• úvod
  • témata
  • události
  • tržiště
  • diskuze
  • nástěnka
  • přihlásit
    registrace
    ztracené heslo?
    ALMADDocker a kontejnery
    Docker aneb přístupný provoz kontejnerizovaných aplikací
    Docker(Hub), Compose, Swarm, boot2docker, DevOps, LXC, ECS, TumTum a jiné buzzwordy
    Bezpečnost v prostředí kontejnerů
    Related: automatizace [ Centralizovaná správa stanic a ostatních prvků v síti konfigurace/inventarizace/instalace/aktualizace/zalohovani ]
    rozbalit záhlaví
    RUDOLF
    RUDOLF --- ---
    REFLEX: to je jen jeden stroj ne? Normálně nastav stejnou network pro všechny kontejnery co na sebe mají lokálně vidět. Ty kontejnery budou mít stejné dns jako název služby, nebo možná prefix compose.

    Když chceš něco mít veřejně, nahoď třeba traefik na routování do kontejnerů. A jen tuhle službu exposni. Pravidla routování si nastvíš jako labels u každého kontejneru.

    Na server si nasměruj DNS a jen si nastav routování konkrétnich hostnames do kontejnerů.

    No a kdybys chtěl víc reselient řešení pro víc hostů, jde použít i Docker swarm. Je to imho jednodušší než K8s a můžeš používat compose pro deployování stacků služeb.
    REFLEX
    REFLEX --- ---
    Mam n webu, kazdy ma svoje git repo a potrebuji pro ne rozbehat vyvojove prostredi

    Kde je 1 hlavni web, ktery ma databazi na kterou se pripojuji i ty ostatni weby.

    Jde se pripojit z jednoho docker-compose do druheho? Jak na to? :D

    Muj plan je takovy ze v kazdem projektu by byl docker-compose a clovek by musel nejdriv pustit ten hlavni a pak ten nejaky jiny na kterym pracuje a komunikovali by mezi sebou
    FALLENANGEL
    FALLENANGEL --- ---
    Mate nekdo trik jak udelat podman pull v rootles kontejnerech?

    sh-4.4$ podman pull registry.redhat.io/ubi8/ubi:latest
    WARN[0000] Failed to detect the owner for the current cgroup: stat /sys/fs/cgroup/systemd/kubepods.slice/kubepods-burstable.slice/kubepods-burstable-pod2f195ec9_139e_4aa4_a216_b234d869a681.slice/crio-f86c6929612ccad07edd12119f4a968c2dad830e335500fc21416995225fb4e2.scope: no such file or directory
    Trying to pull registry.redhat.io/ubi8/ubi:latest...
    Getting image source signatures
    Checking if image destination supports signatures
    Copying blob d0c9851d609d done
    Copying blob 33db084abe90 done
    Copying config 0724f7c987 done
    Writing manifest to image destination
    Storing signatures
    Error processing tar file(exit status 1): potentially insufficient UIDs or GIDs available in user namespace (requested 0:81 for /usr/libexec/dbus-1/dbus-daemon-launch-helper): Check /etc/subuid and /etc/subgid: lchown /usr/libexec/dbus-1/dbus-daemon-launch-helper: invalid argument
    Error: Error committing the finished image: error adding layer with blob "sha256:33db084abe90803d3c1ed1fa2db456724adb80961c94c09f91bf5b2c046a9008": Error processing tar file(exit status 1): potentially insufficient UIDs or GIDs available in user namespace (requested 0:81 for /usr/libexec/dbus-1/dbus-daemon-launch-helper): Check /etc/subuid and /etc/subgid: lchown /usr/libexec/dbus-1/dbus-daemon-launch-helper: invalid argument

    Why can’t rootless Podman pull my image? | Enable Sysadmin
    https://www.redhat.com/sysadmin/rootless-podman
    MORTAELTH
    MORTAELTH --- ---
    VELDRANE: jj, vim. rekl bych ze tem clankum ktere neco srovnavaji nepridava bonusovy body kdyz jsou z microsoftu, nebo ne nejak vyrazne. hodne se snazi tlacit tu jejich monitorovaci platformu, ktera je ale hodne draha, takze my jedem monitoring, metriky, logy nemicrosofti reseni a jsem za to rad.. komunita v tomhle funguje dobre.
    BLACKOUT
    BLACKOUT --- ---
    RUDOLF: AWS CDK > Terraform > Rucne vyklikat > Pulumi > Azure ARM :D
    FALLENANGEL
    FALLENANGEL --- ---
    VELDRANE: Na tom asi neni nic spatnyho. Velka cast korporatnich zakazniku ma Azure first. I kdyz to asi neni uplne best of breed cloud.
    VELDRANE
    VELDRANE --- ---
    MORTAELTH: Problem Tomase je trosku v tom ze je zamestnanec MS a tak imho dost tlaci Azure a ekosystem kolem nej, i kdyz je to nepochybne hodne chytrej typek.
    RUDOLF
    RUDOLF --- ---
    Hele a co porovnání TF CDK a pulumi? Máte někdo zkušenosti?
    ALMAD
    ALMAD --- ---
    RUDOLF
    RUDOLF --- ---
    MORTAELTH: za mě je to furt jen IaC a devops jen tooling se vyvíjí. Ale po téměř roční zkušenosti, že jsme v enterprise psali python wrapper kolem terrafromu, který řešil multiaccount, multitenant appraoch, kde máme koncept jednoho prostředí v kterým je n+ užitavatelských prostředí. Mi Pulumi přijde že je to správný řešení IaC v cloudu. A ústup od deklarací mi dává smysl, už z principu, jaký monstrum jsem tím wrapperem TF vytvořili:-)
    MORTAELTH
    MORTAELTH --- ---
    v cesku je devops kapacita Tomas Kubica. Jeho clanky byvaji dost podrobne na spoustu temat. doporucuji jeho blog:

