Zdravím vespolek. Zkoušel jste někdo rozchodit Docker na CentOS 7 (obdobně jako na Debian 8 https://kb.vpsfree.org/manuals/server/docker_for_debian)? Zprávy o úspěchu vítány dvojnásob ;)
;?
Zdravím, ano Docker na CentOS 7 pod OpenVZ nám běží, několik poznámek k tomu jsme dali do znalostní báze https://kb.vpsfree.cz/navody/server/nextcloud_docker_centos. Současný stav je již trošku odlišný, např. máme Redis v dalším kontejneru, ale základ stále platí. V podstatě spokojenost, dělá to, co jsme požadovali (žádné extrémní požadavky na výkon jsme neměli). Přeju pěkný den, O. Stefan
Zdravím vespolek. Zkoušel jste někdo rozchodit Docker na CentOS 7 (obdobně jako na Debian 8 https://kb.vpsfree.org/manuals/server/docker_for_debian)? Zprávy o úspěchu vítány dvojnásob ;)
;?
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Díky (y)
Úspěšné rozchození Dockeru dle návodu mohu potvrdit. Vynechal jsem jen krok 5, spouštím jako # systemctl start docker a # docker run hello-world funguje.
Dík patří ještě osazenstvu base48 (jmenovitě b42, Snajpa, Sorki a mimo base Šimon) s kterými jsem v noci dospěl k témuž.
;?
On 27.4.2017 05:40, Oto Stefan wrote:
Zdravím, ano Docker na CentOS 7 pod OpenVZ nám běží, několik poznámek k tomu jsme dali do znalostní báze https://kb.vpsfree.cz/navody/server/nextcloud_docker_centos. Současný stav je již trošku odlišný, např. máme Redis v dalším kontejneru, ale základ stále platí. V podstatě spokojenost, dělá to, co jsme požadovali (žádné extrémní požadavky na výkon jsme neměli). Přeju pěkný den, O. Stefan
Zdravím vespolek. Zkoušel jste někdo rozchodit Docker na CentOS 7 (obdobně jako na Debian 8 https://kb.vpsfree.org/manuals/server/docker_for_debian)? Zprávy o úspěchu vítány dvojnásob ;)
;?
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Ahoj,
bude to fungovat i pro CentOS 6 ?
Honza
Dne 27. dubna 2017 9:47 Ladislav Nesnera nesnera@email.cz napsal(a):
Díky (y)
Úspěšné rozchození Dockeru dle návodu mohu potvrdit. Vynechal jsem jen krok 5, spouštím jako # systemctl start docker a # docker run hello-world funguje.
Dík patří ještě osazenstvu base48 (jmenovitě b42, Snajpa, Sorki a mimo base Šimon) s kterými jsem v noci dospěl k témuž.
;?
On 27.4.2017 05:40, Oto Stefan wrote:
Zdravím, ano Docker na CentOS 7 pod OpenVZ nám běží, několik poznámek k tomu jsme dali do znalostní báze https://kb.vpsfree.cz/navody/server/nextcloud_docker_centos. Současný stav je již trošku odlišný, např. máme Redis v dalším kontejneru, ale základ stále platí. V podstatě spokojenost, dělá to, co jsme požadovali (žádné extrémní požadavky na výkon jsme neměli). Přeju pěkný den, O. Stefan
Zdravím vespolek. Zkoušel jste někdo rozchodit Docker na CentOS 7 (obdobně jako na Debian 8 https://kb.vpsfree.org/manuals/server/docker_for_debian)? Zprávy o úspěchu vítány dvojnásob ;)
;?
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Šestku nevím - nezkoušel jsem.
Dokonce i 7čka si po restartu postavila hlavu ve virtuálce, která předtím fachčila. Naštěstí jsem měl druhou a ta držela, tak jsem na ní vyzkoušel image pro CAS https://www.apereo.org/projects/cas a Discourse https://en.wikipedia.org/wiki/Discourse_%28software%29 a pohořel jsem. KVM to jistilo, tudíž Docker 17.xx.Discourse se s tím spokojil, CAS vzdoroval i tak, tudíž kašlu na Docker a pokusím se o Maven variantu https://apereo.github.io/cas/5.0.x/installation/Maven-Overlay-Installation.html.
Kdyby snad někdo chtěl hledat rozdíly, tak:
*** funkční varianta ***
# systemctl -l status docker ● docker.service - Docker Application Container Engine Loaded: loaded (/usr/lib/systemd/system/docker.service; enabled; vendor preset: disabled) Active: active (running) since Čt 2017-04-27 00:06:19 CEST; 13h ago Docs: http://docs.docker.com Main PID: 1640 (docker-current) Memory: 19.0M CGroup: /system.slice/docker.service └─1640 /usr/bin/docker-current daemon --exec-opt native.cgroupdriver=systemd --selinux-enabled --log-driver=journald
dub 27 13:18:59 lada docker-current[1640]: time="2017-04-27T13:18:59.449156023+02:00" level=warning msg="Seccomp is not enabled in your kernel, running container without default profile." dub 27 13:18:59 lada oci-register-machine[4554]: 2017/04/27 13:18:59 Register machine: prestart 8e790ca2f39c3e437bb622a0d331cf478467d90de5fe583716a3fbd1e62dcf51 4543 /var/lib/docker/vfs/dir/51f07b76fd74da7307d22e24bed23bfe9fc669337044547a25395d40d9baf987 dub 27 13:18:59 lada oci-systemd-hook[4560]: systemdhook <debug>: parse 1783 bytes of config data from file dub 27 13:18:59 lada docker-current[1640]: [95B blob data] dub 27 13:18:59 lada docker-current[1640]: time="2017-04-27T13:18:59.737788095+02:00" level=warning msg="os: process already finished" dub 27 13:18:59 lada oci-register-machine[4563]: 2017/04/27 13:18:59 Register machine: poststop 8e790ca2f39c3e437bb622a0d331cf478467d90de5fe583716a3fbd1e62dcf51 0 /var/lib/docker/vfs/dir/51f07b76fd74da7307d22e24bed23bfe9fc669337044547a25395d40d9baf987 dub 27 13:18:59 lada docker-current[1640]: time="2017-04-27T13:18:59.884123454+02:00" level=error msg="error locating sandbox id 3cceecb1924ba951cfbc898325ddbe969b12a02e8b210178920d9f33e1f0cf95: sandbox 3cceecb1924ba951cfbc898325ddbe969b12a02e8b210178920d9f33e1f0cf95 not found" dub 27 13:18:59 lada docker-current[1640]: time="2017-04-27T13:18:59.884194765+02:00" level=warning msg="failed to cleanup ipc mounts:\nfailed to umount /var/lib/docker/containers/8e790ca2f39c3e437bb622a0d331cf478467d90de5fe583716a3fbd1e62dcf51/shm: invalid argument" dub 27 13:18:59 lada docker-current[1640]: time="2017-04-27T13:18:59.884219793+02:00" level=error msg="Error unmounting container 8e790ca2f39c3e437bb622a0d331cf478467d90de5fe583716a3fbd1e62dcf51: not mounted" dub 27 13:18:59 lada docker-current[1640]: time="2017-04-27T13:18:59.884337919+02:00" level=error msg="Handler for POST /v1.22/containers/8e790ca2f39c3e437bb622a0d331cf478467d90de5fe583716a3fbd1e62dcf51/start returned error: Container command not found or does not exist."
