MinIO ने मुफ़्त Docker इमेज का वितरण बंद किया

 (github.com/minio)
3 पॉइंट द्वारा GN⁺ 2025-10-23 | 3 टिप्पणियां | WhatsApp पर शेयर करें
  • ऑब्जेक्ट स्टोरेज सॉफ़्टवेयर MinIO ने आधिकारिक Docker इमेज का वितरण बंद कर दिया है, जिससे कम्युनिटी में कड़ा विरोध बढ़ रहा है
  • सिक्योरिटी vulnerability (CVE) पैच के तुरंत बाद बिना किसी पूर्व सूचना के यह बंद किया गया, जिससे automatic updates पर निर्भर कई इंस्टॉलेशन environments के सिक्योरिटी जोखिम में आने की आशंका जताई जा रही है
  • उपयोगकर्ता open source पर भरोसे में कमी और enterprise customer lock-in strategy की आलोचना कर रहे हैं, जबकि self-build या fork project पर चर्चा फैल रही है
  • कुछ उपयोगकर्ताओं ने “VC-funded open source के commercialisation रुझान” की ओर इशारा करते हुए nextCloud जैसे मामलों की तरह कम्युनिटी आधारित alternative project की संभावना का उल्लेख किया
  • MinIO की ओर से कहा गया कि “यह फैसला सिक्योरिटी issue से पहले ही लिया जा चुका था और केवल Docker build बंद किया गया है”, लेकिन विवाद जारी है

MinIO Docker इमेज वितरण बंद

  • MinIO टीम ने आधिकारिक Docker इमेज उपलब्ध कराना बंद करने की घोषणा की, जिसके बाद विवाद शुरू हो गया
    • यह पहले 1 अरब से अधिक बार डाउनलोड की गई लोकप्रिय इमेज थी
    • कम्युनिटी उपयोगकर्ताओं ने आलोचना की कि “सिक्योरिटी updates रुकने के समय लिया गया यह फैसला अनुचित है”

कम्युनिटी का विरोध और अविश्वास का फैलाव

  • उपयोगकर्ता इस कदम को बिना पूर्व सूचना किया गया ‘rug pull’ मान रहे हैं
    • “enterprise customers को lock-in करने के लिए लिया गया रणनीतिक फैसला” जैसी आलोचना सामने आई
    • “OIDC code हटाना, Docker बंद करना आदि के जरिए धीरे-धीरे अधिक बंद मॉडल की ओर बढ़ना” जैसी टिप्पणी भी की गई
  • कुछ लोगों ने प्रतिक्रिया दी कि “6 साल तक इस्तेमाल किया और दूसरों को सुझाया, लेकिन अब इस पर भरोसा नहीं किया जा सकता

सिक्योरिटी और अपडेट की समस्या

  • कम्युनिटी ने चेतावनी दी कि automatic updates रुकने से बहुत सारे इंस्टॉलेशन environments को vulnerability patches नहीं मिल पाएंगे
    • Watchtower जैसे automatic update systems अब काम नहीं करेंगे
    • इसके कारण छोटे home servers, community services आदि लंबे समय में सिक्योरिटी जोखिम में पड़ सकते हैं

commercialisation विवाद और open source मूल्यों को नुकसान

  • उपयोगकर्ताओं ने कहा कि “VC-backed open source कंपनियां कम्युनिटी को बाहर कर paid model की ओर जा रही हैं
    • documents और guides अभी भी Docker के इस्तेमाल की सिफारिश करते हैं, लेकिन उस इमेज में unpatched CVE अब भी मौजूद हैं
    • “README में सिक्योरिटी warning स्पष्ट लिखी जानी चाहिए और DockerHub button हटाया जाना चाहिए” जैसी सलाह दी गई
  • कुछ लोगों का कहना था कि “GitHub Actions के जरिए automatic build की लागत लगभग 0 के बराबर है”, इसलिए इस कदम को “दुर्भावनापूर्ण फैसला” कहा गया

