Jednoduše je pro mě snazší použít docker image. Žel bohu nejsem žádný skvostný admin, spíš si zkouším/učím se. Teď jsem si zkoušel rozjet KVM podle https://kb.vpsfree.cz/navody/vps/kvm ale nedaří se mi, protože to už je nad moje znalosti. Nevím jestli potřebuji mít povolenou nějakou private IP ve VPS adminu?Honzasendimyrkr2017-04-29 5:11 GMT+02:00 Pavel Snajdr <snajpa@snajpa.net>:No, kdyz ho rozjedes v KVM, tak to muzes pouzivat rovnou - do budoucna to vypada jako jedina rozumne udrzitelna cesta - protoze ty kontejnery v upstream Linuxu az tak neizoluji, musi to mit pod palcem jeden admin/tym, ktery nema problem sdilet roota.Jinak, teda, davalo by mnohem vetsi smysl udelat Docker API pro vosAdmin, nebo - proc peoste nedodelame vpsAdminu neco-jako-Docker files?Musi to byt nutne Docker? Jak ho pouzivas? Pouzivas layery? Jak v nich resis aktualizace?/snajpaDíky, za info. Pochopil jsem tedy správně, že to jsou plány spíš na vyšší měsíce? Já potřebuji docker kvůli on-permises verzím služeb, konkrétně buddy.works potřebuje 12+, tak si chci jenom ujasnit jestli má smysl čekat nebo to prostě rozjet v AWS.Honzasendimyrkr2017-04-28 23:48 GMT+02:00 Pavel Snajdr <snajpa@snajpa.net>:On 04/28/2017 11:01 PM, Jan Dvořák wrote:
> Ahoj,
>
> ona je novější verze závislá na jádru 3.10+ a to je zatím asi ještě
> daleko. Já bych potřeboval verzi 12+. Nemá někdo ze správců nějakou
> informaci co by poskytla světýlko na konci tunelu?
Otazka je, jestli vubec bude jadro 3.10+, jak to presne bude vypadat.
Ve hre je nekolik variant, jedna "lepsi" nez druha:
Upstream Linux (4.8+ cca)
=========================
+ moderni upstream linux featury, co ocekava vetsina soucasnych
hype-driven developeru
+ moderni distributed storage technologie
+ kernel zacina byt dostatecne instrumentovatelny na honeni vykonu (a
hledani zdroju problemu s vykonem)
- nevyhovujici storage subsystem (nutnost lepit do nej ZFS)
- user namespace: neni mesic, aby nebylo aspon jedno privilege
escalation CVE spojene s user namespace => SHOW STOPPER. Pres toto nejde
vlak, my nemuzeme riskovat provoz neceho tak nebezpecne navrzeneho, jako
userns, ve skale, v jake kontejnery pouzivame (stovky lidi, kteri
pozaduji root + ruzne capabilities kernelu)
- nedodelany kernel-level resource accounting
Virtuozzo 7 (komercni)
======================
+ Live patching (workaround pro userns problem), timely security patche
+ Technologicky nejpokrocilejsi kontejnerizace na Linuxu
- user namespace (viz 1.)
- placene
- ma uzavrene casti
- kompletni supportovana distribuce, nemoznost vetsi customizace (liveOS
smerem uz vubec...)
OpenVZ 7 ("opensource")
=======================
- chybi dokumentace k cemukoliv (natoz jak to vybuildit vubec, nebyl by
ale problem, mame uz :D)
- naprosto nevstricny pristup vyvojaru ke komunite
- user ns
- stable verze vydavana jednou za uhersky rok, mezi tim je dostupny
akorat git HEAD => nutnost pickovani patchu + custom QA
OpenVZ 6
========
- podpora konci cca za rok
Illumos
=======
https://en.wikipedia.org/wiki/Illumos
+ nativni ZFS
+ stabilni a robustni design jadra napric
+ kontejnery nativne od roku 2005 (ie. kde mohl byt Linux, kdyby Linus
nemel osobni problem s vyvojari puvodniho OpenVZ....)
+ robustnejsi izolace (OpenVZ 6 bylo v tomhle velmi podobne),
zranitelnosti se casto daji zneuzit na ziskani roota na masine, jenom
pokud jsou pustene v global zone (hardware node, tj. primo, pod
nepreviligovanym userem, ale uz ne v kontejneru).