*** nefunkční varianta ***
systemctl status docker ● docker.service - Docker Application Container Engine Loaded: loaded (/usr/lib/systemd/system/docker.service; disabled; vendor preset: disabled) Drop-In: /etc/systemd/system/docker.service.d └─shared_mounts.conf Active: failed (Result: exit-code) since Čt 2017-04-27 12:52:12 CEST; 21min ago Docs: http://docs.docker.com Process: 1077 ExecStart=/usr/bin/docker-current daemon --exec-opt native.cgroupdriver=systemd $OPTIONS $DOCKER_STORAGE_OPTIONS $DOCKER_NETWORK_OPTIONS $ADD_REGISTRY $BLOCK_REGISTRY $INSECURE_REGISTRY (code=exited, status=1/FAILURE) Main PID: 1077 (code=exited, status=1/FAILURE)
dub 27 12:52:12 iam docker-current[1077]: time="2017-04-27T12:52:12.277343493+02:00" level=warning msg="Docker could not enable SELinux on the host system" dub 27 12:52:12 iam docker-current[1077]: time="2017-04-27T12:52:12.280300134+02:00" level=info msg="Graph migration to content-addressability took 0.00 seconds" dub 27 12:52:12 iam docker-current[1077]: time="2017-04-27T12:52:12.283029537+02:00" level=warning msg="Running modprobe nf_nat failed with message: ``, er... status 1" dub 27 12:52:12 iam docker-current[1077]: time="2017-04-27T12:52:12.286718921+02:00" level=info msg="Firewalld running: false" dub 27 12:52:12 iam docker-current[1077]: time="2017-04-27T12:52:12.484775931+02:00" level=info msg="Default bridge (docker0) is assigned with an IP addres...P address" dub 27 12:52:12 iam docker-current[1077]: time="2017-04-27T12:52:12.522708036+02:00" level=fatal msg="Error starting daemon: Error initializing network controller: E... dub 27 12:52:12 iam systemd[1]: docker.service: main process exited, code=exited, status=1/FAILURE dub 27 12:52:12 iam systemd[1]: Failed to start Docker Application Container Engine. dub 27 12:52:12 iam systemd[1]: Unit docker.service entered failed state. dub 27 12:52:12 iam systemd[1]: docker.service failed.
Ještě že je venku tak "krásně" :D
;?
On 27.4.2017 10:03, Honza KAŠPÁREK wrote:
Ahoj,
bude to fungovat i pro CentOS 6 ?
Honza
Dne 27. dubna 2017 9:47 Ladislav Nesnera nesnera@email.cz napsal(a):
Díky (y)
Úspěšné rozchození Dockeru dle návodu mohu potvrdit. Vynechal jsem jen krok 5, spouštím jako # systemctl start docker a # docker run hello-world funguje.
Dík patří ještě osazenstvu base48 (jmenovitě b42, Snajpa, Sorki a mimo base Šimon) s kterými jsem v noci dospěl k témuž.
;?
On 27.4.2017 05:40, Oto Stefan wrote:
Zdravím, ano Docker na CentOS 7 pod OpenVZ nám běží, několik poznámek k tomu jsme dali do znalostní báze https://kb.vpsfree.cz/navody/server/nextcloud_docker_centos. Současný stav je již trošku odlišný, např. máme Redis v dalším kontejneru, ale základ stále platí. V podstatě spokojenost, dělá to, co jsme požadovali (žádné extrémní požadavky na výkon jsme neměli). Přeju pěkný den, O. Stefan
Zdravím vespolek. Zkoušel jste někdo rozchodit Docker na CentOS 7 (obdobně jako na Debian 8 https://kb.vpsfree.org/manuals/server/docker_for_debian)? Zprávy o úspěchu vítány dvojnásob ;)
;?
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Jen je otazka, jestli je dobre z pohledu bezpecnosti mit tak starou verzi..
S pozdravem / Best regards, J. Skácel
Sent from my iPhone
27. 4. 2017 v 9:47, Ladislav Nesnera nesnera@email.cz:
Díky (y)
Úspěšné rozchození Dockeru dle návodu mohu potvrdit. Vynechal jsem jen krok 5, spouštím jako # systemctl start docker a # docker run hello-world funguje.
Dík patří ještě osazenstvu base48 (jmenovitě b42, Snajpa, Sorki a mimo base Šimon) s kterými jsem v noci dospěl k témuž.
;?
On 27.4.2017 05:40, Oto Stefan wrote: Zdravím, ano Docker na CentOS 7 pod OpenVZ nám běží, několik poznámek k tomu jsme dali do znalostní báze https://kb.vpsfree.cz/navody/server/nextcloud_docker_centos. Současný stav je již trošku odlišný, např. máme Redis v dalším kontejneru, ale základ stále platí. V podstatě spokojenost, dělá to, co jsme požadovali (žádné extrémní požadavky na výkon jsme neměli). Přeju pěkný den, O. Stefan
Zdravím vespolek. Zkoušel jste někdo rozchodit Docker na CentOS 7 (obdobně jako na Debian 8 https://kb.vpsfree.org/manuals/server/docker_for_debian)? Zprávy o úspěchu vítány dvojnásob ;)
;?
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Ahoj,
Docker na CentOS 7 na vpsfree úspěšně provozuju. Jen by bylo fajn mít nějakou novější verzi a nějaký výkonnější storage driver :/
Mám to nastavení jako roli pro Ansible: https://github.com/MarSik/ansible-roles/tree/master/docker
Martin
Dne 26. dubna 2017 23:17 Ladislav Nesnera nesnera@email.cz napsal(a):
Zdravím vespolek. Zkoušel jste někdo rozchodit Docker na CentOS 7 (obdobně jako na Debian 8)? Zprávy o úspěchu vítány dvojnásob ;)
;?
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Ještě jsem zapomněl na tu druhou roli (tu zásadnější): https://github.com/MarSik/ansible-roles/blob/master/openvz_docker/tasks/main...
Martin
Dne 28. dubna 2017 22:15 Martin Sivák mars@montik.net napsal(a):
Ahoj,
Docker na CentOS 7 na vpsfree úspěšně provozuju. Jen by bylo fajn mít nějakou novější verzi a nějaký výkonnější storage driver :/
Mám to nastavení jako roli pro Ansible: https://github.com/MarSik/ansible-roles/tree/master/docker
Martin
Dne 26. dubna 2017 23:17 Ladislav Nesnera nesnera@email.cz napsal(a):
Zdravím vespolek. Zkoušel jste někdo rozchodit Docker na CentOS 7 (obdobně jako na Debian 8)? Zprávy o úspěchu vítány dvojnásob ;)
;?
