<div dir="ltr">Jednoduše je pro mě snazší použít docker image. Žel bohu nejsem žádný skvostný admin, spíš si zkouším/učím se. Teď jsem si zkoušel rozjet  KVM podle <a href="https://kb.vpsfree.cz/navody/vps/kvm">https://kb.vpsfree.cz/navody/vps/kvm</a> ale nedaří se mi, protože to už je nad moje znalosti. Nevím jestli potřebuji mít povolenou nějakou private IP ve VPS adminu?<div><br></div><div>Honza</div></div><div class="gmail_extra"><br clear="all"><div><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr">sendimyrkr<br></div></div></div>
<br><div class="gmail_quote">2017-04-29 5:11 GMT+02:00 Pavel Snajdr <span dir="ltr"><<a href="mailto:snajpa@snajpa.net" target="_blank">snajpa@snajpa.net</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="auto"><div></div><div>No, kdyz ho rozjedes v KVM, tak to muzes pouzivat rovnou - do budoucna to vypada jako jedina rozumne udrzitelna cesta - protoze ty kontejnery v upstream Linuxu az tak neizoluji, musi to mit pod palcem jeden admin/tym, ktery nema problem sdilet roota.</div><div><br></div><div>Jinak, teda, davalo by mnohem vetsi smysl udelat Docker API pro vosAdmin, nebo - proc peoste nedodelame vpsAdminu neco-jako-Docker files?</div><div><br></div><div>Musi to byt nutne Docker? Jak ho pouzivas? Pouzivas layery? Jak v nich resis aktualizace?</div><div><br></div><div>/snajpa</div><div><div class="h5"><div><br></div><div><br>On 29 Apr 2017, at 03:20, Jan Dvořák <<a href="mailto:SendiMyrkr@gmail.com" target="_blank">SendiMyrkr@gmail.com</a>> wrote:<br><br></div><blockquote type="cite"><div><div dir="ltr">Díky, za info. Pochopil jsem tedy správně, že to jsou plány spíš na vyšší měsíce? Já potřebuji docker kvůli on-permises verzím služeb, konkrétně buddy.works potřebuje 12+, tak si chci jenom ujasnit jestli má smysl čekat nebo to prostě rozjet v AWS.<div><br></div><div>Honza</div></div><div class="gmail_extra"><br clear="all"><div><div class="m_-8052062392610060018gmail_signature" data-smartmail="gmail_signature"><div dir="ltr">sendimyrkr<br></div></div></div>
<br><div class="gmail_quote">2017-04-28 23:48 GMT+02:00 Pavel Snajdr <span dir="ltr"><<a href="mailto:snajpa@snajpa.net" target="_blank">snajpa@snajpa.net</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span>On 04/28/2017 11:01 PM, Jan Dvořák wrote:<br>
> Ahoj,<br>
><br>
> ona je novější verze závislá na jádru 3.10+ a to je zatím asi ještě<br>
> daleko. Já bych potřeboval verzi 12+. Nemá někdo ze správců nějakou<br>
> informaci co by poskytla světýlko na konci tunelu?<br>
<br>
</span>Otazka je, jestli vubec bude jadro 3.10+, jak to presne bude vypadat.<br>
<br>
Ve hre je nekolik variant, jedna "lepsi" nez druha:<br>
<br>
Upstream Linux (4.8+ cca)<br>
=========================<br>
+ moderni upstream linux featury, co ocekava vetsina soucasnych<br>
hype-driven developeru<br>
+ moderni distributed storage technologie<br>
+ kernel zacina byt dostatecne instrumentovatelny na honeni vykonu (a<br>
hledani zdroju problemu s vykonem)<br>
- nevyhovujici storage subsystem (nutnost lepit do nej ZFS)<br>
- user namespace: neni mesic, aby nebylo aspon jedno privilege<br>
