• úvod
  • témata
  • události
  • tržiště
  • diskuze
  • nástěnka
  • přihlásit
    registrace
    ztracené heslo?
    ALMADDocker a kontejnery
    Docker aneb přístupný provoz kontejnerizovaných aplikací
    Docker(Hub), Compose, Swarm, boot2docker, DevOps, LXC, ECS, TumTum a jiné buzzwordy
    Bezpečnost v prostředí kontejnerů
    Related: automatizace [ Centralizovaná správa stanic a ostatních prvků v síti konfigurace/inventarizace/instalace/aktualizace/zalohovani ]
    rozbalit záhlaví
    ADM
    ADM --- ---
    RUDLF: s dockerem na centosu mam taky dobrou zkusenost, je tam dobre out-of-the-box oselinuxovany a nakonfigurovany, nicmene pouziji debian, kvuli aktualni verzi dockeru (a compose). zatim mi v dockeru v porovnani s openshift/kubernetes chybi par veci, nektery mrzi hodne, az to budu mit hotovy tak to shrnu a podelim se.

    jeste bych se zeptal, jestli nemate nekdo vyreseny logovani, idealne bych vystupy containeru rad dostal na syslog server. v openshiftu je docker logging do journald, jako daemonset je na kazdym nodu fluentd, ktery logy collectuje z journald a posila do elasticsearch. predstavoval bych si to podobne ale s posilam na remote syslog server
    RUDOLF
    RUDOLF --- ---
    ADM: Asi nemám jasnou odpověd.. Ale moje zkušenost.. jako host OS pro docker engine si vyber něco co se ti dobře spravuje, má solidní lifecycle, security aktalizace jsou zajištěný a je stabilní. Za mě by to byl CentOS.

    Ale kde teď roku pracuji se jede Ubuntu. Ubuntu servery jsou poladěný tímhle playbookem - https://github.com/angstwad/docker.ubuntu. Imhto to řeší to trable, který jsem v CentOS neměl na druhou stranu, tehdy jsem docker jel jen okrajově. Ubuntu bylo vybraný, páč ho má většina vývojařů, tak všichni vědí kde co v OS je.

    Pro baremetal servery bych jel tyhle klasický distribuce.

    Pokud se jedná o deploy do VM, např. Docker4AWS používá customizaovený alpine jako hostovací OS. Je odladěný docker týmem, ale má jednu bolístku, že ten jejch iam má sshd v kontejneru, takže nevidím do hosta. Imho to není dobrý. Např. jsem nevěděl, jak změřit zátěž docker engine procesu. Tj. měl jsem přetíženou instanci a netušil jsem odkud vítr vane. Asi to jde vyřešit a možná jsem to i nějak poladil. Ale by design jsem si kontejnerizovaný sshd nelíbí. Plus jako bonus dosud myslím nepublikovali jak ten alpine image vlastně upravujou.

    Tj. v případě VM bych šel cestou něčeho minimalističtějšího co má odladěný docker engine věci by default.

    Jinak Swam je fajn, jediný co je vlastně trabl, že na AWS není managed solution.
    ADM
    ADM --- ---
    MARTEN: ten repozitar samozrejme mam ale docker-compose tam neni, ale nainstaloval jsem ho teda pres pip
    MARTEN
    MARTEN --- ---
    ADM: na debian muzes pouzit docker repository, ktere vetzi 3 podporuje. bezim na tom bez problemu. jen neni v oficialnim debian repo. koukni na webu dockeru na sekci instalace na debian.
    ADM
    ADM --- ---
    zdravim vespolek, dostal jsem za ukol prozkoumat migraci z openshiftu na ciste docker ekosystem (rikal jsem jim uz pred rokem, ze je to blbost, ale nedali si rict), takze sem pravdepodobne budu sem tam hazet nejaky dotaz.
    Pro zacatek by me zajimalo, jakou distribuci pro docker swarm. V openshiftu neni co resit , proste redhat/centos. Bral bych debian ale nema docker-compose s podporou verze 3. Je nejaka vhodnejsi distribuce ktera by stala za doporuceni? Co ten clear linux, provozuje to nekdo?
    MARTEN
    MARTEN --- ---
    OMNISLASH: Tak asi nejjednodussi najit ktery adresar je tak nejvetsi. Muzou to byt stazene image, vytvorene volume, nebo cokoliv dalsiho.
    OMNISLASH
    OMNISLASH --- ---
    MUXX: to je on. nezustala, i tu jsem vypakoval
    MUXX
    MUXX --- ---
    OMNISLASH: to je ten co bezi pres VirtualBox? nezustala ti tam nekde nejaka VM?
    OMNISLASH
    OMNISLASH --- ---
    ta uz je pryc
    TRILOBYTE
    TRILOBYTE --- ---
    OMNISLASH: Nezbyla po nem slozka C:\User\*username*\.docker?
    OMNISLASH
    OMNISLASH --- ---
    nejake zkusenosti s dockerem pro windows, respektive s docker toolboxem? jak ze systemu odstranim vsechan jeho chapadla? po odinstalaci a nasladnem smazani vsech oddenku, co si kde nechal, mi stale schazi misto, ktere zmizelo za jeho cinnosti. nikde jsem nenasel zadnou rozumnou dokumentaci, ze ktere by bylo patrne, co si kde pri jake prilezitosti odklada
    SATAI
    SATAI --- ---
    Google open sources gVisor, a sandboxed container runtime – TechCrunch
    https://techcrunch.com/2018/05/02/google-open-sources-gvisor-a-sandboxed-container-runtime/
    MUXX
    MUXX --- ---
    Dneska Troubleshooting Docker na Packtpubu
    Free Learning - Free Programming eBooks | PACKT Books
    https://www.packtpub.com/packt/offers/free-learning
    RUDOLF
    RUDOLF --- ---
    hele, když jsem tady.. Už mi na produkci nějakej měsíc jede swarm mode. tak jen pár zkušeností a postřehů. Jedu na upravený Docker4aws z ofiko docker upstreamu. Je to znažší než kubernetes a snažší se to být jednouchý nástoj, bez zbytečné hloubky. Když jsem si zkoušel Kubernets přes yoyo, tak ten management klastru mi přišel hrozně tlustej. Swarm je tenčí.