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Ahoj,
ona je novější verze závislá na jádru 3.10+ a to je zatím asi ještě daleko. Já bych potřeboval verzi 12+. Nemá někdo ze správců nějakou informaci co by poskytla světýlko na konci tunelu?
Mimochodem, kdyby se rozhodlo experimentálně převést jeden server na OpenVZ 7, nebo co má trojkové jádro, tak se hlásím.
Honza
sendimyrkr
2017-04-28 22:20 GMT+02:00 Martin Sivák mars@montik.net:
Ještě jsem zapomněl na tu druhou roli (tu zásadnější): https://github.com/MarSik/ansible-roles/blob/master/ openvz_docker/tasks/main.yml
Martin
Dne 28. dubna 2017 22:15 Martin Sivák mars@montik.net napsal(a):
Ahoj,
Docker na CentOS 7 na vpsfree úspěšně provozuju. Jen by bylo fajn mít nějakou novější verzi a nějaký výkonnější storage driver :/
Mám to nastavení jako roli pro Ansible: https://github.com/MarSik/ansible-roles/tree/master/docker
Martin
Dne 26. dubna 2017 23:17 Ladislav Nesnera nesnera@email.cz napsal(a):
Zdravím vespolek. Zkoušel jste někdo rozchodit Docker na CentOS 7
(obdobně
jako na Debian 8)? Zprávy o úspěchu vítány dvojnásob ;)
;?
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
On 04/28/2017 11:01 PM, Jan Dvořák wrote:
Ahoj,
ona je novější verze závislá na jádru 3.10+ a to je zatím asi ještě daleko. Já bych potřeboval verzi 12+. Nemá někdo ze správců nějakou informaci co by poskytla světýlko na konci tunelu?
Otazka je, jestli vubec bude jadro 3.10+, jak to presne bude vypadat.
Ve hre je nekolik variant, jedna "lepsi" nez druha:
Upstream Linux (4.8+ cca) ========================= + moderni upstream linux featury, co ocekava vetsina soucasnych hype-driven developeru + moderni distributed storage technologie + kernel zacina byt dostatecne instrumentovatelny na honeni vykonu (a hledani zdroju problemu s vykonem) - nevyhovujici storage subsystem (nutnost lepit do nej ZFS) - user namespace: neni mesic, aby nebylo aspon jedno privilege escalation CVE spojene s user namespace => SHOW STOPPER. Pres toto nejde vlak, my nemuzeme riskovat provoz neceho tak nebezpecne navrzeneho, jako userns, ve skale, v jake kontejnery pouzivame (stovky lidi, kteri pozaduji root + ruzne capabilities kernelu) - nedodelany kernel-level resource accounting
Virtuozzo 7 (komercni) ====================== + Live patching (workaround pro userns problem), timely security patche + Technologicky nejpokrocilejsi kontejnerizace na Linuxu - user namespace (viz 1.) - placene - ma uzavrene casti - kompletni supportovana distribuce, nemoznost vetsi customizace (liveOS smerem uz vubec...)
OpenVZ 7 ("opensource") ======================= - chybi dokumentace k cemukoliv (natoz jak to vybuildit vubec, nebyl by ale problem, mame uz :D) - naprosto nevstricny pristup vyvojaru ke komunite - user ns - stable verze vydavana jednou za uhersky rok, mezi tim je dostupny akorat git HEAD => nutnost pickovani patchu + custom QA
OpenVZ 6 ======== - podpora konci cca za rok
Illumos ======= https://en.wikipedia.org/wiki/Illumos
+ nativni ZFS + stabilni a robustni design jadra napric + kontejnery nativne od roku 2005 (ie. kde mohl byt Linux, kdyby Linus nemel osobni problem s vyvojari puvodniho OpenVZ....) + robustnejsi izolace (OpenVZ 6 bylo v tomhle velmi podobne), zranitelnosti se casto daji zneuzit na ziskani roota na masine, jenom pokud jsou pustene v global zone (hardware node, tj. primo, pod nepreviligovanym userem, ale uz ne v kontejneru). + podporuje KVM/QEMU inside container + ma DTrace, ktery nam umozni realne zacit resit performance problemy
-> seriozne zvazujeme variantu opustit Linux a prejit na Illumos -> Joyent implementoval Linux branded zones, co je asi nejpokrocilejsi prekladova vrstva pro Linuxove ABI, ktera existuje aktualne -> dokaze pustit moderni linuxova distra -> nema iptables, pouziva se BSD pf na hostovi, kteremu se pravidla zadavaji pres side channel -> zatim nepodporuje cgroups+namespaces ABI, tj. pod LX branded zone nejde spustit dalsi kontejnery (ale je to work in progress, nicmene tezko rict, jestli/kdy bude nejaky vysledek venku)
-> tj. pokud neprejdeme na fullvirt (vysoce nepravdepodobne) nebo komercni Virtuozzo 7, ceka nas kernel development
-> rosteme a kernel development prestava byt problem
-> pokud mame delat kernel development, je lepsi pracovat s komunitou, se kterou se da dohodnout - Illumos je v tomhle mnohem pristupnejsi ekosystem pro mensi hrace + je nuti k uzsi spolupraci.
-> pokud bychom nasadili Illumos, pravdepodobne nasadime i upstream Linux a clenove dostanou na vyber:
- upstream Linux kontejner (se vsi jeho bezpecnosti, stabilitou, atd., ale taky s featurami nutnymi pro hype-driven developery) na HW s upstream linux kernelem
a potom pojedeme na HW s Illumosem, ktery by mel byt stabilnejsi a bezpecnejsi + s vyladenejsim vykonem:
- nativni Illumos kontejnery se SmartOSem (ma NetBSD package management, kde je toho zabalene fakt hodne a tak.. na co Linux)...
- LX Branded zones - kde se da pustit stable Linuxova distra, ale bez cgroups/namespaces, tj. na beh Linux-only binarnich aplikaci vetsinou bez problemu (muzu zajemcum poskytnout Ubuntu 16.04 nad LX zonou uz ted na vyzkouseni)
- QEMU/KVM zone - kdo potrebuje Linux/Windows, pusti si to holt v QEMU, na ktere bychom meli poskytnout zdokumentovany template s postupem, jak v nem rozjet spravne nastavenou plnou virtualizaci s forwardoanim trafficu ven.
Takze cca tak se veci maji.
/snajpa
Mimochodem, kdyby se rozhodlo experimentálně převést jeden server na OpenVZ 7, nebo co má trojkové jádro, tak se hlásím.
