Автор Void бомбанул

если у тебя такой кластер, значит, у тебя достаточно админов, чтобы это настроить. и не надо сюда приплетать «невозможность» настройки. всё настраивается, если руки не из жопы.

не вижу смысла продолжать этот тупой трёп ниочём.

если у тебя такой кластер, значит, у тебя достаточно админов, чтобы это настроить. и не надо сюда приплетать «невозможность» настройки. всё настраивается, если руки не из жопы.

Вот это настраивается этими админами, а они говорят, что докер лучше ручного разруливания.

изоляция бинарей друг от друга осуществляется разделением виртуальной памяти. вы разве не в курсе?

Кроме памяти есть еще как минимум fs, сеть, ресурсы (ядра cpu, лимиты памяти, лимиты io и т.п.)

это сугубо системный вопрос. и в системе есть всё для разделения прав приложений, юзеров и т.д.

Именно, и это «всё» называется контейнерная виртуализация.

и с таким бардаком они позиционируют себя

В чем состоит бардак?

Не разруливается. См. мой комментарий выше.

Ну отровенно говоря сейчас руками настроить cgroups проще, чем докер, потому что cgroupvs2 там вроде до сих пор нет.

Получается, все заслуги Леннарта были чтобы что - чтобы получать зарплату SSD@RH? А мог бы просто на свежем воздухе гулять

И питаться солнцем, я так понимаю. Я скажу поразительную для Вас вещь, но когда кто-то делает инструмент, программу, обычно делают для себя чтобы закрыть свою потребность. Если дальше это кто-то развивает все выигрывают: сообщество получило инструмент еще лучше, а вы имеете все тот же инструмент, но можете вкладывать в это меньше сил или имеете возможность расширять проект. Но у копирастов что слева, что справа гордыня торчит в горле с их «идеи могут украсть». Скоро ведь и правда мысли читать будут, а то вдруг кто-то статью на всем известнм сайте прочитал в обход и знает НЕЧТО.

Свобода «по Столлману» - это набор четырех четких прав

Стоять, это как это «freedom» как «право» перевевелось?!

сразу бы регистрировал трайдмарк и артворк.

Nuff said.

Ну так контейнер это не обязательно докер. В простом случае это конечно же может быть набор скриптов над cgroups :) У нас в конторе, например, используется НЕ докер.

Ну так контейнер это не обязательно докер. В простом случае это конечно же может быть набор скриптов над cgroups :) У нас в конторе, например, используется НЕ докер.

ну понятное дело, их там много всяких, включая разного рода форки lxc.

да, да, да. и всё это - операционная система. она целиком и полностью разруливает все эти вещи, без всяких соплей. вообще, это одна из основных задач ОС - разделение ресурсов.

да, да, да. и всё это - операционная система. она целиком и полностью разруливает все эти вещи, без всяких соплей. вообще, это одна из основных задач ОС - разделение ресурсов.

Кхем… стесняюсь спросить: как ограничить (средствами ОС) потребление CPU у posgresql в районе 35% (в топе)? И чтобы IOPS не превышали 300k. Ну то есть это конечно делается, но вот чтобы удобно потом было этим управлять?

Правильная это какая?

Правильная - это эффективная. Без оверхэда.

Так не бывает, чем-то придется платить. Контейнеры это пакетный менеджер + менеджер конфигурации для клаудов. Если убрать контейнеры из картины мира, оверхед появится у команды деплоя.

Есть, конечно, nixos, но там свои приколы.

Если без оверхэда, то надо от операционной системы отказываться и работать напрямую с железом.

на мейнфреймах тоже много процессов как-то работало и не мешали друг другу )

а почему бы не использовать генту

на каждую версию софта свой уютненький локальный внутриэнтерпрайзный репозиторий, нужно накатить 100500-ю версию, подключаешь нужную репу-v100500 и делаешь apt-get

что не так? :)

Кроме памяти есть еще как минимум fs, сеть, ресурсы

fs - стандартные права доступа,

сеть - файерволл

ресурсы - /etc/security/limits.conf

А также SELinux и Apparmor

fs - стандартные права доступа,

Какие нахрен права доступа? Я хочу чтобы у приложения был полноценный корень с рутовыми правами.

