• úvod
  • témata
  • události
  • tržiště
  • diskuze
  • nástěnka
  • přihlásit
    registrace
    ztracené heslo?
    ALMADDocker a kontejnery
    Docker aneb přístupný provoz kontejnerizovaných aplikací
    Docker(Hub), Compose, Swarm, boot2docker, DevOps, LXC, ECS, TumTum a jiné buzzwordy
    Bezpečnost v prostředí kontejnerů
    Related: automatizace [ Centralizovaná správa stanic a ostatních prvků v síti konfigurace/inventarizace/instalace/aktualizace/zalohovani ]
    rozbalit záhlaví
    GIOMIKY
    GIOMIKY --- ---
    HOUMLES: Neverim image, ktery si sam nevytvorim.
    HOUMLES
    HOUMLES --- ---
    ty porad nechapes, ze to neni VM :)
    nepotrebujes instalovat debian a pak do nej mysql, stahni si rovnou mysql image a dej mu jeden statickej adresar do /var/lib/mysql
    GIOMIKY
    GIOMIKY --- ---
    # Posilam tahat pro zaklady prace s kontejnerem
    # vyved obraz kontejneru
    docker export <konteiner id> > file.tar
    # zaved vyexportovany obraz konteineru
    docker import file.tar deb:py
    # spust konteiner na pozadi a pripoj /home/user
    docker run -v /home/user:/home/user -d deb:py /bin/bash
    # zobraz bezici kontejnery
    docker ps
    # pripoj se k bezicimu kontejneru (spust v nem prikazovy radek)
    docker exec -ti <kontejner id> bash
    GIOMIKY
    GIOMIKY --- ---
    ... sry ... man docker-run ... me naucil ;]
    GIOMIKY
    GIOMIKY --- ---
    jj, ale ja to stejne asi pouzivam nejak uplne blbe... konteiner spoustim takhle:
    docker run -v /home/user/install:/root/install -i -t debian
    coz jak jsem se dozvedel z docker search debian ... by mel byt oficialni image z nejakyho to verejnyho zdroje... (coz mi pripomina, ze jsem cetl vysledek nejakyho vyzkumu, jak je 50% verejnych kontejneru zaneradenych a plny bezpecnostnich der?) ... no na kazdy pad ... chvilku pracuju... a pak dam napriklad:
    docker commit <id> vps/deb:python3.9.4
    Ale co potom.. kdyz chci treba nainstalovat mariu ... a vlozit do ni nejaky data... tak prima, zkusim si to, ... ale kdyz potom vyskocim z toho shellu, kterej se mi objevi, tak mi zmizi veskera prace ... a zase commitovat .. kdybych chtel, aby mi ten konteiner bezel dele ...
    nejak mi unika ta neperzistentnost, kdyz chci fakt nejaky data uchovat... ... tim, ze jsem si namountoval jeden adresar bych to vyresil, kdybych pouzival treba nejakej adresar se zdrojakam, ... ale to bych mel do toho mountu presunout veskery datovy soubory marie (databaze)?
    HOUMLES
    HOUMLES --- ---
    GIOMIKY: nejlepsi je na cely /var/lib/docker zapomenout, protoze tam fakt vubec nic rucne delat nemusis a ze zaloh to klidne muzes excludnout.. pokud to bude po restore systemu cely prazdny tak si docker sam zajisti co potrebuje
    GIOMIKY
    GIOMIKY --- ---
    A mate pravdu, ... chtel jsem novou vm na nejaky dalsi pokusy... a kdyz jsem do ni instaloval debian, tak mi to samy vyslo na 30 minut a pak jsem to vypnul, protoze to vyhodilo proc na 100% a kopirovani bylo strasne pomaly (v ramci vps)
    GIOMIKY
    GIOMIKY --- ---
    Hmmm... tak mi to nedalo... a myslim, ze jsem se ukvapil v usudku... ten "silenej" bordel ve /var/docker neni az ak zahadnej... mel jsem tam prilis mnoho konteineru, imagu atp. z jednoho z prvnich pokusu... kdyz se na to divam znovu, s cistou instalaci... tak jsem docela hezky prekvapen... ...
    ve /var/lib/docker/overlay2/<divny id>/diff (napriklad) je normalne filesystem... pri prvnim pruzkumu, kdyz jsem cistil disk jsem se dostal jenom do ... docker/overlay/diff a videl jsem tam ty "divny id" ... tak me to odradilo... myslsl jsem, ze tam budou nejaky krypticky soubory ... ale jak rikam, jestli jsou to normalni soubory tak super...
    JON
    JON --- ---
    Je to presne jako u vyvoje - vec ktera nejde otestovat je rozbita. Pokud nedokazes otestovat deployment - je rozbitej. Tolik k tomu, ze se neco bude delat jen jednou. :-)
    FALLENANGEL
    FALLENANGEL --- ---
    Ten mindset shift je s kontejnerama znacnej a do jisty miry je to o akceptovani 'pet vs. cattle' principu. Ne jenom co se tyka provozu aplikace, ale environmentu celkove. V posledni dobe vidim trend kdy zakaznici i k samotnejm kontejnerovejm clusterum (Kubernetes, OpenShift,...) pristupujou jako ke cattle. Neco se podela pri upgradu? Smazat cluster, spustit playbook a za chvili je vsechno vyreseny. Velky aktivni dev prostredi? Kazdej vikend smazat, spustit playbook a za chvili uz engineering deployuje z gitu do cistyho clusteru.