Honza
sendimyrkr
2017-04-28 22:20 GMT+02:00 Martin Sivák <mars@montik.net mailto:mars@montik.net>:
Ještě jsem zapomněl na tu druhou roli (tu zásadnější): https://github.com/MarSik/ansible-roles/blob/master/openvz_docker/tasks/main.yml <https://github.com/MarSik/ansible-roles/blob/master/openvz_docker/tasks/main.yml> Martin
Dne 28. dubna 2017 22:15 Martin Sivák <mars@montik.net <mailto:mars@montik.net>> napsal(a): > Ahoj, > > Docker na CentOS 7 na vpsfree úspěšně provozuju. Jen by bylo fajn mít > nějakou novější verzi a nějaký výkonnější storage driver :/ > > Mám to nastavení jako roli pro Ansible: > https://github.com/MarSik/ansible-roles/tree/master/docker <https://github.com/MarSik/ansible-roles/tree/master/docker> > > Martin > > Dne 26. dubna 2017 23:17 Ladislav Nesnera <nesnera@email.cz <mailto:nesnera@email.cz>> napsal(a): >> Zdravím vespolek. Zkoušel jste někdo rozchodit Docker na CentOS 7 (obdobně >> jako na Debian 8)? Zprávy o úspěchu vítány dvojnásob ;) >> >> ;? >> >> >> _______________________________________________ >> Community-list mailing list >> Community-list@lists.vpsfree.cz <mailto:Community-list@lists.vpsfree.cz> >> http://lists.vpsfree.cz/listinfo/community-list <http://lists.vpsfree.cz/listinfo/community-list> >> _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz <mailto:Community-list@lists.vpsfree.cz> http://lists.vpsfree.cz/listinfo/community-list <http://lists.vpsfree.cz/listinfo/community-list>
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Díky, za info. Pochopil jsem tedy správně, že to jsou plány spíš na vyšší měsíce? Já potřebuji docker kvůli on-permises verzím služeb, konkrétně buddy.works potřebuje 12+, tak si chci jenom ujasnit jestli má smysl čekat nebo to prostě rozjet v AWS.
Honza
sendimyrkr
2017-04-28 23:48 GMT+02:00 Pavel Snajdr snajpa@snajpa.net:
On 04/28/2017 11:01 PM, Jan Dvořák wrote:
Ahoj,
ona je novější verze závislá na jádru 3.10+ a to je zatím asi ještě daleko. Já bych potřeboval verzi 12+. Nemá někdo ze správců nějakou informaci co by poskytla světýlko na konci tunelu?
Otazka je, jestli vubec bude jadro 3.10+, jak to presne bude vypadat.
Ve hre je nekolik variant, jedna "lepsi" nez druha:
Upstream Linux (4.8+ cca)
- moderni upstream linux featury, co ocekava vetsina soucasnych
hype-driven developeru
- moderni distributed storage technologie
- kernel zacina byt dostatecne instrumentovatelny na honeni vykonu (a
hledani zdroju problemu s vykonem)
- nevyhovujici storage subsystem (nutnost lepit do nej ZFS)
- user namespace: neni mesic, aby nebylo aspon jedno privilege
escalation CVE spojene s user namespace => SHOW STOPPER. Pres toto nejde vlak, my nemuzeme riskovat provoz neceho tak nebezpecne navrzeneho, jako userns, ve skale, v jake kontejnery pouzivame (stovky lidi, kteri pozaduji root + ruzne capabilities kernelu)
- nedodelany kernel-level resource accounting
Virtuozzo 7 (komercni)
- Live patching (workaround pro userns problem), timely security patche
- Technologicky nejpokrocilejsi kontejnerizace na Linuxu
- user namespace (viz 1.)
- placene
- ma uzavrene casti
- kompletni supportovana distribuce, nemoznost vetsi customizace (liveOS
smerem uz vubec...)
OpenVZ 7 ("opensource")
- chybi dokumentace k cemukoliv (natoz jak to vybuildit vubec, nebyl by
ale problem, mame uz :D)
- naprosto nevstricny pristup vyvojaru ke komunite
- user ns
- stable verze vydavana jednou za uhersky rok, mezi tim je dostupny
akorat git HEAD => nutnost pickovani patchu + custom QA
OpenVZ 6
- podpora konci cca za rok
Illumos
https://en.wikipedia.org/wiki/Illumos
- nativni ZFS
- stabilni a robustni design jadra napric
- kontejnery nativne od roku 2005 (ie. kde mohl byt Linux, kdyby Linus
nemel osobni problem s vyvojari puvodniho OpenVZ....)
- robustnejsi izolace (OpenVZ 6 bylo v tomhle velmi podobne),
zranitelnosti se casto daji zneuzit na ziskani roota na masine, jenom pokud jsou pustene v global zone (hardware node, tj. primo, pod nepreviligovanym userem, ale uz ne v kontejneru).
- podporuje KVM/QEMU inside container
- ma DTrace, ktery nam umozni realne zacit resit performance problemy
-> seriozne zvazujeme variantu opustit Linux a prejit na Illumos -> Joyent implementoval Linux branded zones, co je asi nejpokrocilejsi prekladova vrstva pro Linuxove ABI, ktera existuje aktualne -> dokaze pustit moderni linuxova distra -> nema iptables, pouziva se BSD pf na hostovi, kteremu se pravidla zadavaji pres side channel -> zatim nepodporuje cgroups+namespaces ABI, tj. pod LX branded zone nejde spustit dalsi kontejnery (ale je to work in progress, nicmene tezko rict, jestli/kdy bude nejaky vysledek venku)
-> tj. pokud neprejdeme na fullvirt (vysoce nepravdepodobne) nebo komercni Virtuozzo 7, ceka nas kernel development
-> rosteme a kernel development prestava byt problem
-> pokud mame delat kernel development, je lepsi pracovat s komunitou, se kterou se da dohodnout - Illumos je v tomhle mnohem pristupnejsi ekosystem pro mensi hrace + je nuti k uzsi spolupraci.
-> pokud bychom nasadili Illumos, pravdepodobne nasadime i upstream Linux a clenove dostanou na vyber:
- upstream Linux kontejner (se vsi jeho bezpecnosti, stabilitou, atd.,
ale taky s featurami nutnymi pro hype-driven developery) na HW s upstream linux kernelem
a potom pojedeme na HW s Illumosem, ktery by mel byt stabilnejsi a bezpecnejsi + s vyladenejsim vykonem:
- nativni Illumos kontejnery se SmartOSem (ma NetBSD package management,
kde je toho zabalene fakt hodne a tak.. na co Linux)...
- LX Branded zones - kde se da pustit stable Linuxova distra, ale bez
cgroups/namespaces, tj. na beh Linux-only binarnich aplikaci vetsinou bez problemu (muzu zajemcum poskytnout Ubuntu 16.04 nad LX zonou uz ted na vyzkouseni)
- QEMU/KVM zone - kdo potrebuje Linux/Windows, pusti si to holt v QEMU,
na ktere bychom meli poskytnout zdokumentovany template s postupem, jak v nem rozjet spravne nastavenou plnou virtualizaci s forwardoanim trafficu ven.
