-то программа уже не сможет).
Но и безопасность тоже какая-никакая есть, не думаю, что из контейнера на обновлённой операционной системе можно просто так вылезти, если явных косяков в конфигурации не сделали.
В общем я считаю применение контейнеризации на сегодняшний день практически обязательным. Исключение - когда сервер используется строго для конкретной цели и на нём не планируется запуск произвольных программ. Типа вот у меня есть сервер-бастион, туда по wireguard подключаются и всё. Там вообще никакого софта не крутится, только wireguard скрипты на старте настраивают интерфейсы, ну и nftables роутинг и прочее настраивает. Там - да, контейнеры не нужны. А когда речь идёт о запуске transmission и pgadmin, ну тут уже понятно, что на сервере запущено куча всего и контейнеры будут хорошей идеей.
Технически можно и без них, конечно. Даже проще будет поначалу. Но см. аргумент про рута.
Исправление vbr, :
Ну это из разряда «зачем заводить отдельного пользователя для сервиса, можно же под рутом». Можно, а зачем? Так и тут.
В нынешнее время контейнеры это хороший бонус для изоляции. В первую очередь логической, чтобы знать на 100%, как конкретная программа взаимодействует с остальной операционной системой (т.к. контейнер заставляет явно перечислять все порты, используемые образом, все точки монтирования, случайно нагадить куда-то программа уже не сможет).
Но и безопасность тоже какая-никакая есть, не думаю, что из контейнера на обновлённой операционной системе можно просто так вылезти, если явных косяков в конфигурации не сделали.
В общем я считаю применение контейнеризации на сегодняшний день практически обязательным. Исключение - когда сервер используется строго для конкретной цели и на нём не планируется запуск произвольных программ. Типа вот у меня есть сервер-бастион, туда по wireguard подключаются и всё. Там вообще никакого софта не крутится, только wireguard скрипты на старте настраивают интерфейсы, ну и nftables роутинг и прочее настраивает. Там - да, контейнеры не нужны. А когда речь идёт о запуске transmission и pgadmin, ну тут уже понятно, что на сервере запущено куча всего и контейнеры будут хорошей идеей.
Технически можно и без них, конечно. Даже проще. Но см. аргумент про рута.
Исходная версия vbr, :
Ну это из разряда «зачем заводить отдельного пользователя для сервиса, можно же под рутом». Можно, а зачем? Так и тут.
В нынешнее время контейнеры это хороший бонус для изоляции. В первую очередь логической, чтобы знать на 100%, как конкретная программа взаимодействует с остальной операционной системой (т.к. контейнер заставляет явно перечислять все порты, используемые образом, все точки монтирования, случайно нагадить куда-то программа уже не сможет).
Но и безопасность тоже какая-никакая есть, не думаю, что из контейнера на обновлённой операционной системе можно просто так вылезти, если явных косяков в конфигурации не сделали.
В общем я считаю применение контейнеризации на сегодняшний день практически обязательным. Исключение - когда сервер используется строго для конкретной цели и на нём не планируется запуск произвольных программ. Типа вот у меня есть сервер-бастион, туда по wireguard подключаются и всё. Там вообще никакого софта не крутится, только wireguard скрипты на старте настраивают интерфейсы, ну и nftables роутинг и прочее настраивает. Там - да, контейнеры не нужны. А когда речь идёт о запуске transmission и pgadmin, ну тут уже понятно, что на сервере запущено куча всего и контейнеры будут хорошей идеей.