сеть - файерволл

На локалхосте? И этот человек что-то говорит про оверхед.

ресурсы - /etc/security/limits.conf

Набор неработающих костылей

А также SELinux и Apparmor

От этого говна оверхеда больше чем от контейнеров.

Всё перечисленное является признаками гнилой архитектуры. Вместо того чтобы проблему решить фундаметально, подставляем набор слабосвязанных полуработающих костылей с диким оверхедом.

Я хочу чтобы у приложения был полноценный корень с рутовыми правами.

Ты не должен этого хотеть

На локалхосте? И этот человек что-то говорит про оверхед.

1) Файерволл есть из коробки. 2) Зачем тебе сеть на локалхосте

От этого говна оверхеда больше чем от контейнеров.

Давай пруфы

Ты не должен этого хотеть

С чего бы это?

Файерволл есть из коробки.

Нахрена он мне? Он CPU кушает. Его настраивать надо. Я не хочу чтобы другие процессы даже знали, что на машине есть какие-то другие сети.

Пока не получается у тебя архитектуры. Хрень выходит с диким оверхедом :) Контейнеры рулят!

Зачем тебе полноценный корень с рутовыми правами? Прав нужно ровно столько, сколько необходимо для функционирования приложения, не больше

Он CPU кушает. Его настраивать надо.

А контейнеры и не кушают и их настраивать конечно же не надо

А контейнеры и не кушают и их настраивать конечно же не надо

Не кушают. Не надо.

google: docker performance test

На современном железе у контейнеров нулевой оверхед.

а почему бы не использовать генту

Ахахахахахаххахаха. А, ты серьезно.

Ты видимо не представляешь что такое контейнер. Ну то есть придраться-то можно много к чему: нужно таскать за собой куски лялеха в контейнере, нужно там ещё что-то делать, то вот тормоза контейнеров это прямо смех.

Ну вообще достаточно посадить процессы в разные сетевые пейсы. Или в разные роутинговые таблицы.

google: docker performance test

вот я вбил эту фразу в гугл, ничего похожего на пруф не нашёл, везде либо пропаганда контейнеров, либо бенчмарки контейнеров с самими собой, без сравнения с запуском того же приложения без прокладок, либо сравнение с VM

зато наткнулся на такое :)

https://hackernoon.com/another-reason-why-your-docker-containers-may-be-slow-...

https://domino.research.ibm.com/library/cyberdig.nsf/papers/0929052195DD819C85257D2300681E7B/$File/rc25482.pdf

An Updated Performance Comparison of Virtual Machines and Linux Containers

Virtual Machines

я ни разу не сомневаюсь, что в контейнере может быть чуть быстрее, чем в виртуальной машине

где сравнение с запуском без контейнера?

Колонка native во всех таблицах. И не чуть быстрее, а существенно быстрее. Также следует иметь ввиду, что статья 2014 года. Сейчас по факту контейнер == native. Разница будет на уровне погрешности измерений.

хотя не, в статье сравнение с «Native» таки есть, но:

- В первых же графиках, «TCP bulk transfer efficiency (CPU cycles/byte)» и «Network round-trip latency (μs).» контейнеры заметно сливают

- Docker’s NAT also introduces overhead for workloads with high packet rates.

- На графиках, где докер почти не сливает, конфигурация «Docker net=host»

кто там говорил про оверхед файервола на локалхосте :)

Статья 2014 года. Надо поискать более свежие. У меня в конторе специально обученные люди тестировали (и тестируют периодически) все типы нагрузки. Получился нулевой оверхед. К сожалению, результаты показать не могу, по понятным причинам. Массовый переход на контейнеры начался где-то в 2017 году.