[vpsFree.cz: community-list] Docker na CentOS 7?
Jan Dvořák
SendiMyrkr at gmail.com
Sat Apr 29 03:20:08 CEST 2017
Díky, za info. Pochopil jsem tedy správně, že to jsou plány spíš na vyšší
měsíce? Já potřebuji docker kvůli on-permises verzím služeb, konkrétně
buddy.works potřebuje 12+, tak si chci jenom ujasnit jestli má smysl čekat
nebo to prostě rozjet v AWS.
Honza
sendimyrkr
2017-04-28 23:48 GMT+02:00 Pavel Snajdr <snajpa at snajpa.net>:
> On 04/28/2017 11:01 PM, Jan Dvořák wrote:
> > Ahoj,
> >
> > ona je novější verze závislá na jádru 3.10+ a to je zatím asi ještě
> > daleko. Já bych potřeboval verzi 12+. Nemá někdo ze správců nějakou
> > informaci co by poskytla světýlko na konci tunelu?
>
> Otazka je, jestli vubec bude jadro 3.10+, jak to presne bude vypadat.
>
> Ve hre je nekolik variant, jedna "lepsi" nez druha:
>
> Upstream Linux (4.8+ cca)
> =========================
> + moderni upstream linux featury, co ocekava vetsina soucasnych
> hype-driven developeru
> + moderni distributed storage technologie
> + kernel zacina byt dostatecne instrumentovatelny na honeni vykonu (a
> hledani zdroju problemu s vykonem)
> - nevyhovujici storage subsystem (nutnost lepit do nej ZFS)
> - user namespace: neni mesic, aby nebylo aspon jedno privilege
> escalation CVE spojene s user namespace => SHOW STOPPER. Pres toto nejde
> vlak, my nemuzeme riskovat provoz neceho tak nebezpecne navrzeneho, jako
> userns, ve skale, v jake kontejnery pouzivame (stovky lidi, kteri
> pozaduji root + ruzne capabilities kernelu)
> - nedodelany kernel-level resource accounting
>
> Virtuozzo 7 (komercni)
> ======================
> + Live patching (workaround pro userns problem), timely security patche
> + Technologicky nejpokrocilejsi kontejnerizace na Linuxu
> - user namespace (viz 1.)
> - placene
> - ma uzavrene casti
> - kompletni supportovana distribuce, nemoznost vetsi customizace (liveOS
> smerem uz vubec...)
>
> OpenVZ 7 ("opensource")
> =======================
> - chybi dokumentace k cemukoliv (natoz jak to vybuildit vubec, nebyl by
> ale problem, mame uz :D)
> - naprosto nevstricny pristup vyvojaru ke komunite
> - user ns
> - stable verze vydavana jednou za uhersky rok, mezi tim je dostupny
> akorat git HEAD => nutnost pickovani patchu + custom QA
>
> OpenVZ 6
> ========
> - podpora konci cca za rok
>
> Illumos
> =======
> https://en.wikipedia.org/wiki/Illumos
>
> + nativni ZFS
> + stabilni a robustni design jadra napric
> + kontejnery nativne od roku 2005 (ie. kde mohl byt Linux, kdyby Linus
> nemel osobni problem s vyvojari puvodniho OpenVZ....)
> + robustnejsi izolace (OpenVZ 6 bylo v tomhle velmi podobne),
> zranitelnosti se casto daji zneuzit na ziskani roota na masine, jenom
> pokud jsou pustene v global zone (hardware node, tj. primo, pod
> nepreviligovanym userem, ale uz ne v kontejneru).
> + podporuje KVM/QEMU inside container
> + ma DTrace, ktery nam umozni realne zacit resit performance problemy
>
> -> seriozne zvazujeme variantu opustit Linux a prejit na Illumos
> -> Joyent implementoval Linux branded zones, co je asi nejpokrocilejsi
> prekladova vrstva pro Linuxove ABI, ktera existuje aktualne
> -> dokaze pustit moderni linuxova distra
> -> nema iptables, pouziva se BSD pf na hostovi, kteremu se pravidla
> zadavaji pres side channel
> -> zatim nepodporuje cgroups+namespaces ABI, tj. pod LX branded zone
> nejde spustit dalsi kontejnery (ale je to work in progress, nicmene
> tezko rict, jestli/kdy bude nejaky vysledek venku)
>
> -> tj. pokud neprejdeme na fullvirt (vysoce nepravdepodobne) nebo
> komercni Virtuozzo 7, ceka nas kernel development
>
> -> rosteme a kernel development prestava byt problem
>
> -> pokud mame delat kernel development, je lepsi pracovat s komunitou,
> se kterou se da dohodnout - Illumos je v tomhle mnohem pristupnejsi
> ekosystem pro mensi hrace + je nuti k uzsi spolupraci.
