[vpsFree.cz: community-list] Docker na CentOS 7?

Jan Dvořák SendiMyrkr at gmail.com
Sun Apr 30 16:47:36 CEST 2017


Tak se nakonec povedlo díky za postrčení.

Honza

sendimyrkr

2017-04-29 18:09 GMT+02:00 Jan Dvořák <SendiMyrkr at gmail.com>:

> Jednoduše je pro mě snazší použít docker image. Žel bohu nejsem žádný
> skvostný admin, spíš si zkouším/učím se. Teď jsem si zkoušel
> rozjet  KVM podle https://kb.vpsfree.cz/navody/vps/kvm ale nedaří se mi,
> protože to už je nad moje znalosti. Nevím jestli potřebuji mít povolenou
> nějakou private IP ve VPS adminu?
>
> Honza
>
> sendimyrkr
>
> 2017-04-29 5:11 GMT+02:00 Pavel Snajdr <snajpa at snajpa.net>:
>
>> No, kdyz ho rozjedes v KVM, tak to muzes pouzivat rovnou - do budoucna to
>> vypada jako jedina rozumne udrzitelna cesta - protoze ty kontejnery v
>> upstream Linuxu az tak neizoluji, musi to mit pod palcem jeden admin/tym,
>> ktery nema problem sdilet roota.
>>
>> Jinak, teda, davalo by mnohem vetsi smysl udelat Docker API pro vosAdmin,
>> nebo - proc peoste nedodelame vpsAdminu neco-jako-Docker files?
>>
>> Musi to byt nutne Docker? Jak ho pouzivas? Pouzivas layery? Jak v nich
>> resis aktualizace?
>>
>> /snajpa
>>
>>
>> On 29 Apr 2017, at 03:20, Jan Dvořák <SendiMyrkr at gmail.com> wrote:
>>
>> Díky, za info. Pochopil jsem tedy správně, že to jsou plány spíš na vyšší
>> měsíce? Já potřebuji docker kvůli on-permises verzím služeb, konkrétně
>> buddy.works potřebuje 12+, tak si chci jenom ujasnit jestli má smysl čekat
>> nebo to prostě rozjet v AWS.
>>
>> Honza
>>
>> sendimyrkr
>>
>> 2017-04-28 23:48 GMT+02:00 Pavel Snajdr <snajpa at snajpa.net>:
>>
>>> On 04/28/2017 11:01 PM, Jan Dvořák wrote:
>>> > Ahoj,
>>> >
>>> > ona je novější verze závislá na jádru 3.10+ a to je zatím asi ještě
>>> > daleko. Já bych potřeboval verzi 12+. Nemá někdo ze správců nějakou
>>> > informaci co by poskytla světýlko na konci tunelu?
>>>
>>> Otazka je, jestli vubec bude jadro 3.10+, jak to presne bude vypadat.
>>>
>>> Ve hre je nekolik variant, jedna "lepsi" nez druha:
>>>
>>> Upstream Linux (4.8+ cca)
>>> =========================
>>> + moderni upstream linux featury, co ocekava vetsina soucasnych
>>> hype-driven developeru
>>> + moderni distributed storage technologie
>>> + kernel zacina byt dostatecne instrumentovatelny na honeni vykonu (a
>>> hledani zdroju problemu s vykonem)
>>> - nevyhovujici storage subsystem (nutnost lepit do nej ZFS)
>>> - user namespace: neni mesic, aby nebylo aspon jedno privilege
>>> escalation CVE spojene s user namespace => SHOW STOPPER. Pres toto nejde
>>> vlak, my nemuzeme riskovat provoz neceho tak nebezpecne navrzeneho, jako
>>> userns, ve skale, v jake kontejnery pouzivame (stovky lidi, kteri
>>> pozaduji root + ruzne capabilities kernelu)
>>> - nedodelany kernel-level resource accounting
>>>
>>> Virtuozzo 7 (komercni)
>>> ======================
>>> + Live patching (workaround pro userns problem), timely security patche
>>> + Technologicky nejpokrocilejsi kontejnerizace na Linuxu
>>> - user namespace (viz 1.)
>>> - placene
>>> - ma uzavrene casti
>>> - kompletni supportovana distribuce, nemoznost vetsi customizace (liveOS