Takze cca tak se veci maji.
/snajpa
Mimochodem, kdyby se rozhodlo experimentálně převést jeden server na OpenVZ 7, nebo co má trojkové jádro, tak se hlásím.
Honza
sendimyrkr
2017-04-28 22:20 GMT+02:00 Martin Sivák <mars@montik.net mailto:mars@montik.net>:
Ještě jsem zapomněl na tu druhou roli (tu zásadnější): https://github.com/MarSik/ansible-roles/blob/master/openvz_docker/tasks/main.yml
<https://github.com/MarSik/ansible-roles/blob/master/openvz_docker/tasks/main.yml>
MartinDne 28. dubna 2017 22:15 Martin Sivák <mars@montik.net <mailto:mars@montik.net>> napsal(a): > Ahoj, > > Docker na CentOS 7 na vpsfree úspěšně provozuju. Jen by bylo fajnmít
> nějakou novější verzi a nějaký výkonnější storage driver :/ > > Mám to nastavení jako roli pro Ansible: > https://github.com/MarSik/ansible-roles/tree/master/docker <https://github.com/MarSik/ansible-roles/tree/master/docker> > > Martin > > Dne 26. dubna 2017 23:17 Ladislav Nesnera <nesnera@email.cz <mailto:nesnera@email.cz>> napsal(a): >> Zdravím vespolek. Zkoušel jste někdo rozchodit Docker na CentOS 7 (obdobně >> jako na Debian 8)? Zprávy o úspěchu vítány dvojnásob ;) >> >> ;? >> >> >> _______________________________________________ >> Community-list mailing list >> Community-list@lists.vpsfree.cz <mailto:Community-list@lists.vpsfree.cz> >> http://lists.vpsfree.cz/listinfo/community-list <http://lists.vpsfree.cz/listinfo/community-list> >> _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz <mailto:Community-list@lists.vpsfree.cz>
http://lists.vpsfree.cz/listinfo/community-list <http://lists.vpsfree.cz/listinfo/community-list>
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
No, kdyz ho rozjedes v KVM, tak to muzes pouzivat rovnou - do budoucna to vypada jako jedina rozumne udrzitelna cesta - protoze ty kontejnery v upstream Linuxu az tak neizoluji, musi to mit pod palcem jeden admin/tym, ktery nema problem sdilet roota.
Jinak, teda, davalo by mnohem vetsi smysl udelat Docker API pro vosAdmin, nebo - proc peoste nedodelame vpsAdminu neco-jako-Docker files?
Musi to byt nutne Docker? Jak ho pouzivas? Pouzivas layery? Jak v nich resis aktualizace?
/snajpa
On 29 Apr 2017, at 03:20, Jan Dvořák SendiMyrkr@gmail.com wrote:
Díky, za info. Pochopil jsem tedy správně, že to jsou plány spíš na vyšší měsíce? Já potřebuji docker kvůli on-permises verzím služeb, konkrétně buddy.works potřebuje 12+, tak si chci jenom ujasnit jestli má smysl čekat nebo to prostě rozjet v AWS.
Honza
sendimyrkr
2017-04-28 23:48 GMT+02:00 Pavel Snajdr snajpa@snajpa.net:
On 04/28/2017 11:01 PM, Jan Dvořák wrote:
Ahoj,
ona je novější verze závislá na jádru 3.10+ a to je zatím asi ještě daleko. Já bych potřeboval verzi 12+. Nemá někdo ze správců nějakou informaci co by poskytla světýlko na konci tunelu?
Otazka je, jestli vubec bude jadro 3.10+, jak to presne bude vypadat.
Ve hre je nekolik variant, jedna "lepsi" nez druha:
Upstream Linux (4.8+ cca)
- moderni upstream linux featury, co ocekava vetsina soucasnych
hype-driven developeru
- moderni distributed storage technologie
- kernel zacina byt dostatecne instrumentovatelny na honeni vykonu (a
hledani zdroju problemu s vykonem)
- nevyhovujici storage subsystem (nutnost lepit do nej ZFS)
- user namespace: neni mesic, aby nebylo aspon jedno privilege
escalation CVE spojene s user namespace => SHOW STOPPER. Pres toto nejde vlak, my nemuzeme riskovat provoz neceho tak nebezpecne navrzeneho, jako userns, ve skale, v jake kontejnery pouzivame (stovky lidi, kteri pozaduji root + ruzne capabilities kernelu)
- nedodelany kernel-level resource accounting
Virtuozzo 7 (komercni)
- Live patching (workaround pro userns problem), timely security patche
- Technologicky nejpokrocilejsi kontejnerizace na Linuxu
- user namespace (viz 1.)
- placene
- ma uzavrene casti
- kompletni supportovana distribuce, nemoznost vetsi customizace (liveOS
smerem uz vubec...)
OpenVZ 7 ("opensource")
- chybi dokumentace k cemukoliv (natoz jak to vybuildit vubec, nebyl by
ale problem, mame uz :D)
- naprosto nevstricny pristup vyvojaru ke komunite
- user ns
- stable verze vydavana jednou za uhersky rok, mezi tim je dostupny
akorat git HEAD => nutnost pickovani patchu + custom QA
OpenVZ 6
- podpora konci cca za rok
Illumos
https://en.wikipedia.org/wiki/Illumos
- nativni ZFS
- stabilni a robustni design jadra napric
- kontejnery nativne od roku 2005 (ie. kde mohl byt Linux, kdyby Linus
nemel osobni problem s vyvojari puvodniho OpenVZ....)
- robustnejsi izolace (OpenVZ 6 bylo v tomhle velmi podobne),
zranitelnosti se casto daji zneuzit na ziskani roota na masine, jenom pokud jsou pustene v global zone (hardware node, tj. primo, pod nepreviligovanym userem, ale uz ne v kontejneru).
- podporuje KVM/QEMU inside container
- ma DTrace, ktery nam umozni realne zacit resit performance problemy
-> seriozne zvazujeme variantu opustit Linux a prejit na Illumos -> Joyent implementoval Linux branded zones, co je asi nejpokrocilejsi prekladova vrstva pro Linuxove ABI, ktera existuje aktualne -> dokaze pustit moderni linuxova distra -> nema iptables, pouziva se BSD pf na hostovi, kteremu se pravidla zadavaji pres side channel -> zatim nepodporuje cgroups+namespaces ABI, tj. pod LX branded zone nejde spustit dalsi kontejnery (ale je to work in progress, nicmene tezko rict, jestli/kdy bude nejaky vysledek venku)
-> tj. pokud neprejdeme na fullvirt (vysoce nepravdepodobne) nebo komercni Virtuozzo 7, ceka nas kernel development
-> rosteme a kernel development prestava byt problem
-> pokud mame delat kernel development, je lepsi pracovat s komunitou, se kterou se da dohodnout - Illumos je v tomhle mnohem pristupnejsi ekosystem pro mensi hrace + je nuti k uzsi spolupraci.
