[vpsFree.cz: community-list] vpsAdminOS

Tomas Volf volf.tomas at wolfsden.cz
Fri Dec 29 18:04:20 CET 2017 

‎Ahoj Snajpa,
mel bych na tebe k tomuhle celemu dva dotazy :)

1) V LXC pojede i userns? Nebojis se toho z hlediska bezpecnosti? Ja musim priznat, ze to nejak extra nesleduju ale archlinux na to mel otevreny bug asi posledni 3 roky kde tohle (userns) porad odmitali ze se v tom co chvili najdou nejaky security diry. Nakonec to zaclenili ale default off. Usoudil jsi ze uz je to safe enough a nebo to proste v nasem konkretnim pouziti neni problem?

2) regarding vpsadmin, planujete to porad drzet v php a nebo na tom nelpite a treba ruby (v tom uz stejne je vpsfree commandline client ne?) by slo taky?

Diky za info :)

W.

  Original Message  
From: snajpa at snajpa.net
Sent: Friday, December 29, 2017 16:57
To: Petr Stefan
Reply To: vpsFree.cz Community list
Cc: vpsFree.cz Community list
Subject: Re: [vpsFree.cz: community-list] vpsAdminOS

On 2017-12-28 23:22, Petr Stefan wrote:
> Ahoj,
> 
>> No a to 'neco' shodou okolnosti uz stavime nejakou chvili, jako lehky 
>> container host OS nad not-os [1], ktery vychazi z NixOSu [2].
>> 
>> O spravu kontejneru (LXC) se ve vpsAdminOS stara osctld [4], co je v 
>> podstate nase variace na LXD; akorat pro nas rovnou napojena na 
>> vpsAdmin a tak ovladani z hostOS bude mit napojeni na vpsAdmin. Uz se 
>> nebude stavat, ze na nodu je nastavene neco nekonzistentne s tim, co 
>> si mysli vpsAdmin, protoze vpsAdmin se o svoje 'ovecky' (nody) ve 
>> finale postara uplne sam. A hlavne, osctl ma podporu user namespace 
>> Done Right (tm), coz je pro pro LXD i Docker, umim si predstavit, dost 
>> pain vubec v takovych rozmerech uvazovat (kdyz je potreba vyrobit 
>> jednoho usera per user-namespace a pridelit mu mapu tak, aby se 
>> neprekryvala; LXD treba pouziva mappingy pod jednim userem, co 
>> potencialne dava moznost se zas pod tim jednim userem sejit pri 
>> utikani z kontejneru).
>> 
>> Cilem je dostat co nejfunkcnejsi a co nejizolovanejsi kontejnery, 
>> zatim jsme v early fazi, kdy nam to bootuje, kontejnery se daji 
>> vytvaret, startovat, maji konzoli a da se v nich uz neco bezet. Bezi 
>> nam Hydra, mame cca predstavu, jak to cele budeme updatovat a 
>> rekonfigurovat za chodu, ale potrebujeme to zacit zkouset.
> 
> diky za super zpravy. Chapu ze jste zatim zadne pokrocilejsi veci
> nezkouseli, ale zajimalo by me zda planujete podporu nested
> virtualizace. Myslim ze se spravnym nastvenim hosta by to nemel byt
> problem, ale chce to asi vyzkouset. Jde mi zhruba o Docker a LXC
> kontejnery (do kterych bych rad prevedl to co nyni provozuji v Dockeru
> pokud to pujde), nektere cleny asi zajima i KVM.

Haha, jakpak nezkouseli: my se *musime* snazit najit co nejvetsi 
featurovou paritu s tim, co bezime ted. A ted nam tam KVM jede a jede i 
Docker (akorat stary). LXC taky, akorat ne kompletni s userns.

No, takze, KVM uz jsme zkouseli a funguje (libvirt vypada, ze pojede asi 
taky, ale nejsem si 100% jisty).

Docker bude fungovat s patchem, az se mu vysvetli, ze nema sahat na 
AppArmor, ze ten uz je nastaveny a mimo jeho dosah (tj. patch do 
upstream Dockeru, melo by byt feasible v poho).

Nested LXC jede uz ted, i s userns.

Michalovi:

No idealne je cilem, abys mohl jet ve finale ten samy setup (ale treba 
jenom jednonodove-odlehceny), jako nam bezi v produkci, abys idealne 
mohl presouvat zalohy/klony tam a zpatky (coz na nejakou automagii je 
pomerne ve vzdaleny budoucnosti, ale samotnej host OS na LXC 
kontejnerovani uz muzes cca pouzit ted hned).

/⁠snajpa

> 
> Budu se tesit na dalsi zpravy :).
> -Petr
_______________________________________________
Community-list mailing list
Community-list at lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list

More information about the Community-list mailing list