ugrás a tartalomhoz

Konténerek - kicsit teli a hócipőm...

mind1 valami név · Ápr. 3. (P), 11.28
Tavaly nagy nehezen rászántam magam, összeismerkedtem a dockerrel.
Most egy kicsit teli lett a tököm az ubuntuval, gondoltam, OS-t váltok a szerveren.
Első körben arch linux volt a jelölt, de a rolling release nem tetszik.
O.K., akkor CentOS.

Felrakok egy minimál rendszert, raknám fel rá a dockert, de nincs. Külön repoból szedjem le, telepítsem úgy, ha akarom, centos-ék kidobták.
Van helyette valami buildah+podman, ami kb. a töredékét tudja, ha lehet hinni a neten találtaknak. (miután a prohardverről megint kizáródtam, mert elküldtem valamelyik moderátort a jó édes anyukájába az idióta paranoiája miatt, ott már nem kérdezhetek :DD)

Errefelé ha jár még valaki, aki konténert használt: mit?
Érdemes tovább szarozni a dockerrel? Vagy már az is felejtős? (ugye a centos végsősoron egy red hat, az meg ugye enterprise környezetben "A" linux)

A konténer nekem azért lenne jó, mert lényegesen gyorsabban működik, mint a kvm-be pakolt virtuális gépek. Legalábbis a kis nyomorult celeronomon.
 
1

Dokker

vbence · Ápr. 3. (P), 20.46
Hali, a Dcoker azért került ki különböző distrókból mert senki nem használta az oprendszerrel szállított fél vagy egy éves verziókat. Igen, a gyártó által ajánlott repót be kell húzni és onnan telepíteni (vagy még jobb tar.gz-ből) - ha megbízol a gyártóban (futtatod a kódjukat) akkor megbízhatsz azáltaluk ajánlott repóban is.

A podman mindent tud amire neked a dockerből első körben szükséged lesz, és megvan az az előnye, hogy nem rootként kell futtatni, hanem mezei userként is elmegy. A docker parancsok amikkel tutorialokban találkozni fogsz mennek podmannal is ugyanazok a paraméterek csaka bináris lesz más, de első körben amradj a dockernél.
2

Podman - root nélkül hogy

mind1 valami név · Ápr. 3. (P), 23.24
Podman - root nélkül hogy publikálod mondjuk egy nginx portját/portjait? :(
Úgy rémlik, docker alatt ment, podman alatt elindult a konténer , épp csak elérhetetlen volt a benne futó szerver :(((
(podman run -d --rm -p 8080:80 nginx - ez root nélkül, egy virtuális gépben futó CentOS 8 alatt nem ment. Ugyanez megfejelve egy sudo-val már működött, pedig a 8080-hoz nem lenne szükség root jogra)

Külső repoból még csak-csak telepítek adott esetben, de forrásból... na az nem az én világom. Szeretem, ha egyben van a rendszerem és egy sima update paranccsal tudom naprakészen tartani a szoftvereket.

Egyébként itt most inkább azért kérdés, hogy milyen konténert használjak, mert ettől függ a leendő OS is.
Ha docker, akkor debian/ubuntu. Ha podman és társai, akkor CentOS.
Bár már kezdem nézegetni a proxmox-t megint :((
3

Rootless

vbence · Ápr. 4. (Szo), 14.31
Parancssorban ekvivalens a podman, de root nélkül nem tudja ugyanazt a funkcionalitást. "Rootless containers" a téma neve, ebbe nézz bele ha érdekel.

Nem mondanám, hogy "ha docker akkor debian". https://docs.docker.com/install/#server distró nem igazán számít.
4

Nekem úgy tűnik, hogy ez a

inf3rno · Ápr. 5. (V), 04.07
Nekem úgy tűnik, hogy ez a rootless container ilyen félig működő dolgokat eredményez. Nem tűnik úgy, hogy van értelme bármire élesben használni. Mondjuk 2 éves videot néztem, lehet azóta már jobb. Valamiért mindig az a benyomásom az ilyen jellegű linuxos projektekről, hogy folt folt hátán, vagy inkább tákolás tákolás hátán. Van egy docker, amire erre a célra rohadtul nem alkalmas, de valahogy megpróbálják belehekkelni, ahelyett, hogy nulláról írnának valami újat. Mondjuk van néhány projekt amiről egyáltalán nem ez a benyomásom, pl a wireguard ilyen.
5

Disztró csak annyiban számít,

mind1 valami név · Ápr. 5. (V), 13.26
Disztró csak annyiban számít, hogy a CentOS 8-ban külön kell bűvészkedni a repoval ahhoz, hogy a docker felmenjen.
Ezt már kihagynám ("öreg vagyok én már ehhez" ;) )