-> pokud bychom nasadili Illumos, pravdepodobne nasadime i upstream Linux a clenove dostanou na vyber:
- upstream Linux kontejner (se vsi jeho bezpecnosti, stabilitou, atd.,
ale taky s featurami nutnymi pro hype-driven developery) na HW s upstream linux kernelem
a potom pojedeme na HW s Illumosem, ktery by mel byt stabilnejsi a bezpecnejsi + s vyladenejsim vykonem:
- nativni Illumos kontejnery se SmartOSem (ma NetBSD package management,
kde je toho zabalene fakt hodne a tak.. na co Linux)...
- LX Branded zones - kde se da pustit stable Linuxova distra, ale bez
cgroups/namespaces, tj. na beh Linux-only binarnich aplikaci vetsinou bez problemu (muzu zajemcum poskytnout Ubuntu 16.04 nad LX zonou uz ted na vyzkouseni)
- QEMU/KVM zone - kdo potrebuje Linux/Windows, pusti si to holt v QEMU,
na ktere bychom meli poskytnout zdokumentovany template s postupem, jak v nem rozjet spravne nastavenou plnou virtualizaci s forwardoanim trafficu ven.
Takze cca tak se veci maji.
/snajpa
Mimochodem, kdyby se rozhodlo experimentálně převést jeden server na OpenVZ 7, nebo co má trojkové jádro, tak se hlásím.
Honza
sendimyrkr
2017-04-28 22:20 GMT+02:00 Martin Sivák <mars@montik.net mailto:mars@montik.net>:
Ještě jsem zapomněl na tu druhou roli (tu zásadnější): https://github.com/MarSik/ansible-roles/blob/master/openvz_docker/tasks/main.yml <https://github.com/MarSik/ansible-roles/blob/master/openvz_docker/tasks/main.yml> MartinDne 28. dubna 2017 22:15 Martin Sivák <mars@montik.net <mailto:mars@montik.net>> napsal(a): > Ahoj, > > Docker na CentOS 7 na vpsfree úspěšně provozuju. Jen by bylo fajn mít > nějakou novější verzi a nějaký výkonnější storage driver :/ > > Mám to nastavení jako roli pro Ansible: > https://github.com/MarSik/ansible-roles/tree/master/docker <https://github.com/MarSik/ansible-roles/tree/master/docker> > > Martin > > Dne 26. dubna 2017 23:17 Ladislav Nesnera <nesnera@email.cz <mailto:nesnera@email.cz>> napsal(a): >> Zdravím vespolek. Zkoušel jste někdo rozchodit Docker na CentOS 7 (obdobně >> jako na Debian 8)? Zprávy o úspěchu vítány dvojnásob ;) >> >> ;? >> >> >> _______________________________________________ >> Community-list mailing list >> Community-list@lists.vpsfree.cz <mailto:Community-list@lists.vpsfree.cz> >> http://lists.vpsfree.cz/listinfo/community-list <http://lists.vpsfree.cz/listinfo/community-list> >> _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz <mailto:Community-list@lists.vpsfree.cz> http://lists.vpsfree.cz/listinfo/community-list <http://lists.vpsfree.cz/listinfo/community-list>
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Jednoduše je pro mě snazší použít docker image. Žel bohu nejsem žádný skvostný admin, spíš si zkouším/učím se. Teď jsem si zkoušel rozjet KVM podle https://kb.vpsfree.cz/navody/vps/kvm ale nedaří se mi, protože to už je nad moje znalosti. Nevím jestli potřebuji mít povolenou nějakou private IP ve VPS adminu?
Honza
sendimyrkr
2017-04-29 5:11 GMT+02:00 Pavel Snajdr snajpa@snajpa.net:
No, kdyz ho rozjedes v KVM, tak to muzes pouzivat rovnou - do budoucna to vypada jako jedina rozumne udrzitelna cesta - protoze ty kontejnery v upstream Linuxu az tak neizoluji, musi to mit pod palcem jeden admin/tym, ktery nema problem sdilet roota.
Jinak, teda, davalo by mnohem vetsi smysl udelat Docker API pro vosAdmin, nebo - proc peoste nedodelame vpsAdminu neco-jako-Docker files?
Musi to byt nutne Docker? Jak ho pouzivas? Pouzivas layery? Jak v nich resis aktualizace?
/snajpa
On 29 Apr 2017, at 03:20, Jan Dvořák SendiMyrkr@gmail.com wrote:
Díky, za info. Pochopil jsem tedy správně, že to jsou plány spíš na vyšší měsíce? Já potřebuji docker kvůli on-permises verzím služeb, konkrétně buddy.works potřebuje 12+, tak si chci jenom ujasnit jestli má smysl čekat nebo to prostě rozjet v AWS.
Honza
sendimyrkr
2017-04-28 23:48 GMT+02:00 Pavel Snajdr snajpa@snajpa.net:
On 04/28/2017 11:01 PM, Jan Dvořák wrote:
Ahoj,
ona je novější verze závislá na jádru 3.10+ a to je zatím asi ještě daleko. Já bych potřeboval verzi 12+. Nemá někdo ze správců nějakou informaci co by poskytla světýlko na konci tunelu?
Otazka je, jestli vubec bude jadro 3.10+, jak to presne bude vypadat.
Ve hre je nekolik variant, jedna "lepsi" nez druha:
Upstream Linux (4.8+ cca)
- moderni upstream linux featury, co ocekava vetsina soucasnych
hype-driven developeru
- moderni distributed storage technologie
- kernel zacina byt dostatecne instrumentovatelny na honeni vykonu (a
hledani zdroju problemu s vykonem)
- nevyhovujici storage subsystem (nutnost lepit do nej ZFS)
- user namespace: neni mesic, aby nebylo aspon jedno privilege
escalation CVE spojene s user namespace => SHOW STOPPER. Pres toto nejde vlak, my nemuzeme riskovat provoz neceho tak nebezpecne navrzeneho, jako userns, ve skale, v jake kontejnery pouzivame (stovky lidi, kteri pozaduji root + ruzne capabilities kernelu)
- nedodelany kernel-level resource accounting
Virtuozzo 7 (komercni)
- Live patching (workaround pro userns problem), timely security patche
- Technologicky nejpokrocilejsi kontejnerizace na Linuxu
- user namespace (viz 1.)
- placene
- ma uzavrene casti
- kompletni supportovana distribuce, nemoznost vetsi customizace (liveOS
smerem uz vubec...)
OpenVZ 7 ("opensource")
- chybi dokumentace k cemukoliv (natoz jak to vybuildit vubec, nebyl by
ale problem, mame uz :D)
- naprosto nevstricny pristup vyvojaru ke komunite
- user ns
- stable verze vydavana jednou za uhersky rok, mezi tim je dostupny
akorat git HEAD => nutnost pickovani patchu + custom QA
OpenVZ 6
- podpora konci cca za rok
Illumos
https://en.wikipedia.org/wiki/Illumos
- nativni ZFS
- stabilni a robustni design jadra napric
- kontejnery nativne od roku 2005 (ie. kde mohl byt Linux, kdyby Linus
nemel osobni problem s vyvojari puvodniho OpenVZ....)
