Проект CentOS представил (http://seven.centos.org/2016/02/new-centos-atomic-host-avail.../) выпуск минималистичной операционной системы CentOS Atomic Host 7.20160203, предназначенной для запуска изолированных контейнеров, подготовленных и управляемых при помощи инструментария Docker, и поставляемой в форме монолитного целиком обновляемого образа. CentOS Atomic Host является пересборкой продукта Red Hat Enterprise Linux Atomic Host 7.2, в свою очередь базирующегося на наработках свободного проекта Atomic (http://www.projectatomic.io/).
Сборки CentOS Atomic Host доступны (https://wiki.centos.org/SpecialInterestGroup/Atomic/Download) в форме установочного ISO, образов виртуальных машин Vagrant (Libvirt, VirtualBox), qcow2 (OpenStack, AWS, Libvirt) и AMI (Amazon Machine Image). Основными компонентами CentOS Atomic Host являются пакеты с ядром Linux 3.10.0-327, docker-1.8.2-10, cloud-init-0.7.5-10,
atomic-1.6-6.gitca1e384, kubernetes-1.0.3-0.2, etcd-2.1.1-2,
ostree-2015.9-2 и flannel-0.5.3-8.Atomic Host предоставляет базовое окружение, которое содержит только минимальный набор компонентов (systemd, journald, docker, rpm-OSTree, geard и т.п.), необходимых для запуска и управления изолированными контейнерами. Все пакеты, обеспечивающие работу конечных приложений, поставляются непосредственно в составе контейнеров, а хост-система не содержит ничего лишнего. Состав хост-системы неделим и обрабатывается как целостный образ, без разбиения на отдельные пакеты. При этом сам образ формируется на основе штатных RPM-пакетов CentOS 7 при помощи системы rpm-ostree.
Контейнеры не привязаны к базовой системе и могут перемещаться с одного сервера на другой, а также централизованно обновляться и заменяться без перезапуска сервера. Поставка сервисов в форме контейнеров упрощает тестирование продукта, например, новая версия приложения или обновление состава контейнера могут быть предварительно протестированы на машине разработчика, а затем в неизменном виде перенесены на рабочий сервер, заменив прошлый рабочий образ контейнера. В случае сбоя сервера, контейнер с минимальной задержкой может быть поднят на другой машине.Особенности Atomic Host:
- Обновление окружения Atomic Host производится атомарно, через замену образа всей системы, без разбивки на отдельные пакеты, что даёт возможность легко откатиться на прошлое состояние в случае проблем.
- Для управления кластерами контейнеров задействован фреймворк Kubernetes (https://www.opennet.me/opennews/art.shtml?num=40181), открытый компанией Google.
- Помимо cgroups и пространств имён дополнительная изоляция приложений внутри контейнеров обеспечивается системой SELinux, что добавляет дополнительный барьер защиты.
- Окружение Atomic Host может быть развёрнуто не только на физических серверах, но и в виртуальных машинах, приватных и публичных облачных окружениях, включая возможность запуска под управлением Amazon Web Services и Google Compute Engine.
- Выполняемые в окружении Atomic Host образы контейнеров, оформляются в формате Docker;
- Для обновления системного окружения используется технология OSTree (https://www.opennet.me/opennews/art.shtml?num=37750), при которой системный образ атомарно обновляется из Git-подобного хранилища, позволяющего применять методы версионного контроля к компонентам дистрибутива (например, можно быстро откатить систему к прошлому состоянию). RPM-пакеты транслируются в репозиторий OSTree при помощи специальной прослойки rpm-ostree (http://rpm-ostree.cloud.fedoraproject.org/);
- Предоставляются средства для инкрементального применения обновлений, избавляющие от необходимости полной замены образа при каждом обновлении;
- Установка и привязка контейнеров к systemd, а также координация выполнения контейнеров на разных хостах, осуществляется при помощи нового инструмента GearD (http://openshift.github.io/geard/). GearD войдёт в состав будущего выпуска платформы OpenShift и берёт на себя задачи быстрой доставки и развёртывания кода приложений в программных окружениях на базе изолированных контейнеров с использованием методов непрерывной интеграции;
- Поддержка запуска привилегированных контейнеров, позволяющих распространять в форме контейнеров управляющие приложения, которым требуется доступ к содержимому базовой хост-системы или к другим контейнерам.
URL: http://seven.centos.org/2016/02/new-centos-atomic-host-avail.../
Новость: http://www.opennet.me/opennews/art.shtml?num=43868
Новая отрасль индустрии: наворотить кучу товаров не как у всех и зарабатывать на этом. Теперь и линуксовый сервер отправится в аид следом за десктопом.