escalation CVE spojene s user namespace => SHOW STOPPER. Pres toto nejde<br>
vlak, my nemuzeme riskovat provoz neceho tak nebezpecne navrzeneho, jako<br>
userns, ve skale, v jake kontejnery pouzivame (stovky lidi, kteri<br>
pozaduji root + ruzne capabilities kernelu)<br>
- nedodelany kernel-level resource accounting<br>
<br>
Virtuozzo 7 (komercni)<br>
======================<br>
+ Live patching (workaround pro userns problem), timely security patche<br>
+ Technologicky nejpokrocilejsi kontejnerizace na Linuxu<br>
- user namespace (viz 1.)<br>
- placene<br>
- ma uzavrene casti<br>
- kompletni supportovana distribuce, nemoznost vetsi customizace (liveOS<br>
smerem uz vubec...)<br>
<br>
OpenVZ 7 ("opensource")<br>
=======================<br>
- chybi dokumentace k cemukoliv (natoz jak to vybuildit vubec, nebyl by<br>
ale problem, mame uz :D)<br>
- naprosto nevstricny pristup vyvojaru ke komunite<br>
- user ns<br>
- stable verze vydavana jednou za uhersky rok, mezi tim je dostupny<br>
akorat git HEAD => nutnost pickovani patchu + custom QA<br>
<br>
OpenVZ 6<br>
========<br>
- podpora konci cca za rok<br>
<br>
Illumos<br>
=======<br>
<a href="https://en.wikipedia.org/wiki/Illumos" rel="noreferrer" target="_blank">https://en.wikipedia.org/wiki/<wbr>Illumos</a><br>
<br>
+ nativni ZFS<br>
+ stabilni a robustni design jadra napric<br>
+ kontejnery nativne od roku 2005 (ie. kde mohl byt Linux, kdyby Linus<br>
nemel osobni problem s vyvojari puvodniho OpenVZ....)<br>
+ robustnejsi izolace (OpenVZ 6 bylo v tomhle velmi podobne),<br>
zranitelnosti se casto daji zneuzit na ziskani roota na masine, jenom<br>
pokud jsou pustene v global zone (hardware node, tj. primo, pod<br>
nepreviligovanym userem, ale uz ne v kontejneru).<br>
+ podporuje KVM/QEMU inside container<br>
+ ma DTrace, ktery nam umozni realne zacit resit performance problemy<br>
<br>
-> seriozne zvazujeme variantu opustit Linux a prejit na Illumos<br>
-> Joyent implementoval Linux branded zones, co je asi nejpokrocilejsi<br>
prekladova vrstva pro Linuxove ABI, ktera existuje aktualne<br>
-> dokaze pustit moderni linuxova distra<br>
-> nema iptables, pouziva se BSD pf na hostovi, kteremu se pravidla<br>
zadavaji pres side channel<br>
-> zatim nepodporuje cgroups+namespaces ABI, tj. pod LX branded zone<br>
nejde spustit dalsi kontejnery (ale je to work in progress, nicmene<br>
tezko rict, jestli/kdy bude nejaky vysledek venku)<br>
<br>
-> tj. pokud neprejdeme na fullvirt (vysoce nepravdepodobne) nebo<br>
komercni Virtuozzo 7, ceka nas kernel development<br>
<br>
-> rosteme a kernel development prestava byt problem<br>
<br>
-> pokud mame delat kernel development, je lepsi pracovat s komunitou,<br>
se kterou se da dohodnout - Illumos je v tomhle mnohem pristupnejsi<br>
ekosystem pro mensi hrace + je nuti k uzsi spolupraci.<br>
<br>
-> pokud bychom nasadili Illumos, pravdepodobne nasadime i upstream<br>
Linux a clenove dostanou na vyber:<br>
<br>
- upstream Linux kontejner (se vsi jeho bezpecnosti, stabilitou, atd.,<br>
ale taky s featurami nutnymi pro hype-driven developery) na HW s<br>
upstream linux kernelem<br>