>>> smerem uz vubec...)
>>>
>>> OpenVZ 7 ("opensource")
>>> =======================
>>> - chybi dokumentace k cemukoliv (natoz jak to vybuildit vubec, nebyl by
>>> ale problem, mame uz :D)
>>> - naprosto nevstricny pristup vyvojaru ke komunite
>>> - user ns
>>> - stable verze vydavana jednou za uhersky rok, mezi tim je dostupny
>>> akorat git HEAD => nutnost pickovani patchu + custom QA
>>>
>>> OpenVZ 6
>>> ========
>>> - podpora konci cca za rok
>>>
>>> Illumos
>>> =======
>>> https://en.wikipedia.org/wiki/Illumos
>>>
>>> + nativni ZFS
>>> + stabilni a robustni design jadra napric
>>> + kontejnery nativne od roku 2005 (ie. kde mohl byt Linux, kdyby Linus
>>> nemel osobni problem s vyvojari puvodniho OpenVZ....)
>>> + robustnejsi izolace (OpenVZ 6 bylo v tomhle velmi podobne),
>>> zranitelnosti se casto daji zneuzit na ziskani roota na masine, jenom
>>> pokud jsou pustene v global zone (hardware node, tj. primo, pod
>>> nepreviligovanym userem, ale uz ne v kontejneru).
>>> + podporuje KVM/QEMU inside container
>>> + ma DTrace, ktery nam umozni realne zacit resit performance problemy
>>>
>>> -> seriozne zvazujeme variantu opustit Linux a prejit na Illumos
>>> -> Joyent implementoval Linux branded zones, co je asi nejpokrocilejsi
>>> prekladova vrstva pro Linuxove ABI, ktera existuje aktualne
>>> -> dokaze pustit moderni linuxova distra
>>> -> nema iptables, pouziva se BSD pf na hostovi, kteremu se pravidla
>>> zadavaji pres side channel
>>> -> zatim nepodporuje cgroups+namespaces ABI, tj. pod LX branded zone
>>> nejde spustit dalsi kontejnery (ale je to work in progress, nicmene
>>> tezko rict, jestli/kdy bude nejaky vysledek venku)
>>>
>>> -> tj. pokud neprejdeme na fullvirt (vysoce nepravdepodobne) nebo
>>> komercni Virtuozzo 7, ceka nas kernel development
>>>
>>> -> rosteme a kernel development prestava byt problem
>>>
>>> -> pokud mame delat kernel development, je lepsi pracovat s komunitou,
>>> se kterou se da dohodnout - Illumos je v tomhle mnohem pristupnejsi
>>> ekosystem pro mensi hrace + je nuti k uzsi spolupraci.
>>>
>>> -> pokud bychom nasadili Illumos, pravdepodobne nasadime i upstream
>>> Linux a clenove dostanou na vyber:
>>>
>>> - upstream Linux kontejner (se vsi jeho bezpecnosti, stabilitou, atd.,
>>> ale taky s featurami nutnymi pro hype-driven developery) na HW s
>>> upstream linux kernelem
>>>
>>> a potom pojedeme na HW s Illumosem, ktery by mel byt stabilnejsi a
>>> bezpecnejsi + s vyladenejsim vykonem:
>>>
>>> - nativni Illumos kontejnery se SmartOSem (ma NetBSD package management,
>>> kde je toho zabalene fakt hodne a tak.. na co Linux)...
>>>
>>> - LX Branded zones - kde se da pustit stable Linuxova distra, ale bez
>>> cgroups/namespaces, tj. na beh Linux-only binarnich aplikaci vetsinou
>>> bez problemu (muzu zajemcum poskytnout Ubuntu 16.04 nad LX zonou uz ted
>>> na vyzkouseni)
>>>
>>> - QEMU/KVM zone - kdo potrebuje Linux/Windows, pusti si to holt v QEMU,
>>> na ktere bychom meli poskytnout zdokumentovany template s postupem, jak
>>> v nem rozjet spravne nastavenou plnou virtualizaci s forwardoanim
>>> trafficu ven.
>>>
