<div dir="ltr">Díky, za info. Pochopil jsem tedy správně, že to jsou plány spíš na vyšší měsíce? Já potřebuji docker kvůli on-permises verzím služeb, konkrétně buddy.works potřebuje 12+, tak si chci jenom ujasnit jestli má smysl čekat nebo to prostě rozjet v AWS.<div><br></div><div>Honza</div></div><div class="gmail_extra"><br clear="all"><div><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr">sendimyrkr<br></div></div></div>
<br><div class="gmail_quote">2017-04-28 23:48 GMT+02:00 Pavel Snajdr <span dir="ltr"><<a href="mailto:snajpa@snajpa.net" target="_blank">snajpa@snajpa.net</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 04/28/2017 11:01 PM, Jan Dvořák wrote:<br>
> Ahoj,<br>
><br>
> ona je novější verze závislá na jádru 3.10+ a to je zatím asi ještě<br>
> daleko. Já bych potřeboval verzi 12+. Nemá někdo ze správců nějakou<br>
> informaci co by poskytla světýlko na konci tunelu?<br>
<br>
</span>Otazka je, jestli vubec bude jadro 3.10+, jak to presne bude vypadat.<br>
<br>
Ve hre je nekolik variant, jedna "lepsi" nez druha:<br>
<br>
Upstream Linux (4.8+ cca)<br>
=========================<br>
+ moderni upstream linux featury, co ocekava vetsina soucasnych<br>
hype-driven developeru<br>
+ moderni distributed storage technologie<br>
+ kernel zacina byt dostatecne instrumentovatelny na honeni vykonu (a<br>
hledani zdroju problemu s vykonem)<br>
- nevyhovujici storage subsystem (nutnost lepit do nej ZFS)<br>
- user namespace: neni mesic, aby nebylo aspon jedno privilege<br>
escalation CVE spojene s user namespace => SHOW STOPPER. Pres toto nejde<br>
vlak, my nemuzeme riskovat provoz neceho tak nebezpecne navrzeneho, jako<br>
userns, ve skale, v jake kontejnery pouzivame (stovky lidi, kteri<br>
pozaduji root + ruzne capabilities kernelu)<br>
- nedodelany kernel-level resource accounting<br>
<br>
Virtuozzo 7 (komercni)<br>
======================<br>
+ Live patching (workaround pro userns problem), timely security patche<br>
+ Technologicky nejpokrocilejsi kontejnerizace na Linuxu<br>
- user namespace (viz 1.)<br>
- placene<br>
- ma uzavrene casti<br>
- kompletni supportovana distribuce, nemoznost vetsi customizace (liveOS<br>
smerem uz vubec...)<br>
<br>
OpenVZ 7 ("opensource")<br>
=======================<br>
- chybi dokumentace k cemukoliv (natoz jak to vybuildit vubec, nebyl by<br>
ale problem, mame uz :D)<br>
- naprosto nevstricny pristup vyvojaru ke komunite<br>
- user ns<br>
- stable verze vydavana jednou za uhersky rok, mezi tim je dostupny<br>
akorat git HEAD => nutnost pickovani patchu + custom QA<br>
<br>
OpenVZ 6<br>
========<br>
- podpora konci cca za rok<br>
<br>
Illumos<br>
=======<br>
<a href="https://en.wikipedia.org/wiki/Illumos" rel="noreferrer" target="_blank">https://en.wikipedia.org/wiki/<wbr>Illumos</a><br>
<br>
+ nativni ZFS<br>
+ stabilni a robustni design jadra napric<br>
+ kontejnery nativne od roku 2005 (ie. kde mohl byt Linux, kdyby Linus<br>
nemel osobni problem s vyvojari puvodniho OpenVZ....)<br>
+ robustnejsi izolace (OpenVZ 6 bylo v tomhle velmi podobne),<br>
zranitelnosti se casto daji zneuzit na ziskani roota na masine, jenom<br>
pokud jsou pustene v global zone (hardware node, tj. primo, pod<br>
