Docker and cgroupsv2 and etc

шило на мыло.

лично я считаю, имеет право на жизнь только технология, позволяющая запускать образы систем в формате iso или же сырых raw-образов а-ля блочные устройства /dev/sdX, разумеется изолирующая их друг от друга и от хост системы. потому что я могу настроить систему один раз и запускать её везде. не подстраиваясь под формат и нюансы контейнеризации. KVM и железо остаются внеконкуренции. а докеры, это всё полумеры. оно надёжно и безопасно ровно до тех пор, пока никому не нужно.

Docker

Initial release date: March 20, 2013

ну, 5-7 лет дрочили на Dockerfile, попивая смуззи, нахваливая докер в своих Python-Markdown статик-бложиках на гитхабе, теперь им сказали — всё фигня, давай по-новой, вот вам Podman, расчехляйте...

а что там с k8s? оно тоже Docker использует как плагин для своих инстансов. теперь всем скажут переходите на Podman? нам работать надо, а не технологии тестировать. Podman который проживёт сколько, ещё 7 лет? уж лучше я разверну всё на обычном железе, в крайнем случае виртуалками обойдусь. и мои raw-образы будут запускаться везде.

1. По поводу реализации, почитайте про cgroups и вообще про контейнеры.
2. По поводу докер, он под торговой маркой и в любой момент может свернуть все.
3. Кибернатес наряду с докер контейнерами давно поддерживает oci.
4. Подман полный фрии и самое главное позволяет юзать контейгеры от юзера.

а докеры, это всё полумеры. оно надёжно и безопасно ровно до тех пор, пока никому не нужно

контейнеры нужны не для безопасности, а для экономии ресурсов. Зачем загружать N копий ядра, когда можно обойтись одной? Это в сущности просто чрут со стандартизированной обвязкой.

ну, 5-7 лет дрочили на Dockerfile, попивая смуззи, нахваливая докер в своих Python-Markdown статик-бложиках на гитхабе, теперь им сказали — всё фигня, давай по-новой, вот вам Podman, расчехляйте

в podman используются те же самые dockerfile.

Пытался ставить Podman, не смог в run --link. Разбираться не стал, и откатил cgroups. Докер хорош для python говнокода и либочек специфических версий. Ставишь из requirements.txt – по любому что-то да и отвалиться. Python это такая дрянь. Когда учебный язык продвинули в ынтерпрайз, получаем вот это вот и кучу непонятных Traceback-ов, которые хз как отлаживать. И это юзабилити?! Варианты кроме докера – тяжело себе представить.

контейнеры нужны не для безопасности, а для экономии ресурсов

Взоржал. По десять копий libc в этой помойке - экономия ресурсов?

Докер хорош для python говнокода и либочек специфических версий.

Помойка в контейнере - всё равно помойка.

Ты явно не в курсе того, что из себя представляют контейнеры сейчас.

Docker, Podman и Kubernetes работают по одному стандарту — OCI. Когда ты собираешь OCI-контейнер, ты можешь его использовать на любой OCI-совместимой платформе. А Docker, Podman и Kubernetes — это взаимозаменяемые обвязки для OCI-контейнеров, заточенные под определённую задачу.

Я сомневаюсь, что твой костыль из raw-образов и башелапши решает проблему дедубликации, оркестрации, автоматической настройки сетей, работы с cgroups/SELinux и прочих stateless вещей, зачем вообще используют контейнеризацию. И всё это с возможностью горизонтально расширяться.

Это с какой версии докера он oci понимает ? У докера всегда был свой левый формат контейнеров.

И да, приведи определение для

автоматической настройки сетей

и

stateless

, расскажи как первое оказалось подвидом второго.

что значит oci платформа и что это даёт

https://opencontainers.org/about/overview/

Там ничего не сказано по моему вопросу.

Хорошая статья показывающая что лучше docker не использовать.

Лучше использовать сразу Kubernetes. Если почему-то не подходит, то Docker. Есть ещё какой-то васянский podman, но это несерьёзно.

Ну, насколько я знаю, Docker частично поддерживает спецификацию. Не в этом суть — я просто хотел донести мысль, что идёт процесс унификации.

Формат докера и есть OCI. Ждём, когда RH начнёт просовывать туда левые расширения в своей поделке, как они делают с Openshift.

Ок. И после унификации докер должен подохнуть, я не вижу что то движений чтобы с него сняли тм.

Нет, у докера свой, проперитарный формат.

Что ты курил, хм?

https://opencontainers.org/

Established in June 2015 by Docker and other leaders in the container industry, the OCI currently contains two specifications: the Runtime Specification (runtime-spec) and the Image Specification (image-spec).

Иди в другое место докапываться до чьей-то синтаксической неграмотности. Ты понял, что я хотел сказать.

Как скажешь.

https://fedoramagazine.org/docker-and-fedora-32/

fedora

окай )

Ну да согласен я не совсем правильно писал про OCI, по сути нужно было сравнивать CRI-O(частью которой является podman) и Docker.

Python это такая дрянь.

Конечно нет. В определенных областях он лучший: автоматизация рутины, наука, машоб, прототипизация. Если руки не из жопы, то можно и надежный софт писать.

Когда учебный язык продвинули в ынтерпрайз, получаем вот это вот и кучу непонятных Traceback-ов, которые хз как отлаживать.

У вас так себе скилл в питоне. Попробуйте пройти курс по питону на курсере. Питон отлично дебажится, это вам не js.

И это юзабилити?!

Таки да.

Варианты кроме докера – тяжело себе представить.