- robustnejsi izolace (OpenVZ 6 bylo v tomhle velmi podobne),
zranitelnosti se casto daji zneuzit na ziskani roota na masine, jenom pokud jsou pustene v global zone (hardware node, tj. primo, pod nepreviligovanym userem, ale uz ne v kontejneru).
- podporuje KVM/QEMU inside container
- ma DTrace, ktery nam umozni realne zacit resit performance problemy
-> seriozne zvazujeme variantu opustit Linux a prejit na Illumos -> Joyent implementoval Linux branded zones, co je asi nejpokrocilejsi prekladova vrstva pro Linuxove ABI, ktera existuje aktualne -> dokaze pustit moderni linuxova distra -> nema iptables, pouziva se BSD pf na hostovi, kteremu se pravidla zadavaji pres side channel -> zatim nepodporuje cgroups+namespaces ABI, tj. pod LX branded zone nejde spustit dalsi kontejnery (ale je to work in progress, nicmene tezko rict, jestli/kdy bude nejaky vysledek venku)
-> tj. pokud neprejdeme na fullvirt (vysoce nepravdepodobne) nebo komercni Virtuozzo 7, ceka nas kernel development
-> rosteme a kernel development prestava byt problem
-> pokud mame delat kernel development, je lepsi pracovat s komunitou, se kterou se da dohodnout - Illumos je v tomhle mnohem pristupnejsi ekosystem pro mensi hrace + je nuti k uzsi spolupraci.
-> pokud bychom nasadili Illumos, pravdepodobne nasadime i upstream Linux a clenove dostanou na vyber:
- upstream Linux kontejner (se vsi jeho bezpecnosti, stabilitou, atd.,
ale taky s featurami nutnymi pro hype-driven developery) na HW s upstream linux kernelem
a potom pojedeme na HW s Illumosem, ktery by mel byt stabilnejsi a bezpecnejsi + s vyladenejsim vykonem:
- nativni Illumos kontejnery se SmartOSem (ma NetBSD package management,
kde je toho zabalene fakt hodne a tak.. na co Linux)...
- LX Branded zones - kde se da pustit stable Linuxova distra, ale bez
cgroups/namespaces, tj. na beh Linux-only binarnich aplikaci vetsinou bez problemu (muzu zajemcum poskytnout Ubuntu 16.04 nad LX zonou uz ted na vyzkouseni)
- QEMU/KVM zone - kdo potrebuje Linux/Windows, pusti si to holt v QEMU,
na ktere bychom meli poskytnout zdokumentovany template s postupem, jak v nem rozjet spravne nastavenou plnou virtualizaci s forwardoanim trafficu ven.
Takze cca tak se veci maji.
/snajpa
Mimochodem, kdyby se rozhodlo experimentálně převést jeden server na OpenVZ 7, nebo co má trojkové jádro, tak se hlásím.
Honza
sendimyrkr
2017-04-28 22:20 GMT+02:00 Martin Sivák <mars@montik.net mailto:mars@montik.net>:
Ještě jsem zapomněl na tu druhou roli (tu zásadnější): https://github.com/MarSik/ansible-roles/blob/master/openvz_docker/tasks/main.yml
<https://github.com/MarSik/ansible-roles/blob/master/openvz_docker/tasks/main.yml>
MartinDne 28. dubna 2017 22:15 Martin Sivák <mars@montik.net <mailto:mars@montik.net>> napsal(a): > Ahoj, > > Docker na CentOS 7 na vpsfree úspěšně provozuju. Jen by bylo fajnmít
> nějakou novější verzi a nějaký výkonnější storage driver :/ > > Mám to nastavení jako roli pro Ansible: > https://github.com/MarSik/ansible-roles/tree/master/docker <https://github.com/MarSik/ansible-roles/tree/master/docker> > > Martin > > Dne 26. dubna 2017 23:17 Ladislav Nesnera <nesnera@email.cz <mailto:nesnera@email.cz>> napsal(a): >> Zdravím vespolek. Zkoušel jste někdo rozchodit Docker na CentOS 7 (obdobně >> jako na Debian 8)? Zprávy o úspěchu vítány dvojnásob ;) >> >> ;? >> >> >> _______________________________________________ >> Community-list mailing list >> Community-list@lists.vpsfree.cz <mailto:Community-list@lists.vpsfree.cz> >> http://lists.vpsfree.cz/listinfo/community-list <http://lists.vpsfree.cz/listinfo/community-list> >> _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz <mailto:Community-list@lists.vpsfree.cz>
http://lists.vpsfree.cz/listinfo/community-list <http://lists.vpsfree.cz/listinfo/community-list>
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Tak se nakonec povedlo díky za postrčení.
Honza
sendimyrkr
2017-04-29 18:09 GMT+02:00 Jan Dvořák SendiMyrkr@gmail.com:
Jednoduše je pro mě snazší použít docker image. Žel bohu nejsem žádný skvostný admin, spíš si zkouším/učím se. Teď jsem si zkoušel rozjet KVM podle https://kb.vpsfree.cz/navody/vps/kvm ale nedaří se mi, protože to už je nad moje znalosti. Nevím jestli potřebuji mít povolenou nějakou private IP ve VPS adminu?
Honza
sendimyrkr
2017-04-29 5:11 GMT+02:00 Pavel Snajdr snajpa@snajpa.net:
No, kdyz ho rozjedes v KVM, tak to muzes pouzivat rovnou - do budoucna to vypada jako jedina rozumne udrzitelna cesta - protoze ty kontejnery v upstream Linuxu az tak neizoluji, musi to mit pod palcem jeden admin/tym, ktery nema problem sdilet roota.
Jinak, teda, davalo by mnohem vetsi smysl udelat Docker API pro vosAdmin, nebo - proc peoste nedodelame vpsAdminu neco-jako-Docker files?
Musi to byt nutne Docker? Jak ho pouzivas? Pouzivas layery? Jak v nich resis aktualizace?
/snajpa
On 29 Apr 2017, at 03:20, Jan Dvořák SendiMyrkr@gmail.com wrote:
Díky, za info. Pochopil jsem tedy správně, že to jsou plány spíš na vyšší měsíce? Já potřebuji docker kvůli on-permises verzím služeb, konkrétně buddy.works potřebuje 12+, tak si chci jenom ujasnit jestli má smysl čekat nebo to prostě rozjet v AWS.
Honza
sendimyrkr
2017-04-28 23:48 GMT+02:00 Pavel Snajdr snajpa@snajpa.net:
On 04/28/2017 11:01 PM, Jan Dvořák wrote:
Ahoj,
ona je novější verze závislá na jádru 3.10+ a to je zatím asi ještě daleko. Já bych potřeboval verzi 12+. Nemá někdo ze správců nějakou informaci co by poskytla světýlko na konci tunelu?