अलग-अलग प्रतिक्रियाएं और बहस का निष्कर्ष

  • कुछ developers ने “खुद build कर लो” कहकर तीखी प्रतिक्रिया को अतिरंजित बताया, लेकिन कई लोगों ने जवाब दिया कि “enterprise environment में बार-बार custom build करना लागत बढ़ाता है”
    • यह राय भी सामने आई कि “open source किसी पर कोई बाध्यता नहीं डालता, लेकिन जब commercial intent साफ हो, तब transparency की कमी ही असली समस्या है”
  • MinIO ने कहा कि चर्चा “constructive नहीं है” और issue को lock कर बंद कर दिया

संबंधित पढ़ाई

3 टिप्पणियां

 
t7vonn 2025-10-23

rustfs चलो
 
kimjoin2 2025-10-23

“enterprise environment में बार-बार custom build करना cost बढ़ाता है”
VS
“GitHub Actions के ज़रिए automatic build की cost लगभग 0 के करीब है”

lol
 
GN⁺ 2025-10-23
Hacker News राय
  • कुछ हफ्ते पहले MinIO की ओर से यह घोषणा देखी थी कि उसने open source codebase के documentation काम को बंद कर दिया है। 10 अक्तूबर को Slack में कहा गया कि "docs.min.io/community documentation साइट्स आज सुबह बंद हो गईं, और संभव हुआ तो इन्हें AIStor documentation पर redirect किया जाएगा"। minio/docs repository में भी 2 हफ्तों से कोई update नहीं है, और लगता है आगे भी नहीं होगा। फरवरी में जब MinIO cluster बनाया था, तो कुल मिलाकर काम आसान था, लेकिन कुछ हिस्से मुश्किल भी थे। महत्वपूर्ण installation tips कई बार सिर्फ GitHub comments में बचे थे, जहाँ ऐसे files का ज़िक्र था जिन्हें वर्षों पहले हटा दिया गया था। इस साल 100PB-स्तर के cluster का विस्तार कर रहे हैं, लेकिन support की कीमत S3 storage के लगभग बराबर है, और उसमें actual hosting cost भी शामिल नहीं है। यह clients के लिए कोई बहुत बड़ा value proposition नहीं लगता, और अभी जो कुछ बचा है उसी पर निर्भर रहना पड़ रहा है। MinIO के योगदान और उसके business, दोनों के लिए आभारी हूँ, लेकिन अब यह योगदान रुकता दिख रहा है, और लगता है अगले साल open source का अंतिम release आएगा। यह भी पेशकश की गई कि अगर कोई MinIO इस्तेमाल कर रहा है और support cost भारी लग रही हो, तो संपर्क करे
    • support cost का S3 storage के लगभग बराबर होना सच में बेतुका लगता है। मेरा मानना है कि NetApp या Dell जैसी कंपनियों से competitive quote लेना चाहिए। हाल में नहीं किया, लेकिन कुछ साल पहले तक यह S3 से लगभग आधी कीमत पर मिलता था, वह भी hosting cost सहित
    • prebuilt images छिपाने से भी ज़्यादा गंभीर बात open source documentation को पूरी तरह हटा देना लगती है। अच्छा होगा अगर installation tips को सिर्फ GitHub comments में नहीं, कहीं और भी व्यवस्थित करके छोड़ा जाए
    • मुझे भी upgrade के दौरान console को बिना किसी warning के हटाया जाना बहुत खराब लगा। करीब एक महीने पहले से MinIO के alternatives देख रहा था, तभी RustFS मिला। एक महीने से ज़्यादा समय से test कर रहा हूँ, और यह लगातार बेहतर हो रहा है। community bugs भी बहुत तेज़ी से ठीक कर रही है। चाहता हूँ YC इस कंपनी में निवेश करे
    • अब पीछे मुड़कर देखता हूँ तो लगता है कि MinIO में support documentation प्रभारी के रूप में शामिल न होना शायद अच्छी बात रही
    • 100PB cluster बन रहे हैं लेकिन revenue लगभग नहीं आ रहा, यह देखकर समझ आता है कि MinIO ऐसा कदम क्यों उठा रहा है। सोचता हूँ क्या Redis की तरह यह भी “valkeyed” होगा (हालाँकि मुझे नहीं लगता AWS इसका चालक होगा)