nepreviligovanym userem, ale uz ne v kontejneru).<br>
+ podporuje KVM/QEMU inside container<br>
+ ma DTrace, ktery nam umozni realne zacit resit performance problemy<br>
<br>
-> seriozne zvazujeme variantu opustit Linux a prejit na Illumos<br>
-> Joyent implementoval Linux branded zones, co je asi nejpokrocilejsi<br>
prekladova vrstva pro Linuxove ABI, ktera existuje aktualne<br>
-> dokaze pustit moderni linuxova distra<br>
-> nema iptables, pouziva se BSD pf na hostovi, kteremu se pravidla<br>
zadavaji pres side channel<br>
-> zatim nepodporuje cgroups+namespaces ABI, tj. pod LX branded zone<br>
nejde spustit dalsi kontejnery (ale je to work in progress, nicmene<br>
tezko rict, jestli/kdy bude nejaky vysledek venku)<br>
<br>
-> tj. pokud neprejdeme na fullvirt (vysoce nepravdepodobne) nebo<br>
komercni Virtuozzo 7, ceka nas kernel development<br>
<br>
-> rosteme a kernel development prestava byt problem<br>
<br>
-> pokud mame delat kernel development, je lepsi pracovat s komunitou,<br>
se kterou se da dohodnout - Illumos je v tomhle mnohem pristupnejsi<br>
ekosystem pro mensi hrace + je nuti k uzsi spolupraci.<br>
<br>
-> pokud bychom nasadili Illumos, pravdepodobne nasadime i upstream<br>
Linux a clenove dostanou na vyber:<br>
<br>
- upstream Linux kontejner (se vsi jeho bezpecnosti, stabilitou, atd.,<br>
ale taky s featurami nutnymi pro hype-driven developery) na HW s<br>
upstream linux kernelem<br>
<br>
a potom pojedeme na HW s Illumosem, ktery by mel byt stabilnejsi a<br>
bezpecnejsi + s vyladenejsim vykonem:<br>
<br>
- nativni Illumos kontejnery se SmartOSem (ma NetBSD package management,<br>
kde je toho zabalene fakt hodne a tak.. na co Linux)...<br>
<br>
- LX Branded zones - kde se da pustit stable Linuxova distra, ale bez<br>
cgroups/namespaces, tj. na beh Linux-only binarnich aplikaci vetsinou<br>
bez problemu (muzu zajemcum poskytnout Ubuntu 16.04 nad LX zonou uz ted<br>
na vyzkouseni)<br>
<br>
- QEMU/KVM zone - kdo potrebuje Linux/Windows, pusti si to holt v QEMU,<br>
na ktere bychom meli poskytnout zdokumentovany template s postupem, jak<br>
v nem rozjet spravne nastavenou plnou virtualizaci s forwardoanim<br>
trafficu ven.<br>
<br>
Takze cca tak se veci maji.<br>
<br>
/snajpa<br>
<span class=""><br>
><br>
> Mimochodem, kdyby se rozhodlo experimentálně převést jeden server na<br>
> OpenVZ 7, nebo co má trojkové jádro, tak se hlásím.<br>
><br>
> Honza<br>
><br>
> sendimyrkr<br>
><br>
> 2017-04-28 22:20 GMT+02:00 Martin Sivák <<a href="mailto:mars@montik.net">mars@montik.net</a><br>
</span>> <mailto:<a href="mailto:mars@montik.net">mars@montik.net</a>>>:<br>
<span class="">><br>
> Ještě jsem zapomněl na tu druhou roli (tu zásadnější):<br>
> <a href="https://github.com/MarSik/ansible-roles/blob/master/openvz_docker/tasks/main.yml" rel="noreferrer" target="_blank">https://github.com/MarSik/<wbr>ansible-roles/blob/master/<wbr>openvz_docker/tasks/main.yml</a><br>
> <<a href="https://github.com/MarSik/ansible-roles/blob/master/openvz_docker/tasks/main.yml" rel="noreferrer" target="_blank">https://github.com/MarSik/<wbr>ansible-roles/blob/master/<wbr>openvz_docker/tasks/main.yml</a>><br>
><br>
> Martin<br>
<br>
><br>
> Dne 28. dubna 2017 22:15 Martin Sivák <<a href="mailto:mars@montik.net">mars@montik.net</a><br>