Лего представить. Особенно если скрипт использует только стандартную либу, благо она жирная. Например, можно писать код совместимый с python3.3-python3.8 и никаких проблем не будет.

Конечно, если кодер кодит плохо, то юзеру НЕПРИЯТНО. Но хороший кодер на питоне может писать хороший надежный код.

В определенных областях он лучший: автоматизация рутины, наука, машоб, прототипизация.

Хахаха. Не сколько лучший, сколько самый популярный, из-за того что у большинства учёных первый и единственный язык. (Добавлю что для научных задач мог бы быть хорошим выбором OCaml, но IT евангелистам лучше знать, чему обучать новоприбывших)

У вас так себе скилл в питоне. Попробуйте пройти курс по питону на курсере.

Ладно бы мой код был, так это чужой и большого коммерческого проекта.

Особенно если скрипт использует только стандартную либу, благо она жирная.

Я не говорил про стандартные либы.

Но хороший кодер на питоне может писать хороший надежный код.

Может быть и может, но не пишет.

Извините, но ВАШ пост не совсем в тему. Что внутри контейнеров как то пофигу, хоть нода, хоть рельсы.

Смысл темы в том что если докер вскоре не перейдут на использование cgroupsv2 то отомрут как класс. Что касается разрабов то им посути пофигу что docker что podman.

P.S. Хотя контейнеры распустили разрабов дальше некуда :(

Извините, но ВАШ пост не совсем в тему.

Анон начал защищать питон, так что в нашем диалоге как раз в тему.

Что внутри контейнеров как то пофигу, хоть нода, хоть рельсы.

Согласен, я просто добавил область применения контейнеров.

Смысл темы в том что если докер вскоре не перейдут на использование cgroupsv2 то отомрут как класс.

Опять же согласен. Им рано или поздно придётся переписывать на v2.

Что сказать то хотел?

Что сказать то хотел?

:) Да так. Пытался под модератора закосить ;)

Из-за кривой системы распространения софта, ограничений fhs, криворуких программистов появились docker, podman и прочая хрень. Теперь недостатки этого всего пытаются превратить в достоинства.

alpha, тут podman васянским обозвали!!!1

Васяны есть везде, в том числе и в Red Hat. Смотрим историю модулей.

Хорошая статья показывающая что лучше docker не использовать.

Редхат пилит подман. Редхат сломали поддержку докера в федоре.

докер лучше не использовать

Кстати про модуля (хоть тут это тоже офтоповик)

А как к примеру в том же Дебиане ставятся разные версии (к примеру той же ноды) и потом используются ?

Редхат пилит подман. Редхат сломали поддержку докера в федоре.

Хм. Т.е. cgroupsv2 это не из ядра ?

Смотри моё сообщение выше. Про надуманные ограничения существующей fhs, под которые приходится подстраиваться криворуким программистам и так далее.

И код DNF заодно смотрим, но лучше не смотреть. А потом из-за таких шедевров питон называют тормозным.

Смузи прокисло, рекламный бюджет закончился, а редхат как обычно изобрёл nih-велосипед.

Они не так сломали, а гораздо элегантнее. Например, на Centos/RHEL 8 официальный Docker, а точнее containerd актуальной версии не ставится, только довольно старый. CGroups2 это мелочи.

И правильно делают !

А зачем использовать контейнеры от рута ? Чтобы если что …

Докер отлично умеет запускать контейнеры не под рутом, не надо этих надуманных аргументов.

Контейнеры под обычным пользователем в Podman больше похожи на шутку.

Я могу создать контейнер без рута, настроить тот же nginx на использование стандартных портах 80, 443 и запустить от пользователя vasiakaker? Иными словами полностью исключить рута на всех этапах подготовки/создании, настройки и запуске контейнера.

Докер отлично умеет запускать контейнеры не под рутом, не надо этих надуманных аргументов.

Это враньё.

Докер из под пользователя ничего не запускает сам, он обращается к docker-сервису, который управляет запуском контейнеров от рута.

Это враньё.

Почему так сразу жестоко ? Я думаю он не хотел кого-либо обмануть. Просто он не в курсе всей архитектуры и что как работает. Ну это нормально.

При переезде C7->C8 стоит перейти на podman?

С podman - да, можешь и собрать и запустить.

С учетом прав пользователя на привязку к низким портам, конечно.

В RHEL8 хотя и есть экспериментальная поддержка cgroupsv2 но по умолчанию включена старая и новую нужно специально врубать.

Что касается перехода то это нужно было делать уже на 7ке.

это нужно было делать уже на 7ке

Ынтырпрайз спешки не любит. А одновременно они работать не могут, я подозреваю?

Тут я хз, но не совсем понятно слово одновременно. Если толстый энтерпрайз то скорее всего кибернатес а ему … (ведь не докер-сварм же у вас там) А если что дохлое типа докер-компосер или pods тут я х.з.

Есть понимания отличия быстрой, гибкой, масштабируемой дистрибуции ПО от полноценной виртуализации?

Работали с virtuozzo/openvz/lxc?

Т.е. отключение cgroups1 это не решение шапки?

Так ты проецируешь свою неграмотность и истеричность на инструмент, божечки стектрейс питона не распарсил и заистерил, а главное «выводы» сделал и побежал на форум кричать что питон чужой и плохой. Единственный минус питона в том, что он достаточно медленный.

Ну не как обычно, иногда из под них выходят решения которые становятся мейнстримом раньше чем у остальных, но тут они действительно плодят сущности и догоняют со свой альтернативой.