>
> -> pokud bychom nasadili Illumos, pravdepodobne nasadime i upstream
> Linux a clenove dostanou na vyber:
>
> - upstream Linux kontejner (se vsi jeho bezpecnosti, stabilitou, atd.,
> ale taky s featurami nutnymi pro hype-driven developery) na HW s
> upstream linux kernelem
>
> a potom pojedeme na HW s Illumosem, ktery by mel byt stabilnejsi a
> bezpecnejsi + s vyladenejsim vykonem:
>
> - nativni Illumos kontejnery se SmartOSem (ma NetBSD package management,
> kde je toho zabalene fakt hodne a tak.. na co Linux)...
>
> - LX Branded zones - kde se da pustit stable Linuxova distra, ale bez
> cgroups/namespaces, tj. na beh Linux-only binarnich aplikaci vetsinou
> bez problemu (muzu zajemcum poskytnout Ubuntu 16.04 nad LX zonou uz ted
> na vyzkouseni)
>
> - QEMU/KVM zone - kdo potrebuje Linux/Windows, pusti si to holt v QEMU,
> na ktere bychom meli poskytnout zdokumentovany template s postupem, jak
> v nem rozjet spravne nastavenou plnou virtualizaci s forwardoanim
> trafficu ven.
>
> Takze cca tak se veci maji.
>
> /snajpa
>
> >
> > Mimochodem, kdyby se rozhodlo experimentálně převést jeden server na
> > OpenVZ 7, nebo co má trojkové jádro, tak se hlásím.
> >
> > Honza
> >
> > sendimyrkr
> >
> > 2017-04-28 22:20 GMT+02:00 Martin Sivák <mars at montik.net
> > <mailto:mars at montik.net>>:
> >
> > Ještě jsem zapomněl na tu druhou roli (tu zásadnější):
> > https://github.com/MarSik/ansible-roles/blob/master/
> openvz_docker/tasks/main.yml
> > <https://github.com/MarSik/ansible-roles/blob/master/
> openvz_docker/tasks/main.yml>
> >
> > Martin
>
> >
> > Dne 28. dubna 2017 22:15 Martin Sivák <mars at montik.net
> > <mailto:mars at montik.net>> napsal(a):
> > > Ahoj,
> > >
> > > Docker na CentOS 7 na vpsfree úspěšně provozuju. Jen by bylo fajn
> mít
> > > nějakou novější verzi a nějaký výkonnější storage driver :/
> > >
> > > Mám to nastavení jako roli pro Ansible:
> > > https://github.com/MarSik/ansible-roles/tree/master/docker
> > <https://github.com/MarSik/ansible-roles/tree/master/docker>
> > >
> > > Martin
> > >
> > > Dne 26. dubna 2017 23:17 Ladislav Nesnera <nesnera at email.cz
> > <mailto:nesnera at email.cz>> napsal(a):
> > >> Zdravím vespolek. Zkoušel jste někdo rozchodit Docker na CentOS 7
> > (obdobně
> > >> jako na Debian 8)? Zprávy o úspěchu vítány dvojnásob ;)
> > >>
> > >> ;?
> > >>
> > >>
> > >> _______________________________________________
> > >> Community-list mailing list
> > >> Community-list at lists.vpsfree.cz
> > <mailto:Community-list at lists.vpsfree.cz>
> > >> http://lists.vpsfree.cz/listinfo/community-list
> > <http://lists.vpsfree.cz/listinfo/community-list>
> > >>
> > _______________________________________________
> > Community-list mailing list
> > Community-list at lists.vpsfree.cz <mailto:Community-list at lists.
> vpsfree.cz>
> > http://lists.vpsfree.cz/listinfo/community-list
> > <http://lists.vpsfree.cz/listinfo/community-list>
> >
> >
> >
> >
> > _______________________________________________
> > Community-list mailing list
> > Community-list at lists.vpsfree.cz
> > http://lists.vpsfree.cz/listinfo/community-list
> >
>
>
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
>
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.vpsfree.cz/pipermail/community-list/attachments/20170429/929f394a/attachment-0002.html>
More information about the Community-list
mailing list