Az viszont elég furcsa (jó, harmadik napja nem alszom, lehet, ez is közrejátszik), hogy ami összehasonlító írásokat találtam, azok mind redhat közeli szerzőktől származnak, enyhén elfogultnak tűnnek és egyes magyarázataikat (miért jobb/biztonságosabb az ő megoldásuk) kissé erőltetettnek látom.
Így meg elég nehéz dönteni. :(
6

Bűvészkedés

vbence · Ápr. 5. (V), 16.24
Ha erre gondolsz bűvészkedés alatt, akkor elég alacsonyra tetted a mércét, ennél sokkal cifrább dolgokat is fogsz csinálni valódi üzemeltetés közben. ;)
sudo yum-config-manager \
    --add-repo \
    https://download.docker.com/linux/centos/docker-ce.repo
Ezt már 5 (vagy 6) éve is így ajánlotta a hivatalos Docker dokcumentáció. Itt vagy ugyanez Debianra:
curl -fsSL https://download.docker.com/linux/debian/gpg | sudo apt-key add -
sudo apt-key fingerprint 0EBFCD88
sudo add-apt-repository \
   "deb [arch=amd64] https://download.docker.com/linux/debian \
   $(lsb_release -cs) \
   stable"
(Hacsak nem tudok valami Centos8-spacifikus extra dologról).
7

Kösz, én már nem fogok

mind1 valami név · Ápr. 6. (H), 09.52
Kösz, én már nem fogok élesben üzemeltetni (hacsak nem tudsz egy jó munkahelyet, ahová ~20 év gyakorlattal, 10 év kihagyással rendelkező, félvak üzemeltetőt felvesznek :DD)

A magam részéről linuxon mindig tartottam magam ahhoz, hogy ha lehet, a disztribúcióhoz tartozó csomagokat használjam, ne a gyártó repoját, pláne ne forrásból telepítsek.
Valahogy jobban bízom abban, hogy a disztribúció készítői által összerakott csomag gond nélkül fut az adott rendszeren (nem járok úgy, hogy pl. valami libc változás miatt random hanyatt dobja magát egy kernel modul - lásd régi, nagyon régi virtualbox :D)
Egyedül a virtualbox volt kivétel, mert ott olyan pluszt adott a gyártótól származó csomag, amit nem tudtam nélkülözni. (ma már azt is a saját repoból telepítem)
8

A magam részéről linuxon

kuka · Ápr. 6. (H), 11.21
A magam részéről linuxon mindig tartottam magam ahhoz, hogy ha lehet, a disztribúcióhoz tartozó csomagokat használjam, ne a gyártó repoját, pláne ne forrásból telepítsek.

[off]
Egyetértek. Nálam ehhez még bejött az is, hogy pláne ne Snap-ből. Egyszer ráment úgy 2 órám míg rájöttem miért csak egy kolléga gépén nem működik normálisan a pdftk. Addigra viszont más kollégák is rápazaroltak fél és 1 óra között, az elkövető pedig úgy 4-et. Nagyjából egy teljes programozó munkanap ráment.
[/off]
9

Csomagkezelo

vbence · Ápr. 6. (H), 11.44
Ez egy erdekes tema - lehet vele szivas boven. Minden disztributornak mas a filozofiaja, modszere hogyan frissit verziokat. A debianra szoktak mondani, hogy amikor valami bekerul mar reg elavult (az Ubuntu probalja ezt orvosolni).

Nem tudom, hogy a Docker okoszisztemeja mennyire specialis, de egy olyan projet, ami per pillnat nagyon dinaiusan fejlodik (valtozik?) es megeri a leheto legfrissebb verziokon lenni.

Ami fontos kulonbseg lehet klsszikus C-s projektekkel szemben, hogy itt Go-ban irodik az egesz okoszisztema. Itt a "normalis" a fat binaryk, amik minden fuggoseget tartalmaznak, gyakorlatilag semmiben nem fuggnek a rendzer kornyezetetol.Historikus analogia peldaul a Java projekek, amikkel sose tudtak igazan mit kezdeni a distrok keszitoi.

Dockert mindenki igy telepit (aki kozvetlenul hasznalja) - ebbol eredoen esetleges problemakra raguglizva nagy eselyel fosz talni megodasokat, illetve ebbol a kiindulopontbol epitkezik a sok tutorial statobbi - szoval ez "szokasos" a dockeres vilagban.
10

Ha már docker

mind1 valami név · Ápr. 8. (Sze), 02.42
https://www.infosecurity-magazine.com/news/docker-crypto-malware/
Azt hiszem, nem teljesen érdektelen, bár első olvasatra csak a felelőtlenül beállított hálózatoknak okoz gondot.