  • MinIO ने community edition web UI से सभी उपयोगी features हटाते समय यह बहाना दिया था कि maintenance मुश्किल है। इस बार भी इसे VC funding वाली कंपनियों का वही उदाहरण माना जा रहा है, जो पहले growth लेती हैं और बाद में सीढ़ी खींच लेती हैं
    • सवाल यह है कि कौन-सी सीढ़ी खींची गई? अगर आखिरी ठीक-ठाक commit को fork कर लिया जाए तो एक competitor बनाया जा सकता है, इसलिए खुद आगे बढ़ने की राय दी गई
    • यह सच में बहाना है या नहीं, इस पर कहा गया कि maintenance खुद एक cost है, और license के तहत पुराने versions को लोग खुद modify करके इस्तेमाल कर सकते हैं। यह मान लेना कि open source में free updates और support की आजीवन गारंटी होती है, लगभग भ्रम है। बिना किसी कंपनी वाले open source projects में भी ऐसा बहुत बार होता है। maintainers जल्दी थक जाते हैं, और हर तरफ से free updates की मांग आती रहती है, जबकि बदले में मुआवज़ा लगभग नहीं मिलता
    • VC-funded services के मामले में यह जोखिम समझना चाहिए कि न stable support की गारंटी होती है, न free benefits की
  • अगर यह open source project है, तो लोगों को free Docker images न मिलने पर शिकायत क्यों होनी चाहिए, इस पर सवाल उठाया गया। अगर demand पर्याप्त है, तो कोई भरोसेमंद व्यक्ति automation के जरिए Docker images बना देगा। बल्कि ज़्यादा शिकायत इस बात से है कि Min.io वेबसाइट के pricing page पर कीमतें ही नहीं हैं। Cloudian competitor की जानकारी के हिसाब से, सालाना $96,000 या उससे अधिक पड़ता है, इसलिए इसे सस्ता नहीं कहा जा सकता (Cloudian एक closed product है)
    • जब कोई लंबे समय तक Docker images सार्वजनिक रूप से वितरित करता है, तो users उसी भरोसे पर उसे चुनते हैं। खासकर security vulnerabilities (CVE) की स्थिति में, बिना किसी notice के, सिर्फ 4 दिन पहले README में चुपचाप commit छोड़कर image distribution बंद कर देना लगभग दुर्भावनापूर्ण लगता है। अगर सच में community की परवाह होती, तो advance notice, repo में announcement, migration path, या community maintainers की मदद करने वाली policy जैसी चीजें होनी चाहिए थीं। लेकिन इस बार सब चुपचाप बदल दिया गया और बिना किसी स्पष्टीकरण के मामला ठंडा छोड़ दिया गया। बड़ी vulnerability होने के बावजूद patched images तक जारी नहीं की गईं। यह गैर-जिम्मेदाराना है
    • मेरा मानना है कि MinIO वास्तव में open source कम, source-available ज़्यादा है। पहले MinIO instance चलाया था, तो MinIO legal team की ओर से संपर्क आया कि “configuration file injection भी source modification है”, और यह open source license violation पर मुकदमे की बात थी। संबंधित HN threads: 35328316, 32148007
    • सिर्फ इसलिए कि कुछ open source है, इसका मतलब यह नहीं कि किसी को असंतोष जताने का अधिकार नहीं है। MinIO ने जो features open source के हिस्से के रूप में दिए थे, उन्हें काफी समय बाद paid/non-commercial क्षेत्र में ले जाया गया, इसलिए users का निराश होना स्वाभाविक है। शिकायत करना पूरी तरह उचित है
    • ऐसे कदम community को कमजोर करने वाले लग सकते हैं। जानबूझकर असुविधा बढ़ाने से paid conversion बढ़ सकता है, लेकिन बेहतर होता कि शुरू से ही open source और commercial product के बीच का अंतर साफ रखा जाता
