<div dir="ltr"><div><div><div>Zdravím,<br><br></div>mám k tomu otázku, tzn pokud tomu správně rozumím, tak současné šablony pro image budou vycházet ze stejného základu (VPSadmin os)? Tzn současné VPS image bude nutné nějak překlopit nebo toto bude potřeba ručně předělat na novou verzi? <br></div><div><br></div><div>Když jsem naposledy zkoušel LXC, tak tam bylo něco na ovládání > něco jako LXD ? <br><br></div>Mimo to vzhledem k tomu, že půjde spojovat LXC pod sebe, tak by mělo být tedy možné vytvářet i vlastní privátní ip a připojit disk externě z vnějšího obrazu do vnitřních?</div><div>A ještě jsem se chtěl zeptat, zda se bude řešit i zatížení disku?</div><div><br></div><div>A ještě otázka tak obecně > LXC vs KVM. Co z toho je lépe podporované?<br></div><div><br></div>Díky za info.<br><br>-- <br><div class="gmail_signature"><div dir="ltr"><div><div dir="ltr"><span><br></span>S pozdravem,
<br>
<br>Zdeněk Dlauhý
<br>
<br>Web: <a href="http://www.pripravto.cz" target="_blank">www.pripravto.cz</a></div></div></div></div><div class="gmail_extra"><br><div class="gmail_quote">Dne 30. prosince 2017 15:52 <span dir="ltr"><<a href="mailto:snajpa@snajpa.net" target="_blank">snajpa@snajpa.net</a>></span> napsal(a):<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Cauves Tome,<br>
<br>
1) jak jsem psal, musime se (minimalne ze zacatku) podelit o 32bit uid/gid space, takze jojo, user namespace bude, aj nested, kazdy clen jich bude moct mit nekolik nezavislych, aby sis mohl vyizolovat kontejnery aj mezi sebou (ale pak si neuvidi na data pres NFS, NAS/backupy/... budou specificke danemu rozsahu UID/GID daneho clena).<br>
<br>
On ten user namespace musi byt spravne pouzity, aby daval smysl (od cehoz presne mame osctl). A jeste nesmi byt sam - u nas pojedeme minimalne AppArmor, ale jeste cekam i nejake eBPF filtry na kritickych syscallech a podobne.<br>
Dalsi vec, co si slibuju od naseho custom setupu a noveho jadra, je casem moznost zacit autogenerovat live patche, takze pripadne nove zranitelnosti pujde zaplatovat za ziva bez rebootu. Hodne z toho uz je v 4.14 LTS kernelu, ale ne vsechno a tak cekam, ze live patching budeme resit za chodu az s nejakym druhym-tretim LTS kernelem potom.<br>
<br>
2) vpsAdmin je aktualne z vetsi casti v Ruby, webui preziva v PHP proste proto, ze se nenasel nikdo, kdo by to preklopil nakomplet do browseru (protoze to server-side uz vlastne byt vubec nemusi).<br>
<br>
/snajpa<div class="gmail-m_4204171612515742705HOEnZb"><div class="gmail-m_4204171612515742705h5"><br>
<br>
On 2017-12-29 18:04, Tomas Volf wrote:<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
Ahoj Snajpa,<br>
mel bych na tebe k tomuhle celemu dva dotazy :)<br>
<br>
1) V LXC pojede i userns? Nebojis se toho z hlediska bezpecnosti? Ja<br>
musim priznat, ze to nejak extra nesleduju ale archlinux na to mel<br>
otevreny bug asi posledni 3 roky kde tohle (userns) porad odmitali ze<br>
se v tom co chvili najdou nejaky security diry. Nakonec to zaclenili<br>
ale default off. Usoudil jsi ze uz je to safe enough a nebo to proste<br>
v nasem konkretnim pouziti neni problem?<br>
<br>
2) regarding vpsadmin, planujete to porad drzet v php a nebo na tom<br>
nelpite a treba ruby (v tom uz stejne je vpsfree commandline client<br>
ne?) by slo taky?<br>
<br>
Diky za info :)<br>
<br>
W.<br>
<br>
Original Message <br>
From: <a href="mailto:snajpa@snajpa.net" target="_blank">snajpa@snajpa.net</a><br>
Sent: Friday, December 29, 2017 16:57<br>
To: Petr Stefan<br>
Reply To: vpsFree.cz Community list<br>
Cc: vpsFree.cz Community list<br>
Subject: Re: [vpsFree.cz: community-list] vpsAdminOS<br>
<br>
On 2017-12-28 23:22, Petr Stefan wrote:<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
Ahoj,<br>
<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
No a to 'neco' shodou okolnosti uz stavime nejakou chvili, jako lehky<br>
