Tak se nakonec povedlo díky za postrčení.

Honza

sendimyrkr

2017-04-29 18:09 GMT+02:00 Jan Dvořák <SendiMyrkr@gmail.com>:
Jednoduše je pro mě snazší použít docker image. Žel bohu nejsem žádný skvostný admin, spíš si zkouším/učím se. Teď jsem si zkoušel rozjet  KVM podle https://kb.vpsfree.cz/navody/vps/kvm ale nedaří se mi, protože to už je nad moje znalosti. Nevím jestli potřebuji mít povolenou nějakou private IP ve VPS adminu?

Honza

sendimyrkr

2017-04-29 5:11 GMT+02:00 Pavel Snajdr <snajpa@snajpa.net>:
No, kdyz ho rozjedes v KVM, tak to muzes pouzivat rovnou - do budoucna to vypada jako jedina rozumne udrzitelna cesta - protoze ty kontejnery v upstream Linuxu az tak neizoluji, musi to mit pod palcem jeden admin/tym, ktery nema problem sdilet roota.

Jinak, teda, davalo by mnohem vetsi smysl udelat Docker API pro vosAdmin, nebo - proc peoste nedodelame vpsAdminu neco-jako-Docker files?

Musi to byt nutne Docker? Jak ho pouzivas? Pouzivas layery? Jak v nich resis aktualizace?

/snajpa


On 29 Apr 2017, at 03:20, Jan Dvořák <SendiMyrkr@gmail.com> wrote:

Díky, za info. Pochopil jsem tedy správně, že to jsou plány spíš na vyšší měsíce? Já potřebuji docker kvůli on-permises verzím služeb, konkrétně buddy.works potřebuje 12+, tak si chci jenom ujasnit jestli má smysl čekat nebo to prostě rozjet v AWS.

Honza

sendimyrkr

2017-04-28 23:48 GMT+02:00 Pavel Snajdr <snajpa@snajpa.net>:
On 04/28/2017 11:01 PM, Jan Dvořák wrote:
> Ahoj,
>
> ona je novější verze závislá na jádru 3.10+ a to je zatím asi ještě
> daleko. Já bych potřeboval verzi 12+. Nemá někdo ze správců nějakou
> informaci co by poskytla světýlko na konci tunelu?

Otazka je, jestli vubec bude jadro 3.10+, jak to presne bude vypadat.

Ve hre je nekolik variant, jedna "lepsi" nez druha:

Upstream Linux (4.8+ cca)
=========================
+ moderni upstream linux featury, co ocekava vetsina soucasnych
hype-driven developeru
+ moderni distributed storage technologie
+ kernel zacina byt dostatecne instrumentovatelny na honeni vykonu (a
hledani zdroju problemu s vykonem)
- nevyhovujici storage subsystem (nutnost lepit do nej ZFS)
- user namespace: neni mesic, aby nebylo aspon jedno privilege
escalation CVE spojene s user namespace => SHOW STOPPER. Pres toto nejde
vlak, my nemuzeme riskovat provoz neceho tak nebezpecne navrzeneho, jako
userns, ve skale, v jake kontejnery pouzivame (stovky lidi, kteri
pozaduji root + ruzne capabilities kernelu)
- nedodelany kernel-level resource accounting

Virtuozzo 7 (komercni)
======================
+ Live patching (workaround pro userns problem), timely security patche
+ Technologicky nejpokrocilejsi kontejnerizace na Linuxu
- user namespace (viz 1.)
- placene
- ma uzavrene casti
- kompletni supportovana distribuce, nemoznost vetsi customizace (liveOS
smerem uz vubec...)

OpenVZ 7 ("opensource")
=======================
- chybi dokumentace k cemukoliv (natoz jak to vybuildit vubec, nebyl by
ale problem, mame uz :D)
- naprosto nevstricny pristup vyvojaru ke komunite
- user ns
- stable verze vydavana jednou za uhersky rok, mezi tim je dostupny
akorat git HEAD => nutnost pickovani patchu + custom QA

OpenVZ 6
========
- podpora konci cca za rok

Illumos
=======
https://en.wikipedia.org/wiki/Illumos

+ nativni ZFS
+ stabilni a robustni design jadra napric
+ kontejnery nativne od roku 2005 (ie. kde mohl byt Linux, kdyby Linus
nemel osobni problem s vyvojari puvodniho OpenVZ....)
+ robustnejsi izolace (OpenVZ 6 bylo v tomhle velmi podobne),
zranitelnosti se casto daji zneuzit na ziskani roota na masine, jenom
pokud jsou pustene v global zone (hardware node, tj. primo, pod
nepreviligovanym userem, ale uz ne v kontejneru).
+ podporuje KVM/QEMU inside container
+ ma DTrace, ktery nam umozni realne zacit resit performance problemy