    • Docker image builds बंद करने का अधिकार निश्चित रूप से MinIO के पास है, लेकिन users के पास भी alternatives खोजकर चले जाने का अधिकार है। अगर कोई कंपनी features हटाती है, तो मैं भी उसे इस्तेमाल नहीं करना चाहूँगा
  • मुझे नहीं लगता यह बहुत बड़ी समस्या है। Bitnami जैसी दूसरी जगहों पर Minio की public images पहले से maintained हैं, इसलिए alternatives मौजूद हैं। Minio अपनी license शर्तों के तहत शायद इसे भी रोक सकता है, लेकिन official images के बजाय compatible images भी काफी हैं। लगता है Minio को अपने product पर कुछ ज़्यादा ही गर्व है। S3-compatible object storage के रूप में इसकी उपयोगिता है, लेकिन यह अकेला विकल्प नहीं है। जितना इसका उपयोग असुविधाजनक होता जाएगा, उतने ही आसानी से alternatives उभरेंगे। लोकप्रिय open source products को बंद करने की कोशिश करने वाली कंपनियाँ अक्सर खुद को नुकसान पहुँचाती हैं। Hashicorp ने Terraform के साथ ऐसा किया, और community OpenTofu जैसे clone की ओर चली गई। Redis की जगह Valkey, MySQL की जगह MariaDB, और OwnCloud की जगह Nextcloud आए। support contracts की ज़रूरत वाला enterprise market भले बचा रहे, लेकिन नए customers आने का रास्ता टूट जाता है। community के बिना किसी closed commercial product को आखिर कोई क्यों चुने? MinIO का यह रुख खुद उसके लिए नुकसानदेह है
    • कहा गया था कि Bitnami वगैरह public MinIO images देते रहेंगे, लेकिन वह भी जल्द बंद होने वाला है। संबंधित जानकारी: Bitnami बदलाव सूचना, HN पोस्ट
  • पूरा replacement तो नहीं, लेकिन Garage नाम का एक alternative अन्य HN पोस्टों में अच्छी प्रतिक्रिया पा चुका है Garage
    • मुझे यह self-hosting के लिए पर्याप्त alternative लगता है। MinIO की तुलना में कुछ कमियाँ हैं और पूरी compatibility नहीं है, लेकिन अधिकांश applications के लिए ठीक बैठता है
    • Garage में setup की चीजें थोड़ी ज़्यादा हैं, इसलिए झंझट हो सकता है
    • Ceph में अपना S3-compatible object storage feature भी है Ceph Object Gateway
    • if-match support नहीं है
  • मुझे लगता है HN submission का title थोड़ा भ्रामक है। इससे ऐसा लग सकता है कि MinIO ने सचमुच open source छोड़ दिया है, इसलिए बात ज़्यादा गंभीर लगती है। "MinIO, free Docker image distribution बंद" जैसा title ज़्यादा सही लगता है। संबंधित README देखें
    • सुझाव के अनुसार title बदल दिया गया
    • जानकारी के लिए, मूल title 'minio went source-only' था। Gentoo user के नज़रिए से यह कोई बड़ी समस्या नहीं है
    • मैंने भी शुरू में title को गलत समझा था। दिलचस्प है, लेकिन title का भ्रामक होना तय है
  • हम MinIO को customer environments में इस्तेमाल करते हैं, इसलिए nightly build process खुद बनाकर deploy करते हैं minio-builds। ज़रूरत हो तो fork करके इस्तेमाल किया जा सकता है। उदाहरण: 
    docker run -p 9000:9000 -p 9001:9001 ghcr.io/golithus/minio:latest
    • जानकारी के लिए, इस repository का Dockerfile सिर्फ binary copy करने वाला 19-line का file है Dockerfile। इसे maintain/test करना भी मुश्किल नहीं है, इसलिए MinIO maintainers के लिए free Docker images वितरित करना ज़रूरी नहीं, और ज़रूरत पड़े तो लोग खुद भी कर सकते हैं