+ podporuje KVM/QEMU inside container
+ ma DTrace, ktery nam umozni realne zacit resit performance problemy
-> seriozne zvazujeme variantu opustit Linux a prejit na Illumos
-> Joyent implementoval Linux branded zones, co je asi nejpokrocilejsi
prekladova vrstva pro Linuxove ABI, ktera existuje aktualne
-> dokaze pustit moderni linuxova distra
-> nema iptables, pouziva se BSD pf na hostovi, kteremu se pravidla
zadavaji pres side channel
-> zatim nepodporuje cgroups+namespaces ABI, tj. pod LX branded zone
nejde spustit dalsi kontejnery (ale je to work in progress, nicmene
tezko rict, jestli/kdy bude nejaky vysledek venku)
-> tj. pokud neprejdeme na fullvirt (vysoce nepravdepodobne) nebo
komercni Virtuozzo 7, ceka nas kernel development
-> rosteme a kernel development prestava byt problem
-> pokud mame delat kernel development, je lepsi pracovat s komunitou,
se kterou se da dohodnout - Illumos je v tomhle mnohem pristupnejsi
ekosystem pro mensi hrace + je nuti k uzsi spolupraci.
-> pokud bychom nasadili Illumos, pravdepodobne nasadime i upstream
Linux a clenove dostanou na vyber:
- upstream Linux kontejner (se vsi jeho bezpecnosti, stabilitou, atd.,
ale taky s featurami nutnymi pro hype-driven developery) na HW s
upstream linux kernelem
a potom pojedeme na HW s Illumosem, ktery by mel byt stabilnejsi a
bezpecnejsi + s vyladenejsim vykonem:
- nativni Illumos kontejnery se SmartOSem (ma NetBSD package management,
kde je toho zabalene fakt hodne a tak.. na co Linux)...
- LX Branded zones - kde se da pustit stable Linuxova distra, ale bez
cgroups/namespaces, tj. na beh Linux-only binarnich aplikaci vetsinou
bez problemu (muzu zajemcum poskytnout Ubuntu 16.04 nad LX zonou uz ted
na vyzkouseni)
- QEMU/KVM zone - kdo potrebuje Linux/Windows, pusti si to holt v QEMU,
na ktere bychom meli poskytnout zdokumentovany template s postupem, jak
v nem rozjet spravne nastavenou plnou virtualizaci s forwardoanim
trafficu ven.
Takze cca tak se veci maji.
/snajpa
>
> Mimochodem, kdyby se rozhodlo experimentálně převést jeden server na
> OpenVZ 7, nebo co má trojkové jádro, tak se hlásím.
>
> Honza
>
> sendimyrkr
>
> 2017-04-28 22:20 GMT+02:00 Martin Sivák <mars@montik.net
> <mailto:mars@montik.net>>:
>
> Ještě jsem zapomněl na tu druhou roli (tu zásadnější):
> https://github.com/MarSik/ansible-roles/blob/master/openvz_ docker/tasks/main.yml
> <https://github.com/MarSik/ansible-roles/blob/master/openvz >_docker/tasks/main.yml
>
> Martin
>
> Dne 28. dubna 2017 22:15 Martin Sivák <mars@montik.net
> <mailto:mars@montik.net>> napsal(a):
> > Ahoj,
> >
> > Docker na CentOS 7 na vpsfree úspěšně provozuju. Jen by bylo fajn mít
> > nějakou novější verzi a nějaký výkonnější storage driver :/
> >
> > Mám to nastavení jako roli pro Ansible:
> > https://github.com/MarSik/ansible-roles/tree/master/docker
> <https://github.com/MarSik/ansible-roles/tree/master/docker > > <mailto:nesnera@email.cz>> napsal(a):
> >
> > Martin
> >
> > Dne 26. dubna 2017 23:17 Ladislav Nesnera <nesnera@email.cz
> >> Zdravím vespolek. Zkoušel jste někdo rozchodit Docker na CentOS 7
> (obdobně
> >> jako na Debian 8)? Zprávy o úspěchu vítány dvojnásob ;)
> >>
> >> ;?
> >>
> >>
> >> _______________________________________________ > <mailto:Community-list@lists.
> >> Community-list mailing list
> >> Community-list@lists.vpsfree.cz
vpsfree.cz >
> >> http://lists.vpsfree.cz/listinfo/community-list
> <http://lists.vpsfree.cz/listinfo/community-list >
> >>
> _______________________________________________ > Community-list@lists.vpsfree.
> Community-list mailing list
cz <mailto:Community-list@lists.vpsfree.cz >
> http://lists.vpsfree.cz/listinfo/community-list
> <http://lists.vpsfree.cz/listinfo/community-list >
>
>
>
>
> _______________________________________________
> Community-list mailing list
> Community-list@lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
>
_______________________________________________
Community-list mailing list
Community-list@lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________
Community-list mailing list
Community-list@lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________
Community-list mailing list
Community-list@lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list