<br>
a potom pojedeme na HW s Illumosem, ktery by mel byt stabilnejsi a<br>
bezpecnejsi + s vyladenejsim vykonem:<br>
<br>
- nativni Illumos kontejnery se SmartOSem (ma NetBSD package management,<br>
kde je toho zabalene fakt hodne a tak.. na co Linux)...<br>
<br>
- LX Branded zones - kde se da pustit stable Linuxova distra, ale bez<br>
cgroups/namespaces, tj. na beh Linux-only binarnich aplikaci vetsinou<br>
bez problemu (muzu zajemcum poskytnout Ubuntu 16.04 nad LX zonou uz ted<br>
na vyzkouseni)<br>
<br>
- QEMU/KVM zone - kdo potrebuje Linux/Windows, pusti si to holt v QEMU,<br>
na ktere bychom meli poskytnout zdokumentovany template s postupem, jak<br>
v nem rozjet spravne nastavenou plnou virtualizaci s forwardoanim<br>
trafficu ven.<br>
<br>
Takze cca tak se veci maji.<br>
<br>
/snajpa<br>
<span><br>
><br>
> Mimochodem, kdyby se rozhodlo experimentálně převést jeden server na<br>
> OpenVZ 7, nebo co má trojkové jádro, tak se hlásím.<br>
><br>
> Honza<br>
><br>
> sendimyrkr<br>
><br>
> 2017-04-28 22:20 GMT+02:00 Martin Sivák <<a href="mailto:mars@montik.net" target="_blank">mars@montik.net</a><br>
</span>> <mailto:<a href="mailto:mars@montik.net" target="_blank">mars@montik.net</a>>>:<br>
<span>><br>
>     Ještě jsem zapomněl na tu druhou roli (tu zásadnější):<br>
>     <a href="https://github.com/MarSik/ansible-roles/blob/master/openvz_docker/tasks/main.yml" rel="noreferrer" target="_blank">https://github.com/MarSik/ans<wbr>ible-roles/blob/master/openvz_<wbr>docker/tasks/main.yml</a><br>
>     <<a href="https://github.com/MarSik/ansible-roles/blob/master/openvz_docker/tasks/main.yml" rel="noreferrer" target="_blank">https://github.com/MarSik/an<wbr>sible-roles/blob/master/openvz<wbr>_docker/tasks/main.yml</a>><br>
><br>
>     Martin<br>
<br>
><br>
>     Dne 28. dubna 2017 22:15 Martin Sivák <<a href="mailto:mars@montik.net" target="_blank">mars@montik.net</a><br>
</span>>     <mailto:<a href="mailto:mars@montik.net" target="_blank">mars@montik.net</a>>> napsal(a):<br>
<span>>     > Ahoj,<br>
>     ><br>
>     > Docker na CentOS 7 na vpsfree úspěšně provozuju. Jen by bylo fajn mít<br>
>     > nějakou novější verzi a nějaký výkonnější storage driver :/<br>
>     ><br>
>     > Mám to nastavení jako roli pro Ansible:<br>
>     > <a href="https://github.com/MarSik/ansible-roles/tree/master/docker" rel="noreferrer" target="_blank">https://github.com/MarSik/ansi<wbr>ble-roles/tree/master/docker</a><br>
>     <<a href="https://github.com/MarSik/ansible-roles/tree/master/docker" rel="noreferrer" target="_blank">https://github.com/MarSik/an<wbr>sible-roles/tree/master/docker</a><wbr>><br>
>     ><br>
>     > Martin<br>
>     ><br>
>     > Dne 26. dubna 2017 23:17 Ladislav Nesnera <<a href="mailto:nesnera@email.cz" target="_blank">nesnera@email.cz</a><br>
</span>>     <mailto:<a href="mailto:nesnera@email.cz" target="_blank">nesnera@email.cz</a>>> napsal(a):<br>
<span>>     >> Zdravím vespolek. Zkoušel jste někdo rozchodit Docker na CentOS 7<br>
>     (obdobně<br>
>     >> jako na Debian 8)? Zprávy o úspěchu vítány dvojnásob ;)<br>
>     >><br>