Otazka je, jestli vubec bude jadro 3.10+, jak to presne bude vypadat.
Ve hre je nekolik variant, jedna "lepsi" nez druha:
Upstream Linux (4.8+ cca)
- moderni upstream linux featury, co ocekava vetsina soucasnych
hype-driven developeru
- moderni distributed storage technologie
- kernel zacina byt dostatecne instrumentovatelny na honeni vykonu (a
hledani zdroju problemu s vykonem)
- nevyhovujici storage subsystem (nutnost lepit do nej ZFS)
- user namespace: neni mesic, aby nebylo aspon jedno privilege
escalation CVE spojene s user namespace => SHOW STOPPER. Pres toto nejde vlak, my nemuzeme riskovat provoz neceho tak nebezpecne navrzeneho, jako userns, ve skale, v jake kontejnery pouzivame (stovky lidi, kteri pozaduji root + ruzne capabilities kernelu)
- nedodelany kernel-level resource accounting
Virtuozzo 7 (komercni)
- Live patching (workaround pro userns problem), timely security patche
- Technologicky nejpokrocilejsi kontejnerizace na Linuxu
- user namespace (viz 1.)
- placene
- ma uzavrene casti
- kompletni supportovana distribuce, nemoznost vetsi customizace (liveOS
smerem uz vubec...)
OpenVZ 7 ("opensource")
- chybi dokumentace k cemukoliv (natoz jak to vybuildit vubec, nebyl by
ale problem, mame uz :D)
- naprosto nevstricny pristup vyvojaru ke komunite
- user ns
- stable verze vydavana jednou za uhersky rok, mezi tim je dostupny
akorat git HEAD => nutnost pickovani patchu + custom QA
OpenVZ 6
- podpora konci cca za rok
Illumos
https://en.wikipedia.org/wiki/Illumos
- nativni ZFS
- stabilni a robustni design jadra napric
- kontejnery nativne od roku 2005 (ie. kde mohl byt Linux, kdyby Linus
nemel osobni problem s vyvojari puvodniho OpenVZ....)
- robustnejsi izolace (OpenVZ 6 bylo v tomhle velmi podobne),
zranitelnosti se casto daji zneuzit na ziskani roota na masine, jenom pokud jsou pustene v global zone (hardware node, tj. primo, pod nepreviligovanym userem, ale uz ne v kontejneru).
- podporuje KVM/QEMU inside container
- ma DTrace, ktery nam umozni realne zacit resit performance problemy
-> seriozne zvazujeme variantu opustit Linux a prejit na Illumos -> Joyent implementoval Linux branded zones, co je asi nejpokrocilejsi prekladova vrstva pro Linuxove ABI, ktera existuje aktualne -> dokaze pustit moderni linuxova distra -> nema iptables, pouziva se BSD pf na hostovi, kteremu se pravidla zadavaji pres side channel -> zatim nepodporuje cgroups+namespaces ABI, tj. pod LX branded zone nejde spustit dalsi kontejnery (ale je to work in progress, nicmene tezko rict, jestli/kdy bude nejaky vysledek venku)
-> tj. pokud neprejdeme na fullvirt (vysoce nepravdepodobne) nebo komercni Virtuozzo 7, ceka nas kernel development
-> rosteme a kernel development prestava byt problem
-> pokud mame delat kernel development, je lepsi pracovat s komunitou, se kterou se da dohodnout - Illumos je v tomhle mnohem pristupnejsi ekosystem pro mensi hrace + je nuti k uzsi spolupraci.
-> pokud bychom nasadili Illumos, pravdepodobne nasadime i upstream Linux a clenove dostanou na vyber:
- upstream Linux kontejner (se vsi jeho bezpecnosti, stabilitou, atd.,
ale taky s featurami nutnymi pro hype-driven developery) na HW s upstream linux kernelem
a potom pojedeme na HW s Illumosem, ktery by mel byt stabilnejsi a bezpecnejsi + s vyladenejsim vykonem:
- nativni Illumos kontejnery se SmartOSem (ma NetBSD package management,
kde je toho zabalene fakt hodne a tak.. na co Linux)...
- LX Branded zones - kde se da pustit stable Linuxova distra, ale bez
cgroups/namespaces, tj. na beh Linux-only binarnich aplikaci vetsinou bez problemu (muzu zajemcum poskytnout Ubuntu 16.04 nad LX zonou uz ted na vyzkouseni)
- QEMU/KVM zone - kdo potrebuje Linux/Windows, pusti si to holt v QEMU,
na ktere bychom meli poskytnout zdokumentovany template s postupem, jak v nem rozjet spravne nastavenou plnou virtualizaci s forwardoanim trafficu ven.
Takze cca tak se veci maji.
/snajpa
Mimochodem, kdyby se rozhodlo experimentálně převést jeden server na OpenVZ 7, nebo co má trojkové jádro, tak se hlásím.
Honza
sendimyrkr
2017-04-28 22:20 GMT+02:00 Martin Sivák <mars@montik.net mailto:mars@montik.net>:
Ještě jsem zapomněl na tu druhou roli (tu zásadnější): https://github.com/MarSik/ansible-roles/blob/master/openvz_docker/tasks/main.yml
<https://github.com/MarSik/ansible-roles/blob/master/openvz_docker/tasks/main.yml>
MartinDne 28. dubna 2017 22:15 Martin Sivák <mars@montik.net <mailto:mars@montik.net>> napsal(a): > Ahoj, > > Docker na CentOS 7 na vpsfree úspěšně provozuju. Jen by bylofajn mít
> nějakou novější verzi a nějaký výkonnější storage driver :/ > > Mám to nastavení jako roli pro Ansible: > https://github.com/MarSik/ansible-roles/tree/master/docker <https://github.com/MarSik/ansible-roles/tree/master/docker> > > Martin > > Dne 26. dubna 2017 23:17 Ladislav Nesnera <nesnera@email.cz <mailto:nesnera@email.cz>> napsal(a): >> Zdravím vespolek. Zkoušel jste někdo rozchodit Docker na CentOS7
(obdobně >> jako na Debian 8)? Zprávy o úspěchu vítány dvojnásob ;) >> >> ;? >> >> >> _______________________________________________ >> Community-list mailing list >> Community-list@lists.vpsfree.cz <mailto:Community-list@lists.vpsfree.cz> >> http://lists.vpsfree.cz/listinfo/community-list <http://lists.vpsfree.cz/listinfo/community-list> >> _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz <mailto:Community-list@lists.vpsfree.cz>
http://lists.vpsfree.cz/listinfo/community-list <http://lists.vpsfree.cz/listinfo/community-list>
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
community-list@lists.vpsfree.cz
-
Honza KAŠPÁREK -
Jan Dvořák -
Jindrich Skacel -
Ladislav Nesnera -
Martin Sivák -
Oto Stefan -
Pavel Snajdr