Утверждение про "глотает Docker" — не про паранойю, а про инженерную разницу.
"Блоб" — это образ контейнера. Docker Hub — главный склад образов — работает по принципу "бери что дают". И берут. Но проблема вот в чём:Вирусы и бэкдоры на складе. Например, даже хайповую уязвимость в библиотеке XZ Utils с бэкдором в образах для Docker Hub нашли не один раз, а потом ещё и подтвердили, что найти их снова можно — потому что старые заражённые образы с Docker Hub удалять отказались.
Утечки секретов в публичных образах. Там регулярно находят тысячи образов, из которых торчат токены доступа — например, к базам данных или API. В одном из исследований насчитали больше 10 тысяч таких образов.
Итог: Docker Hub, конечно, пытается модерировать, но свалка гигантская. Когда ты тянешь образ оттуда, ты доверяешь не только автору, но и всем, кто раньше к этому образу прикасался. Поэтому и пафос про "немых рабов" — про тех, кто делает docker pull от балды.
Как тогда работает Incus и при чём тут «хранение файлов где-то в одном месте"?
Incus — это не про «складирование», а про единую инфраструктуру. Он умеет управлять и системными контейнерами (через LXC, фактически изолированные серверы внутри твоего сервера), и полноценными виртуалками — например, на QEMU. Для всего этого хозяйства нужна нормальная система хранения: ZFS, LVM, Btrfs и т.д. Поэтому «одно место» — это пул хранения, с общей логикой управления и снапшотами. А «защита» — не от хакеров, а от дурака: у каждого контейнера свой изолированный мир, и ты не блобы из интернета тянешь, а строишь свои.
Раз уж спрашиваешь про Maas, Candid и Shiftfs, вот кратко, что означают эти термины.
Что такое MAAS (Metal as a Service) - в обычном мире ты чинишь сервер, включаешь, ставишь систему вручную, долго и скучно. А MAAS — это «облачная эйфория» для физического сервера. Он позволяет настраивать и переустанавливать «голое железо» так же легко и программно (по API), как создавать виртуалку в облаке. Ты просто говоришь MAAS: «Хочу вот сто серверов с Ubuntu» — и через пару минут они готовы к работе.
Что такое Candid (Identity service) - это цифровой пропускной пункт, работающий на технологии «макаруны» (macaroons). Это не просто пароль, а, можно сказать, магическая печенька. Ты её предъявляешь один раз, и она подтверждает, что ты — это ты, и даёт доступ ко всем сервисам системы (единый вход).
Что такое shiftfs (Filesystem UID shifting) - самая больная тема. Раньше пользователи внутри контейнера не могли, например, получить доступ к файловой системе хост-сервера — ломались права (user ID). Shiftfs — это ядерный модуль от Canonical, который «сдвигал» идентификаторы пользователей на лету. Он делал так, что внутри контейнера файлы были видны с одними UID, а реально на диске лежали с другими. Проект хотели впихнуть в ядро Linux, но попытка не увенчалась успехом.
Вариант для распечатки