</span>> <mailto:<a href="mailto:mars@montik.net">mars@montik.net</a>>> napsal(a):<br>
<span class="">> > Ahoj,<br>
> ><br>
> > Docker na CentOS 7 na vpsfree úspěšně provozuju. Jen by bylo fajn mít<br>
> > nějakou novější verzi a nějaký výkonnější storage driver :/<br>
> ><br>
> > Mám to nastavení jako roli pro Ansible:<br>
> > <a href="https://github.com/MarSik/ansible-roles/tree/master/docker" rel="noreferrer" target="_blank">https://github.com/MarSik/<wbr>ansible-roles/tree/master/<wbr>docker</a><br>
> <<a href="https://github.com/MarSik/ansible-roles/tree/master/docker" rel="noreferrer" target="_blank">https://github.com/MarSik/<wbr>ansible-roles/tree/master/<wbr>docker</a>><br>
> ><br>
> > Martin<br>
> ><br>
> > Dne 26. dubna 2017 23:17 Ladislav Nesnera <<a href="mailto:nesnera@email.cz">nesnera@email.cz</a><br>
</span>> <mailto:<a href="mailto:nesnera@email.cz">nesnera@email.cz</a>>> napsal(a):<br>
<span class="">> >> Zdravím vespolek. Zkoušel jste někdo rozchodit Docker na CentOS 7<br>
> (obdobně<br>
> >> jako na Debian 8)? Zprávy o úspěchu vítány dvojnásob ;)<br>
> >><br>
> >> ;?<br>
> >><br>
> >><br>
> >> ______________________________<wbr>_________________<br>
> >> Community-list mailing list<br>
> >> <a href="mailto:Community-list@lists.vpsfree.cz">Community-list@lists.vpsfree.<wbr>cz</a><br>
</span>> <mailto:<a href="mailto:Community-list@lists.vpsfree.cz">Community-list@lists.<wbr>vpsfree.cz</a>><br>
> >> <a href="http://lists.vpsfree.cz/listinfo/community-list" rel="noreferrer" target="_blank">http://lists.vpsfree.cz/<wbr>listinfo/community-list</a><br>
<span class="">> <<a href="http://lists.vpsfree.cz/listinfo/community-list" rel="noreferrer" target="_blank">http://lists.vpsfree.cz/<wbr>listinfo/community-list</a>><br>
> >><br>
> ______________________________<wbr>_________________<br>
> Community-list mailing list<br>
</span>> <a href="mailto:Community-list@lists.vpsfree.cz">Community-list@lists.vpsfree.<wbr>cz</a> <mailto:<a href="mailto:Community-list@lists.vpsfree.cz">Community-list@lists.<wbr>vpsfree.cz</a>><br>
> <a href="http://lists.vpsfree.cz/listinfo/community-list" rel="noreferrer" target="_blank">http://lists.vpsfree.cz/<wbr>listinfo/community-list</a><br>
<div class="HOEnZb"><div class="h5">> <<a href="http://lists.vpsfree.cz/listinfo/community-list" rel="noreferrer" target="_blank">http://lists.vpsfree.cz/<wbr>listinfo/community-list</a>><br>
><br>
><br>
><br>
><br>
> ______________________________<wbr>_________________<br>
> Community-list mailing list<br>
> <a href="mailto:Community-list@lists.vpsfree.cz">Community-list@lists.vpsfree.<wbr>cz</a><br>
> <a href="http://lists.vpsfree.cz/listinfo/community-list" rel="noreferrer" target="_blank">http://lists.vpsfree.cz/<wbr>listinfo/community-list</a><br>
><br>
<br>
</div></div><br>______________________________<wbr>_________________<br>
Community-list mailing list<br>
<a href="mailto:Community-list@lists.vpsfree.cz">Community-list@lists.vpsfree.<wbr>cz</a><br>
<a href="http://lists.vpsfree.cz/listinfo/community-list" rel="noreferrer" target="_blank">http://lists.vpsfree.cz/<wbr>listinfo/community-list</a><br>
<br></blockquote></div><br></div>