[vpsFree.cz: community-list] Docker na CentOS 7?
Jan Dvořák
SendiMyrkr at gmail.com
Sat Apr 29 18:09:15 CEST 2017
Jednoduše je pro mě snazší použít docker image. Žel bohu nejsem žádný
skvostný admin, spíš si zkouším/učím se. Teď jsem si zkoušel
rozjet KVM podle https://kb.vpsfree.cz/navody/vps/kvm ale nedaří se mi,
protože to už je nad moje znalosti. Nevím jestli potřebuji mít povolenou
nějakou private IP ve VPS adminu?
Honza
sendimyrkr
2017-04-29 5:11 GMT+02:00 Pavel Snajdr <snajpa at snajpa.net>:
> No, kdyz ho rozjedes v KVM, tak to muzes pouzivat rovnou - do budoucna to
> vypada jako jedina rozumne udrzitelna cesta - protoze ty kontejnery v
> upstream Linuxu az tak neizoluji, musi to mit pod palcem jeden admin/tym,
> ktery nema problem sdilet roota.
>
> Jinak, teda, davalo by mnohem vetsi smysl udelat Docker API pro vosAdmin,
> nebo - proc peoste nedodelame vpsAdminu neco-jako-Docker files?
>
> Musi to byt nutne Docker? Jak ho pouzivas? Pouzivas layery? Jak v nich
> resis aktualizace?
>
> /snajpa
>
>
> On 29 Apr 2017, at 03:20, Jan Dvořák <SendiMyrkr at gmail.com> wrote:
>
> Díky, za info. Pochopil jsem tedy správně, že to jsou plány spíš na vyšší
> měsíce? Já potřebuji docker kvůli on-permises verzím služeb, konkrétně
> buddy.works potřebuje 12+, tak si chci jenom ujasnit jestli má smysl čekat
> nebo to prostě rozjet v AWS.
>
> Honza
>
> sendimyrkr
>
> 2017-04-28 23:48 GMT+02:00 Pavel Snajdr <snajpa at snajpa.net>:
>
>> On 04/28/2017 11:01 PM, Jan Dvořák wrote:
>> > Ahoj,
>> >
>> > ona je novější verze závislá na jádru 3.10+ a to je zatím asi ještě
>> > daleko. Já bych potřeboval verzi 12+. Nemá někdo ze správců nějakou
>> > informaci co by poskytla světýlko na konci tunelu?
>>
>> Otazka je, jestli vubec bude jadro 3.10+, jak to presne bude vypadat.
>>
>> Ve hre je nekolik variant, jedna "lepsi" nez druha:
>>
>> Upstream Linux (4.8+ cca)
>> =========================
>> + moderni upstream linux featury, co ocekava vetsina soucasnych
>> hype-driven developeru
>> + moderni distributed storage technologie
>> + kernel zacina byt dostatecne instrumentovatelny na honeni vykonu (a
>> hledani zdroju problemu s vykonem)
>> - nevyhovujici storage subsystem (nutnost lepit do nej ZFS)
>> - user namespace: neni mesic, aby nebylo aspon jedno privilege
>> escalation CVE spojene s user namespace => SHOW STOPPER. Pres toto nejde
>> vlak, my nemuzeme riskovat provoz neceho tak nebezpecne navrzeneho, jako
>> userns, ve skale, v jake kontejnery pouzivame (stovky lidi, kteri
>> pozaduji root + ruzne capabilities kernelu)
>> - nedodelany kernel-level resource accounting
>>
>> Virtuozzo 7 (komercni)
>> ======================
>> + Live patching (workaround pro userns problem), timely security patche
>> + Technologicky nejpokrocilejsi kontejnerizace na Linuxu
>> - user namespace (viz 1.)
>> - placene
>> - ma uzavrene casti
>> - kompletni supportovana distribuce, nemoznost vetsi customizace (liveOS
>> smerem uz vubec...)
>>
>> OpenVZ 7 ("opensource")
>> =======================
>> - chybi dokumentace k cemukoliv (natoz jak to vybuildit vubec, nebyl by
>> ale problem, mame uz :D)
>> - naprosto nevstricny pristup vyvojaru ke komunite
>> - user ns
>> - stable verze vydavana jednou za uhersky rok, mezi tim je dostupny
>> akorat git HEAD => nutnost pickovani patchu + custom QA
>>
>> OpenVZ 6
>> ========
>> - podpora konci cca za rok
>>
>> Illumos
>> =======
>> https://en.wikipedia.org/wiki/Illumos
>>
>> + nativni ZFS
>> + stabilni a robustni design jadra napric
>> + kontejnery nativne od roku 2005 (ie. kde mohl byt Linux, kdyby Linus
>> nemel osobni problem s vyvojari puvodniho OpenVZ....)
>> + robustnejsi izolace (OpenVZ 6 bylo v tomhle velmi podobne),
>> zranitelnosti se casto daji zneuzit na ziskani roota na masine, jenom
>> pokud jsou pustene v global zone (hardware node, tj. primo, pod
>> nepreviligovanym userem, ale uz ne v kontejneru).