>     >> ;?<br>
>     >><br>
>     >><br>
>     >> ______________________________<wbr>_________________<br>
>     >> Community-list mailing list<br>
>     >> <a href="mailto:Community-list@lists.vpsfree.cz" target="_blank">Community-list@lists.vpsfree.c<wbr>z</a><br>
</span>>     <mailto:<a href="mailto:Community-list@lists.vpsfree.cz" target="_blank">Community-list@lists.<wbr>vpsfree.cz</a>><br>
>     >> <a href="http://lists.vpsfree.cz/listinfo/community-list" rel="noreferrer" target="_blank">http://lists.vpsfree.cz/listin<wbr>fo/community-list</a><br>
<span>>     <<a href="http://lists.vpsfree.cz/listinfo/community-list" rel="noreferrer" target="_blank">http://lists.vpsfree.cz/list<wbr>info/community-list</a>><br>
>     >><br>
>     _____________________________<wbr>__________________<br>
>     Community-list mailing list<br>
</span>>     <a href="mailto:Community-list@lists.vpsfree.cz" target="_blank">Community-list@lists.vpsfree.<wbr>cz</a> <mailto:<a href="mailto:Community-list@lists.vpsfree.cz" target="_blank">Community-list@lists.v<wbr>psfree.cz</a>><br>
>     <a href="http://lists.vpsfree.cz/listinfo/community-list" rel="noreferrer" target="_blank">http://lists.vpsfree.cz/listi<wbr>nfo/community-list</a><br>
<div class="m_-8052062392610060018HOEnZb"><div class="m_-8052062392610060018h5">>     <<a href="http://lists.vpsfree.cz/listinfo/community-list" rel="noreferrer" target="_blank">http://lists.vpsfree.cz/list<wbr>info/community-list</a>><br>
><br>
><br>
><br>
><br>
> ______________________________<wbr>_________________<br>
> Community-list mailing list<br>
> <a href="mailto:Community-list@lists.vpsfree.cz" target="_blank">Community-list@lists.vpsfree.c<wbr>z</a><br>
> <a href="http://lists.vpsfree.cz/listinfo/community-list" rel="noreferrer" target="_blank">http://lists.vpsfree.cz/listin<wbr>fo/community-list</a><br>
><br>
<br>
</div></div><br>______________________________<wbr>_________________<br>
Community-list mailing list<br>
<a href="mailto:Community-list@lists.vpsfree.cz" target="_blank">Community-list@lists.vpsfree.c<wbr>z</a><br>
<a href="http://lists.vpsfree.cz/listinfo/community-list" rel="noreferrer" target="_blank">http://lists.vpsfree.cz/listin<wbr>fo/community-list</a><br>
<br></blockquote></div><br></div>
</div></blockquote><blockquote type="cite"><div><span>______________________________<wbr>_________________</span><br><span>Community-list mailing list</span><br><span><a href="mailto:Community-list@lists.vpsfree.cz" target="_blank">Community-list@lists.vpsfree.<wbr>cz</a></span><br><span><a href="http://lists.vpsfree.cz/listinfo/community-list" target="_blank">http://lists.vpsfree.cz/<wbr>listinfo/community-list</a></span><br></div></blockquote></div></div></div><br>______________________________<wbr>_________________<br>
Community-list mailing list<br>
<a href="mailto:Community-list@lists.vpsfree.cz">Community-list@lists.vpsfree.<wbr>cz</a><br>
<a href="http://lists.vpsfree.cz/listinfo/community-list" rel="noreferrer" target="_blank">http://lists.vpsfree.cz/<wbr>listinfo/community-list</a><br>
<br></blockquote></div><br></div>