    Infrastructure as code v Azure: Bicep (ARM) vs. Terraform vs. Pulumi vs. Crossplane - Tomáš Kubica
    https://www.tomaskubica.cz/post/2021/infra-as-code-azure-srovnani/
    MORTAELTH
    MORTAELTH --- ---
    ALMAD: a taky uz se od terraformu postupne odvazbuji. Jejich SDK byl puvodne automaticky konvertovany terraform. Ted treba pro Azure uz ale maji novou knihovnu, ktera je generovana z Azure ARM template. Tzn maji v rozumne dobre pokryte 100% azure api a nejsou zavisly na terraformu, ktery ma vetsi zpozdeni
    MORTAELTH
    MORTAELTH --- ---
    ALMAD: nejvetsi vyhoda je vyuziti evoluce programovacich jazyku a toolu kolem toho. Vyuziti typovosti, interfacu, atd.

    a ten bonus sideffect u nas bylo zapojeni vyvojaru do infrastruktury. Ucit se ansible / terraform byl problem.
    ALMAD
    ALMAD --- ---
    MORTAELTH: Ad Pulumi, jaký to má výhody proti terraformu?

    Já mám většinou pocit, že deklaarativní tooly maj omezenou flexibilitu a v nějakej moment do něj lidi začnou rvát imperativní funkce aby se nezbláznili, ale přijde mi, že v TF to s modulame et al funguje rozumně dobře a zrovna pro účel deklarace zdrojů mi deklarativní přístup přijde...odpovídající?

    A jenom ta struktura, rozumim tomu dobře že jsou pořád oddělená repa pro definici kódu a definici infrastuktury? (což mi přijde rozumný, jenom ze stránek Pulumi to dává trochu jinej dojem)
    INDIAN
    INDIAN --- ---
    MORTAELTH: dik za tip!
    MORTAELTH
    MORTAELTH --- ---
    JON: gitops je principialne svazany s tim ze prostredi (bezici instance nejake aplikace) je plne popsane a konfigurovatelne gitem. + do toho nekdo radi automatiku provadeni zmen (git push spusti pipelinu, ktera tu zmenu zajisti)
    MORTAELTH
    MORTAELTH --- ---
    FALLENANGEL: jedeme ve firme gitops asi rok. Neni to jen buzzword, jsem presvedceny ze je to prakticka vec a smer na ktery do par let prejdou vsichni (od rozumne velikosti nahoru). Bude se to jeste rozvijet a posouvat, ostatne jako vsechno v IT, ale ten zaklad zustane. Neni to modla s jasnyma pravidlama, muze to mit mnoho podob, ale to jadro (ridit chovani / zmeny aplikace commitama do gitu, vcetne infrastruktury) to zustane.

    Jak to vypada u nas:
    Primarni nastroj pro infrastrukturu je Pulumi. To je prulom o kterem se take zatim tolik nemluvi, ale bude :) Stavi to na terraformu, u nas to zpusobilo revoluci v tom, ze najednou vyvoj muze ovladat infrastrukturu nastrojema a zpusobem, ktery je jim vlastni. Predtim dochazelo k problemum ze aplikace potrebovala zmenu do infrastuktury, ale infrastrukturu "vlastnilo" OPS (pres Ansible). Pulumi prevedlo terraform do normalniho programovani (maji typescript, go, tusim i php a dalsi)

    mame jedno repo ve ktery jsou moduly pro infrastrukturu (standard)
    a pak mame dalsi repo pro konfigurace konkretniho prostredi. Kdyz potrebujem udelat zmenu (prenastavit aplikaci, updatnout verzi infrastruktury, updatnout verzi aplikace, ...), znamena to upravit to v gitu a dat "pulumi up". Pulumi detekuje kde se stala zmena a snazi se ji naplnit => tzn plny "Desired State" pristup.

    jedeme na Azure a jejich managed Kubernetes.
    MUXX
    MUXX --- ---
    JON: Asi komu se podari udelat zmenu na nejmin pull requestu. Jako vykladam to tu jak nejaky hrdina, ale mame DNS/MAC/IP v gitu a odstranoval jsem ted nejake rok stare zaznamy, kde se odstranilo zelezo, ale DNS zustalo. Takze nejsme dokonali. Zjistoval jsem proc a zjistil jsem ze kolegove mezitim udelali skript na odstraneni hw. Pusti skript a ten jim naseka pull requesty na DNS, monitoring i asset management system. Mergnou, vypnou, odvezou.
    FALLENANGEL
    FALLENANGEL --- ---
    What is GitOps? Extending devops to Kubernetes and beyond | InfoWorld
    https://www.infoworld.com/article/3566555/what-is-gitops-extending-devops-to-kubernetes-and-beyond.html
    JON
    JON --- ---
    MUXX: rozumim - akorat to z GitOps dela pouhej buzzword, protoze jak se to potom lisi od toho co vicemene vsichni mame? Nejake testovani, nejakej tooling pro on-demand deploy, postupy jak resit nestandardni situace, skripty pro bootstrap cisteho zeleza, to je vsechno v gitu.
    Nebo se k tomu da pristoupit tak, ze GitOps je nejakej "ideal" kte kterymu stoji za to smerovat, protoze to prinese spoustu vyhod atd. atd.
    Ja nejak osciluju mezi temahle dvema chapanima :)
    Kliknutím sem můžete změnit nastavení reklam