-> seriozne zvazujeme variantu opustit Linux a prejit na Illumos
-> Joyent implementoval Linux branded zones, co je asi nejpokrocilejsi
prekladova vrstva pro Linuxove ABI, ktera existuje aktualne
-> dokaze pustit moderni linuxova distra
-> nema iptables, pouziva se BSD pf na hostovi, kteremu se pravidla
zadavaji pres side channel
-> zatim nepodporuje cgroups+namespaces ABI, tj. pod LX branded zone
nejde spustit dalsi kontejnery (ale je to work in progress, nicmene
tezko rict, jestli/kdy bude nejaky vysledek venku)

-> tj. pokud neprejdeme na fullvirt (vysoce nepravdepodobne) nebo
komercni Virtuozzo 7, ceka nas kernel development

-> rosteme a kernel development prestava byt problem

-> pokud mame delat kernel development, je lepsi pracovat s komunitou,
se kterou se da dohodnout - Illumos je v tomhle mnohem pristupnejsi
ekosystem pro mensi hrace + je nuti k uzsi spolupraci.

-> pokud bychom nasadili Illumos, pravdepodobne nasadime i upstream
Linux a clenove dostanou na vyber:

- upstream Linux kontejner (se vsi jeho bezpecnosti, stabilitou, atd.,
ale taky s featurami nutnymi pro hype-driven developery) na HW s
upstream linux kernelem

a potom pojedeme na HW s Illumosem, ktery by mel byt stabilnejsi a
bezpecnejsi + s vyladenejsim vykonem:

- nativni Illumos kontejnery se SmartOSem (ma NetBSD package management,
kde je toho zabalene fakt hodne a tak.. na co Linux)...

- LX Branded zones - kde se da pustit stable Linuxova distra, ale bez
cgroups/namespaces, tj. na beh Linux-only binarnich aplikaci vetsinou
bez problemu (muzu zajemcum poskytnout Ubuntu 16.04 nad LX zonou uz ted
na vyzkouseni)

- QEMU/KVM zone - kdo potrebuje Linux/Windows, pusti si to holt v QEMU,
na ktere bychom meli poskytnout zdokumentovany template s postupem, jak
v nem rozjet spravne nastavenou plnou virtualizaci s forwardoanim
trafficu ven.

Takze cca tak se veci maji.

/snajpa

>
> Mimochodem, kdyby se rozhodlo experimentálně převést jeden server na
> OpenVZ 7, nebo co má trojkové jádro, tak se hlásím.
>
> Honza
>
> sendimyrkr
>
> 2017-04-28 22:20 GMT+02:00 Martin Sivák <mars@montik.net
> <mailto:mars@montik.net>>:
>
>     Ještě jsem zapomněl na tu druhou roli (tu zásadnější):
>     https://github.com/MarSik/ansible-roles/blob/master/openvz_docker/tasks/main.yml
>     <https://github.com/MarSik/ansible-roles/blob/master/openvz_docker/tasks/main.yml>
>
>     Martin

>
>     Dne 28. dubna 2017 22:15 Martin Sivák <mars@montik.net
>     <mailto:mars@montik.net>> napsal(a):
>     > Ahoj,
>     >
>     > Docker na CentOS 7 na vpsfree úspěšně provozuju. Jen by bylo fajn mít
>     > nějakou novější verzi a nějaký výkonnější storage driver :/
>     >
>     > Mám to nastavení jako roli pro Ansible:
>     > https://github.com/MarSik/ansible-roles/tree/master/docker
>     <https://github.com/MarSik/ansible-roles/tree/master/docker>
>     >
>     > Martin
>     >
>     > Dne 26. dubna 2017 23:17 Ladislav Nesnera <nesnera@email.cz
>     <mailto:nesnera@email.cz>> napsal(a):
>     >> Zdravím vespolek. Zkoušel jste někdo rozchodit Docker na CentOS 7
>     (obdobně
>     >> jako na Debian 8)? Zprávy o úspěchu vítány dvojnásob ;)
>     >>
>     >> ;?
>     >>
>     >>
>     >> _______________________________________________
>     >> Community-list mailing list
>     >> Community-list@lists.vpsfree.cz
>     <mailto:Community-list@lists.vpsfree.cz>
>     >> http://lists.vpsfree.cz/listinfo/community-list
>     <http://lists.vpsfree.cz/listinfo/community-list>
>     >>
>     _______________________________________________
>     Community-list mailing list
>     Community-list@lists.vpsfree.cz <mailto:Community-list@lists.vpsfree.cz>
>     http://lists.vpsfree.cz/listinfo/community-list
>     <http://lists.vpsfree.cz/listinfo/community-list>
>
>
>
>
> _______________________________________________
> Community-list mailing list
> Community-list@lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
>


_______________________________________________
Community-list mailing list
Community-list@lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list


_______________________________________________
Community-list mailing list
Community-list@lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list

_______________________________________________
Community-list mailing list
Community-list@lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list