On 2017-12-28 23:22, Petr Stefan wrote:
Ahoj,
No a to 'neco' shodou okolnosti uz stavime nejakou chvili, jako lehky container host OS nad not-os [1], ktery vychazi z NixOSu [2].
O spravu kontejneru (LXC) se ve vpsAdminOS stara osctld [4], co je v podstate nase variace na LXD; akorat pro nas rovnou napojena na vpsAdmin a tak ovladani z hostOS bude mit napojeni na vpsAdmin. Uz se nebude stavat, ze na nodu je nastavene neco nekonzistentne s tim, co si mysli vpsAdmin, protoze vpsAdmin se o svoje 'ovecky' (nody) ve finale postara uplne sam. A hlavne, osctl ma podporu user namespace Done Right (tm), coz je pro pro LXD i Docker, umim si predstavit, dost pain vubec v takovych rozmerech uvazovat (kdyz je potreba vyrobit jednoho usera per user-namespace a pridelit mu mapu tak, aby se neprekryvala; LXD treba pouziva mappingy pod jednim userem, co potencialne dava moznost se zas pod tim jednim userem sejit pri utikani z kontejneru).
Cilem je dostat co nejfunkcnejsi a co nejizolovanejsi kontejnery, zatim jsme v early fazi, kdy nam to bootuje, kontejnery se daji vytvaret, startovat, maji konzoli a da se v nich uz neco bezet. Bezi nam Hydra, mame cca predstavu, jak to cele budeme updatovat a rekonfigurovat za chodu, ale potrebujeme to zacit zkouset.
diky za super zpravy. Chapu ze jste zatim zadne pokrocilejsi veci nezkouseli, ale zajimalo by me zda planujete podporu nested virtualizace. Myslim ze se spravnym nastvenim hosta by to nemel byt problem, ale chce to asi vyzkouset. Jde mi zhruba o Docker a LXC kontejnery (do kterych bych rad prevedl to co nyni provozuji v Dockeru pokud to pujde), nektere cleny asi zajima i KVM.
Haha, jakpak nezkouseli: my se *musime* snazit najit co nejvetsi featurovou paritu s tim, co bezime ted. A ted nam tam KVM jede a jede i Docker (akorat stary). LXC taky, akorat ne kompletni s userns.
No, takze, KVM uz jsme zkouseli a funguje (libvirt vypada, ze pojede asi taky, ale nejsem si 100% jisty).
Docker bude fungovat s patchem, az se mu vysvetli, ze nema sahat na AppArmor, ze ten uz je nastaveny a mimo jeho dosah (tj. patch do upstream Dockeru, melo by byt feasible v poho).
Nested LXC jede uz ted, i s userns.
Michalovi:
No idealne je cilem, abys mohl jet ve finale ten samy setup (ale treba jenom jednonodove-odlehceny), jako nam bezi v produkci, abys idealne mohl presouvat zalohy/klony tam a zpatky (coz na nejakou automagii je pomerne ve vzdaleny budoucnosti, ale samotnej host OS na LXC kontejnerovani uz muzes cca pouzit ted hned).
/snajpa
Budu se tesit na dalsi zpravy :). -Petr