    • AGPL-licensed software डिलीवर करते समय customers की license compliance review कैसे संभालते हैं, यह जानना चाहता हूँ। दूसरी licenses (जैसे MPL) को भी कुछ customers ने reject किया है, इसलिए किसी वास्तविक अनुभव के बारे में सुनना चाहूँगा
  • इस बहस में दोनों पक्षों की बात समझ आती है
    1. MinIO एक business है और किसी पर उसका मुफ्त दायित्व नहीं है
    2. OSS version users को भी असंतोष व्यक्त करने की स्वतंत्रता है अगर compensation न देने वाले OSS को marketing tool की तरह इस्तेमाल किया गया, तो community trust का टूटना और उसके प्रभाव का कम होना स्वाभाविक है। content marketing और influencer marketing की तरह यहाँ भी अंततः मूल सार धुंधला पड़ जाता है
    • सबको यह स्वाभाविक रूप से समझना चाहिए कि अगर किसी commercial company को अपने business में फायदा नहीं दिखता, तो वह open source contribution जारी नहीं रखेगी। VC-backed company हो तो किसी न किसी समय monetization/limitations लगभग तय हैं। enterprise-backed OSS पर लंबी अवधि तक निर्भर रहना है, तो भविष्य में paid होने की संभावना को ज़रूर ध्यान में रखना चाहिए, और उसके business model को समझना चाहिए। अगर VC आधार है, तो अचानक बंद होने या direction बदलने की संभावना रहती है, इसलिए ऐसी चीज़ों से बचना बेहतर है जिन पर कई साल तक अनिवार्य रूप से निर्भर रहना पड़े
    • ऊपर कही गई बातों से सहमत हूँ। MinIO का free Docker image distribution बंद करना अपने आप में असली issue नहीं है। images बनाना infrastructure या staffing cost के लिहाज़ से बहुत भारी काम नहीं है, और community या दूसरी कंपनियाँ इसे संभाल सकती हैं। Bitnami जैसे projects में भी alternatives थे। असली समस्या इस तरह के behavior pattern की है। community edition से web UI को 'maintain करना कठिन है' कहकर हटाया गया, और documentation की भी परवाह नहीं की गई। बस ये बातें चुपचाप निकलती रहीं, जबकि Docker image issue से विवाद बड़ा हो गया। vulnerability patch जैसी न्यूनतम ज़िम्मेदारी भी नहीं निभाई गई। अंत में छवि यही बनती है कि company community की उपेक्षा कर रही है और revenue पर ज़्यादा केंद्रित है, यहाँ तक कि पुराने वादों से कमाया गया trust भी खुद ही तोड़ रही है
  • अभी binary build process तैयार किया जा रहा है, और इसे जल्द golithus पर सार्वजनिक किया जाएगा। MinIO community edition का अक्सर उपयोग करता हूँ, लेकिन लगता है आगे इसे खुद distribute करने के दिन कम होते जाएँगे। छोटे deployments के लिए Garage, और बड़े deployments के लिए Ceph/Rook संयोजन आज़माने की योजना है। Garage के production अनुभवों के बारे में भी सुनना चाहूँगा (खासकर multi-PiB environment में)
    • build process तैयार हो गया है, और अब minio-builds पर वितरित किया जा रहा है
    • Garage developers ने कहा है कि 10PiB से बड़े scale के real-world deployments हैं, लेकिन मैंने खुद ऐसा अनुभव नहीं किया। Matrix chat में पूछना सबसे अच्छा रहेगा
  • हाल के README बदलाव को देखें तो MinIO का संदेश "MinIO repository में कोई scheduled release नहीं है, और ज़रूरत होने पर बिना notice के release किया जा सकता है" से बदलकर "अब community edition सिर्फ source code के रूप में वितरित होगी" हो गया है। यानी वे कहते हैं कि open source project खुद बंद नहीं हुआ, लेकिन binary distribution अब सिर्फ customers तक सीमित की जा रही है README बदलाव इतिहास