    a.) Bohužel je reálně potřeba mít 5 manager nodes and nikoliv jen 3. Na AWS v pár případech ty stroje ztratili quorum, když dělal nějakou aktualzici, kde se instance manageru museli nahradit. Je na to na githubu issue - myslím, že to může být specifkum clean up skriptů dodaných s docker4aws.

    b.) Občas blbne ingress. Typicky, když jsem měl třeba 3+ replik, najednou v jednom kontejneru na konkrétním stroji nefungovalo service discovery, v jiné replikace na jiném stroji už zase jo. Je na to na githubu issue. U jiný appky jsem narazil, že appka nebyla dostupná na port z každého manager nodu. Tj. občas request na appku selhal.

    c.) Docker4aws je dodanej s klascikým LB. Abych se přiznal, moc jsem nepochopil jak z toho klastru provozovat různý appky pod různými domain names. Je tam nějaká magice s propojován ARN domény a portem. Udělal jsem aplikační a network load balancer a target groupy pro každou službu. Důležitý bylo vypnout v cloudformation docker4aws healthchecky u toho defaultního LB, ideálně už při prvním vytvoření LB. Když jsem např. zcela legitimně undeploynul službu běžící na nějakém portu, ASG začal mít pocit, že node je rozbitej a začal zabíjet instance. Protože si mysell že ta služba na daným portu má fachat. V kombinaci s těma trablema, kdy člověk má jen 3 manager nodů, to skončilo ztrátou quora.

    asi je toho víc, ale už bych měl jít spát.

    oběcně, podobně jako s kubernetes, bych dal přednost managed solution - kde za život klastru má zodpovědnost třetí strana.
    RUDOLF
    RUDOLF --- ---
    INDIAN: swam chceš pokud máš 3+n (n jsou workery) fyzickejch mašin a chceš aby ti swarm rešil životaběh kontejnerů . Jinak bych šel cestou docker-compose, imho lepší než jet one node swarm.

    Nomad neznám.
    ADMIX
    ADMIX --- ---
    INDIAN: hashicorp nomad jsem používal i pro složitější věci, ale je minimalistický a jednoduchý. me gusta
    MARTEN
    MARTEN --- ---
    INDIAN: Pridavam se k docker-compose. Super jednoduche a neni skoro co se k tomu ucit. Pouzivam to jak k developmentu, tak i na nasazovani nekterych lehcich aplikaci. Na slozitejsi aplikace pak rancher.
    HVJ3R
    HVJ3R --- ---
    INDIAN, NIXIMOR: presne pro tenhle ucel pouzivame docker-compose a bez problemu. Pro komplexnejsi prikazy a jejich retezeni je to vybavene jeste klasickym makefilem, takze
    make cont-name.reboot
    = down + up,
    make cont-name.refresh
    = down + pull + up atd.
    NIXIMOR
    NIXIMOR --- ---
    INDIAN: tak minimalne se budou muset naucit balit a pushovat docker image... a k tomu uz si zapamatovat (nebo nascriptovat) docker-compose pull && docker-compose up -d snad zvladnou :)
    INDIAN
    INDIAN --- ---
    DANIELSOFT: jj, nak tak balancuju mezi compose a swarm, zbytek mi pride jako kanon na vrabce, spis mi de ale taky o to, ze kluci maj nulovy zkusenosti a ochota se ucit neco navic je nekde u bodu mrazu.
    Kliknutím sem můžete změnit nastavení reklam