container host OS nad not-os [1], ktery vychazi z NixOSu [2].<br>
<br>
O spravu kontejneru (LXC) se ve vpsAdminOS stara osctld [4], co je v<br>
podstate nase variace na LXD; akorat pro nas rovnou napojena na<br>
vpsAdmin a tak ovladani z hostOS bude mit napojeni na vpsAdmin. Uz se<br>
nebude stavat, ze na nodu je nastavene neco nekonzistentne s tim, co<br>
si mysli vpsAdmin, protoze vpsAdmin se o svoje 'ovecky' (nody) ve<br>
finale postara uplne sam. A hlavne, osctl ma podporu user namespace<br>
Done Right (tm), coz je pro pro LXD i Docker, umim si predstavit, dost<br>
pain vubec v takovych rozmerech uvazovat (kdyz je potreba vyrobit<br>
jednoho usera per user-namespace a pridelit mu mapu tak, aby se<br>
neprekryvala; LXD treba pouziva mappingy pod jednim userem, co<br>
potencialne dava moznost se zas pod tim jednim userem sejit pri<br>
utikani z kontejneru).<br>
<br>
Cilem je dostat co nejfunkcnejsi a co nejizolovanejsi kontejnery,<br>
zatim jsme v early fazi, kdy nam to bootuje, kontejnery se daji<br>
vytvaret, startovat, maji konzoli a da se v nich uz neco bezet. Bezi<br>
nam Hydra, mame cca predstavu, jak to cele budeme updatovat a<br>
rekonfigurovat za chodu, ale potrebujeme to zacit zkouset.<br>
</blockquote>
<br>
diky za super zpravy. Chapu ze jste zatim zadne pokrocilejsi veci<br>
nezkouseli, ale zajimalo by me zda planujete podporu nested<br>
virtualizace. Myslim ze se spravnym nastvenim hosta by to nemel byt<br>
problem, ale chce to asi vyzkouset. Jde mi zhruba o Docker a LXC<br>
kontejnery (do kterych bych rad prevedl to co nyni provozuji v Dockeru<br>
pokud to pujde), nektere cleny asi zajima i KVM.<br>
</blockquote>
<br>
Haha, jakpak nezkouseli: my se *musime* snazit najit co nejvetsi<br>
featurovou paritu s tim, co bezime ted. A ted nam tam KVM jede a jede i<br>
Docker (akorat stary). LXC taky, akorat ne kompletni s userns.<br>
<br>
No, takze, KVM uz jsme zkouseli a funguje (libvirt vypada, ze pojede asi<br>
taky, ale nejsem si 100% jisty).<br>
<br>
Docker bude fungovat s patchem, az se mu vysvetli, ze nema sahat na<br>
AppArmor, ze ten uz je nastaveny a mimo jeho dosah (tj. patch do<br>
upstream Dockeru, melo by byt feasible v poho).<br>
<br>
Nested LXC jede uz ted, i s userns.<br>
<br>
Michalovi:<br>
<br>
No idealne je cilem, abys mohl jet ve finale ten samy setup (ale treba<br>
jenom jednonodove-odlehceny), jako nam bezi v produkci, abys idealne<br>
mohl presouvat zalohy/klony tam a zpatky (coz na nejakou automagii je<br>
pomerne ve vzdaleny budoucnosti, ale samotnej host OS na LXC<br>
kontejnerovani uz muzes cca pouzit ted hned).<br>
<br>
/snajpa<br>
<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
Budu se tesit na dalsi zpravy :).<br>
-Petr<br>
</blockquote>
______________________________<wbr>_________________<br>
Community-list mailing list<br>
<a href="mailto:Community-list@lists.vpsfree.cz" target="_blank">Community-list@lists.vpsfree.c<wbr>z</a><br>
<a href="http://lists.vpsfree.cz/listinfo/community-list" rel="noreferrer" target="_blank">http://lists.vpsfree.cz/listin<wbr>fo/community-list</a><br>
______________________________<wbr>_________________<br>
Community-list mailing list<br>
<a href="mailto:Community-list@lists.vpsfree.cz" target="_blank">Community-list@lists.vpsfree.c<wbr>z</a><br>
<a href="http://lists.vpsfree.cz/listinfo/community-list" rel="noreferrer" target="_blank">http://lists.vpsfree.cz/listin<wbr>fo/community-list</a><br>
</blockquote>
______________________________<wbr>_________________<br>
Community-list mailing list<br>
<a href="mailto:Community-list@lists.vpsfree.cz" target="_blank">Community-list@lists.vpsfree.c<wbr>z</a><br>
<a href="http://lists.vpsfree.cz/listinfo/community-list" rel="noreferrer" target="_blank">http://lists.vpsfree.cz/listin<wbr>fo/community-list</a><br>
</div></div></blockquote></div><br><br clear="all"><br><br></div></div>