Необслуживаемая система с докером

1. Хост без сетевых сервисов, не обновляется вообще.

А как вы будете админить виртуалки? Пешком ходить? ЕМНИП ни один нормальный гипервизор не будет работать без management-интерфейса.

А в остальном - ну так это стандартная схема с виртуальной фермой. Просто вы внутрь виртуалок еще и контейнеры напихали.

Виртуалки настроятся 1 раз, если нужно будет что-то менять это будет отдельная редкая разовая работа. Постоянного обслуживания не будет. А так как на месте всё равно некому и негде, то и незачем дыры оставлять.

наружу - только контейнеры. Выживет?

Если ты и твои сервисы никому не будут интересны - да. Если окажутся кому-то интересными, то тут уже возможны варианты. Всё очень сильно зависит от того, какие именно сервисы торчат наружу (в интернет, как я понял). Если удастся поломать их до состояния «remote code execution», то всё, с учётом необновляемого 100500 лет ядра - хана всей системе. Если в будущем обнаружится эксплоит для qemu/kvm, то и гипервизору тоже хана.

Докер-контейнеры имеют обыкновение иногда падать в связи со сменой фазы луны. На этот счет нужно будет придумать вотчдог или ребутать по питанию. Системд вполне справится с ролью вотчдога. Плюс подумать про очистку файловой системы и ухода в рид-онли из-за ошибок. Короче, совсем резать мосты было бы не очень удобно.

dockerd рестартует сам, несколько месяцев вроде держит. Контейнеры на отдельной FS каждой виртуалки, кому надо пущай чистят сами. Срачик внутри контейнеров не моя забота - это они всё сами могут сделать.

Виртуалки в схеме лишние. Я думаю, можно обойтись одними контейнерами.

Да, но виртуалки решают 2 проблемы

1. Разные версии ядер (3.x и 4.x) и разные наборы модулей.

2. Изоляция хоста от кода в контейнерах.

1. Это да..если этот момент является значимым в твоей ситуации.
2. Если ты без привилегий пускаешь контейнер, то хост у тебя и так заизолирован.

На этот счет нужно будет придумать вотчдог или ребутать по питанию. Системд вполне справится с ролью вотчдога.

Ровно до тех пор пока сам демон докера не склеит ласты. Иначе систумд начинает молиться богам рандома, вешая систему так что только ребут по питанию поможет

1. Разные версии ядер (3.x и 4.x) и разные наборы модулей.

объясните каким боком связь между докерами и разными версиями яде? Докер же он только chroot эмулирует ?

Докеру всё равно, софту в контейнере - нет.

1. Хост без сетевых сервисов, не обновляется вообще.

А через год тебе потребуется запустить контейнер, которому нужна функциональность последней версии докера...

Или диск отвалится и нужно будет обслуживать машину, или IP поменять, потому что изменения в сети или...

У РедХата даже дистрибутив есть специальный, в котором на хосте только докер (и он обновляется). Опять же софт в контейнерах содержит какие-то сетевые сервисы и их нужно будет обновлять.

В общем идея с сервером, который замуровали в стену и остался лишь сетевой кабель она уже очень давно непопулярна, как и идея меряться uptime'ами.

Постоянного обслуживания не будет.

Я так понимаю идея необслуживания появилась из соображения не платить. При этом всю ответственность за работу сервиса все равно свалят на того, кто все это сделал (но не обслуживает, потому что ему не платят). Т.е. если что сломается, «это ты виноват - чини,» - но мы тебе все равно не заплатим (одного раза при создании достаточно).

Вот поэтому я и предпочитаю почасовую оплату «работаю - плати, не платишь - не работаю, не нравится как работаю - ищи другого». И пофиг что делать - оплата почасовая.

Сами контейнеры будут обслуживать. И создавать, удалять. Захотят странного - $$$ и им кто-нибудь сделает. Может быть.

Им бы человека на зарплате, пусть маленькой на 1 день в неделю. А то амбиции есть, деньги есть, а мозгов - нет, любые аргументы в топку. И финансируют такие же. Так как поставить за халявные деньги, а обслуживать - за свои.

Да и контракт заканчивается после подписания акта приёмки-сдачи, дальше они сами по себе. Так что проблемы могут быть только репутационные, вот их бы и хотелось избежать.