    GIOMIKY
    GIOMIKY --- ---
    INDIAN: Nejsem na to kovanej expert, sorry za nepresnosti. Zajimalo me, jestli je to k necemu dobry.
    MARTEN: Myslim, ze uz bez dockeru nejak doziju.
    INDIAN
    INDIAN --- ---
    GIOMIKY: mozna si nejdriv over fakta nez neco podobnyho napises ;)
    Docker Desktop WSL 2 backend | Docker Documentation
    https://docs.docker.com/docker-for-windows/wsl/
    (moji widloidni kolegove docker ve WSL normalne pouzivaj)
    MARTEN
    MARTEN --- ---
    GIOMIKY: jestli myslis wsl, tak je nejak podporovane. Relativne kratce. Vic moc nevim, MS nepouzivam uz strasne dlouho
    GIOMIKY
    GIOMIKY --- ---
    HOUMLES: O.K. ... treba se jednou najde duvod.
    MARTEN: Jo, docker je super. Az ho prida M$ do WLS, tak to bude jeste oblibenejsi.
    MARTEN
    MARTEN --- ---
    GIOMIKY: Na kazdem VPS jedu docker, nic jineho uz neinstaluju a je to lepsi a lehci nez instalovat balicky.
    A k prenaseni, muzes pak rozchodit swarm, k8s apod. a klidne mit rovnou ty data replikovany a nic nemuset resit.
    Jinak docker ma i image na zalohovani, staci pak spustit `docker run backup-image....` a jen poslat ktery image a ktera data.
    HOUMLES
    HOUMLES --- ---
    GIOMIKY: ja bych to spis videl, ze bys mel dospet ty a upustit od tvych zajetych koleji :)
    GIOMIKY
    GIOMIKY --- ---
    MARTEN: Nepotrebuju nicm experimentuju.
    GIOMIKY
    GIOMIKY --- ---
    RUDOLF: Ja nerikam, ze docker je na nic... na vpsfree je ten muj stroj kontejner... a kdyz si v kontejneru udelam kontwjner, tak se mi to blbe managuje... treba az docker dospeje a zacne delat za par let misto bordelu na disku nejaky rozumny image, tak nastane cas ho zkusit znova.
    MARTEN
    MARTEN --- ---
    GIOMIKY: no, ona zaloha dockeru se dela uplne jinak a je mnohem snazsi.
    Strasne zjednodusene, pokud budu chapat dobre presne co potrebujes.
    Vytvoris si docker-compose.yml, coz je config sluzby kterou chces bezet. Vynecham jak bude vypadat. Ale je tam jaky image chces pouzit, pripadne nastaveni (treba jaky se ma vytvorit defaultne user v mysql, jake ma mit virtualni site,....). V tom bude i adresar ktery chces mit persistentni, to je jedine co te zajima na zalohu. V docker-compose to bude treba /var/lib/mysql:/volumes/mysql.
    Docker-compose.yml das do gitu, nebo kamkoliv, at se ti to hezky prenasi i k tobe, jestli je treba (nebo v gitu daneho projektu).
    Pokud to chces prenest k sobe, pouze zazalohujes /volumes/* a preneses k sobe. Spustis `docker-compose up` a to je vsechno. Uz se ani nestaras o to ze u sebe nemas mysql, nebo cokoliv jineho. Udela to sam podle toho co bylo na serveru. Nezalohujes nic dalsiho.
    Je to zjednodusene. Do /var/docker je zbytecne chodit, tam jsou proste interni veci.
    RUDOLF
    RUDOLF --- ---
    GIOMIKY: HOUMLES: to je prostě úplně jinej mindset. Lidi jedou podle osvědčených vzorců, dokud se nestřelí do nohy. Do kolegy pravidelně hučím, ať ten postup vždy přepíše do ansible - a odpovědi typu - to budeme dělat jen jednou a tak:-) Jakoby nikdy neproovozoval žádnej systén. No a samo, včera přišel produkťák, že po něm chtěl aby deploynul dalších sedm strojů:-) Oba si uvědomili, že ta investince do ansible asi není blbá a neděláme to abychom si honili naše engineering péra.

    Jinej mindset je třeba vnímat ty OS jako efemerální zdroj, v kterým jen alokuješ to co je skutečně perzistentní a to máš někde pravidelně zálohovaný. Všechno ostatní deployuješ kam potřebuješ a jen obnovíš perzistentní data ze zálohy.

    A nebo migruješ VM, ale pak si ji jednou za mnoho let rozesereš a už ji nedáš dohromady:-)
    GIOMIKY
    GIOMIKY --- ---
    HOUMLES: No jasne.
    Kliknutím sem můžete změnit nastavení reklam