>> + podporuje KVM/QEMU inside container
>> + ma DTrace, ktery nam umozni realne zacit resit performance problemy
>>
>> -> seriozne zvazujeme variantu opustit Linux a prejit na Illumos
>> -> Joyent implementoval Linux branded zones, co je asi nejpokrocilejsi
>> prekladova vrstva pro Linuxove ABI, ktera existuje aktualne
>> -> dokaze pustit moderni linuxova distra
>> -> nema iptables, pouziva se BSD pf na hostovi, kteremu se pravidla
>> zadavaji pres side channel
>> -> zatim nepodporuje cgroups+namespaces ABI, tj. pod LX branded zone
>> nejde spustit dalsi kontejnery (ale je to work in progress, nicmene
>> tezko rict, jestli/kdy bude nejaky vysledek venku)
>>
>> -> tj. pokud neprejdeme na fullvirt (vysoce nepravdepodobne) nebo
>> komercni Virtuozzo 7, ceka nas kernel development
>>
>> -> rosteme a kernel development prestava byt problem
>>
>> -> pokud mame delat kernel development, je lepsi pracovat s komunitou,
>> se kterou se da dohodnout - Illumos je v tomhle mnohem pristupnejsi
>> ekosystem pro mensi hrace + je nuti k uzsi spolupraci.
>>
>> -> pokud bychom nasadili Illumos, pravdepodobne nasadime i upstream
>> Linux a clenove dostanou na vyber:
>>
>> - upstream Linux kontejner (se vsi jeho bezpecnosti, stabilitou, atd.,
>> ale taky s featurami nutnymi pro hype-driven developery) na HW s
>> upstream linux kernelem
>>
>> a potom pojedeme na HW s Illumosem, ktery by mel byt stabilnejsi a
>> bezpecnejsi + s vyladenejsim vykonem:
>>
>> - nativni Illumos kontejnery se SmartOSem (ma NetBSD package management,
>> kde je toho zabalene fakt hodne a tak.. na co Linux)...
>>
>> - LX Branded zones - kde se da pustit stable Linuxova distra, ale bez
>> cgroups/namespaces, tj. na beh Linux-only binarnich aplikaci vetsinou
>> bez problemu (muzu zajemcum poskytnout Ubuntu 16.04 nad LX zonou uz ted
>> na vyzkouseni)
>>
>> - QEMU/KVM zone - kdo potrebuje Linux/Windows, pusti si to holt v QEMU,
>> na ktere bychom meli poskytnout zdokumentovany template s postupem, jak
>> v nem rozjet spravne nastavenou plnou virtualizaci s forwardoanim
>> trafficu ven.
>>
>> Takze cca tak se veci maji.
>>
>> /snajpa
>>
>> >
>> > Mimochodem, kdyby se rozhodlo experimentálně převést jeden server na
>> > OpenVZ 7, nebo co má trojkové jádro, tak se hlásím.
>> >
>> > Honza
>> >
>> > sendimyrkr
>> >
>> > 2017-04-28 22:20 GMT+02:00 Martin Sivák <mars at montik.net
>> > <mailto:mars at montik.net>>:
>> >
>> > Ještě jsem zapomněl na tu druhou roli (tu zásadnější):
>> > https://github.com/MarSik/ansible-roles/blob/master/openvz_
>> docker/tasks/main.yml
>> > <https://github.com/MarSik/ansible-roles/blob/master/openvz
>> _docker/tasks/main.yml>
>> >
>> > Martin
>>
>> >
>> > Dne 28. dubna 2017 22:15 Martin Sivák <mars at montik.net
>> > <mailto:mars at montik.net>> napsal(a):
>> > > Ahoj,
>> > >
>> > > Docker na CentOS 7 na vpsfree úspěšně provozuju. Jen by bylo fajn
>> mít
>> > > nějakou novější verzi a nějaký výkonnější storage driver :/
>> > >
>> > > Mám to nastavení jako roli pro Ansible:
>> > > https://github.com/MarSik/ansible-roles/tree/master/docker
>> > <https://github.com/MarSik/ansible-roles/tree/master/docker>
>> > >
>> > > Martin
>> > >
>> > > Dne 26. dubna 2017 23:17 Ladislav Nesnera <nesnera at email.cz
>> > <mailto:nesnera at email.cz>> napsal(a):
>> > >> Zdravím vespolek. Zkoušel jste někdo rozchodit Docker na CentOS 7
>> > (obdobně
>> > >> jako na Debian 8)? Zprávy o úspěchu vítány dvojnásob ;)
>> > >>
>> > >> ;?
>> > >>
>> > >>
>> > >> _______________________________________________
>> > >> Community-list mailing list
>> > >> Community-list at lists.vpsfree.cz
>> > <mailto:Community-list at lists.vpsfree.cz>
>> > >> http://lists.vpsfree.cz/listinfo/community-list
>> > <http://lists.vpsfree.cz/listinfo/community-list>
>> > >>
>> > _______________________________________________
>> > Community-list mailing list
>> > Community-list at lists.vpsfree.cz <mailto:Community-list at lists.v
>> psfree.cz>
>> > http://lists.vpsfree.cz/listinfo/community-list
>> > <http://lists.vpsfree.cz/listinfo/community-list>
>> >
>> >
>> >
>> >
>> > _______________________________________________
>> > Community-list mailing list
>> > Community-list at lists.vpsfree.cz
>> > http://lists.vpsfree.cz/listinfo/community-list
>> >
>>
>>
>> _______________________________________________
>> Community-list mailing list
>> Community-list at lists.vpsfree.cz
>> http://lists.vpsfree.cz/listinfo/community-list
>>
>>
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
>
>
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
>
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.vpsfree.cz/pipermail/community-list/attachments/20170429/f32614ce/attachment-0002.html>
More information about the Community-list
mailing list