>>> Takze cca tak se veci maji.
>>>
>>> /snajpa
>>>
>>> >
>>> > Mimochodem, kdyby se rozhodlo experimentálně převést jeden server na
>>> > OpenVZ 7, nebo co má trojkové jádro, tak se hlásím.
>>> >
>>> > Honza
>>> >
>>> > sendimyrkr
>>> >
>>> > 2017-04-28 22:20 GMT+02:00 Martin Sivák <mars at montik.net
>>> > <mailto:mars at montik.net>>:
>>> >
>>> >     Ještě jsem zapomněl na tu druhou roli (tu zásadnější):
>>> >     https://github.com/MarSik/ansible-roles/blob/master/openvz_
>>> docker/tasks/main.yml
>>> >     <https://github.com/MarSik/ansible-roles/blob/master/openvz
>>> _docker/tasks/main.yml>
>>> >
>>> >     Martin
>>>
>>> >
>>> >     Dne 28. dubna 2017 22:15 Martin Sivák <mars at montik.net
>>> >     <mailto:mars at montik.net>> napsal(a):
>>> >     > Ahoj,
>>> >     >
>>> >     > Docker na CentOS 7 na vpsfree úspěšně provozuju. Jen by bylo
>>> fajn mít
>>> >     > nějakou novější verzi a nějaký výkonnější storage driver :/
>>> >     >
>>> >     > Mám to nastavení jako roli pro Ansible:
>>> >     > https://github.com/MarSik/ansible-roles/tree/master/docker
>>> >     <https://github.com/MarSik/ansible-roles/tree/master/docker>
>>> >     >
>>> >     > Martin
>>> >     >
>>> >     > Dne 26. dubna 2017 23:17 Ladislav Nesnera <nesnera at email.cz
>>> >     <mailto:nesnera at email.cz>> napsal(a):
>>> >     >> Zdravím vespolek. Zkoušel jste někdo rozchodit Docker na CentOS
>>> 7
>>> >     (obdobně
>>> >     >> jako na Debian 8)? Zprávy o úspěchu vítány dvojnásob ;)
>>> >     >>
>>> >     >> ;?
>>> >     >>
>>> >     >>
>>> >     >> _______________________________________________
>>> >     >> Community-list mailing list
>>> >     >> Community-list at lists.vpsfree.cz
>>> >     <mailto:Community-list at lists.vpsfree.cz>
>>> >     >> http://lists.vpsfree.cz/listinfo/community-list
>>> >     <http://lists.vpsfree.cz/listinfo/community-list>
>>> >     >>
>>> >     _______________________________________________
>>> >     Community-list mailing list
>>> >     Community-list at lists.vpsfree.cz <mailto:Community-list at lists.v
>>> psfree.cz>
>>> >     http://lists.vpsfree.cz/listinfo/community-list
>>> >     <http://lists.vpsfree.cz/listinfo/community-list>
>>> >
>>> >
>>> >
>>> >
>>> > _______________________________________________
>>> > Community-list mailing list
>>> > Community-list at lists.vpsfree.cz
>>> > http://lists.vpsfree.cz/listinfo/community-list
>>> >
>>>
>>>
>>> _______________________________________________
>>> Community-list mailing list
>>> Community-list at lists.vpsfree.cz
>>> http://lists.vpsfree.cz/listinfo/community-list
>>>
>>>
>> _______________________________________________
>> Community-list mailing list
>> Community-list at lists.vpsfree.cz
>> http://lists.vpsfree.cz/listinfo/community-list
>>
>>
>> _______________________________________________
>> Community-list mailing list
>> Community-list at lists.vpsfree.cz
>> http://lists.vpsfree.cz/listinfo/community-list
>>
>>
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.vpsfree.cz/pipermail/community-list/attachments/20170430/b05013d3/attachment-0002.html>


More information about the Community-list mailing list