Линукс сервер уже давно там, со своими пакетами системд селинукс и прочим классическим ненужно
> Линукс сервер уже давно там, со своими пакетами системд селинукс и прочим
> классическим ненужносистемды мог бы не быть таким дерьмом, каким стал, если бы не теперешняя политика редхета, купленного микрософтом, а селинукс и вовсе занятная штука.
что такое классическое ненужно, опеннетовский аноним? мне нужен systemd, он позволяет запустить 20 экземпляров faxgetty (на 20 разных модемах разумеется) с автоматическим перезапуском в случае падения (aka watchdog), потратив при этом 3 минуты на написание 1 unit-файла в 11 строк. в конторах, где RH/Centos - корпоративный стандарт, selinux - единственный способ изоляции сервисов/виртуальных машин друг от друга, за его отключение надо выгонять с работы и дисквалифицировать пожизненно. docker тоже нужен, но, по-моему, он больше для программистов (простое внедрение, мгновенное тестирование) и недоадминов, которые видят в нём аналог msi для linux, с которым не надо вникать, что и как работает, достаточно покликать по ссылкам, и всё готово. в случае проблем - просто скачать новый образ.
> selinux - единственный способ изоляции сервисов/виртуальных машин друг от друга, за его отключение надо выгонять с работы и дисквалифицировать пожизненно.Не единственный, может тебя стоит выгнать за незнание?
> docker тоже нужен, но, по-моему, он больше для программистов (простое внедрение, мгновенное тестирование) и недоадминов, которые видят в нём аналог msi для linux, с которым не надо вникать, что и как работает, достаточно покликать по ссылкам, и всё готово.Вижу в него вы тоже не вникали, супер специалист получился. Особенно в сравнении с msi повеселило, виндо админ )))
просветите меня, невежду, только не вздумайте ляпнуть какую-нибудь чушь про caps (они не предоставляют строгой изоляции) или про apparmor/grsecurity, ими под centos (что было указано выше) пользуется полтора анонима, и оно недостаточно протестировано для серьёзного продакшена. не сможете? - тогда скройтесь в темноте и закосплейте пикабушного геолога себе на лицо.
Слив засчитан
Уточните ещё, что эти "недоадмины" разворачивают в сотни и тысячи раз больше приложений, чем "админы". Когда-то для этого были модными виртуалки, а сейчас пытаются побольше переползать на контейнеры.
Обиделись на "недоадмина"? - Извините, не хотел. Просто я мыслю категориями: "Как много пользователей обслужит одно приложение?", "Насколько качественное сопровождение сервера я обеспечиваю (исправление проблем безопасности например)?". В моей голове это и есть админство. А вот категории "разворачивают в сотни и тысячи раз больше приложений" противоречат моему виденью. Миграцию с железа на виртуалки и с виртуалок на контейнеры я бы не сравнивал. В первом случае здорово увеличивается "плотность" сервисов на железе и обеспечивается лучшая утилизация (здесь калька с английского) ресурсов. Контейнеры, вопреки мнению многих, плотность относительно виртуалок не повышают, ибо накладные расходы в новых гипервизорах стабильно меньше 5%.
> Как много пользователей обслужит одно приложение?А всегда ли одно приложение сможет обслужить аж целого одного пользователя? Вообще-то даже минимальный веб-портал состоит из нескольких приложений.
> Насколько качественное сопровождение сервера я обеспечиваю (исправление проблем безопасности например)?
Сервера(железо) сопровождают обычно укуренные чуваки из Амстердама. Лучших специалистов туда никто не поставит.
Исправление безопасности обычно тестируются на preprod environment, а потом выкатываются в prod, сразу на все сервера определённой группы. Делать всё руками - не справлюсь.> Миграцию с железа на виртуалки и с виртуалок на контейнеры я бы не сравнивал.
В контексте чего?
> накладные расходы в новых гипервизорах стабильно меньше 5%.
Оптимистично, но обычно 15-20%
возможно, в этом и кроется популярность контейнеров, уже не первый раз встречаю тезис "виртуализация тормозит, а контейнеры нет". вот только ваши 15-20% взяты из головы (которая вряд ли вникала в дебри причин оверхеда виртуализации), а мои 5% взяты из тестов. основной тормоз современных систем виртуализации - cpu. это связано с не самой изящной реализацией аппаратной виртуализации в x86_64 и кучей костылей (aka cpu ring -1, которого на самом деле нет).
> Новая отрасль индустрии: наворотить кучу товаров не как у всех и зарабатывать на этом.Новая?? Всё по https://en.wikipedia.org/wiki/Product_differentiation науке.
>Теперь и линуксовый сервер отправится в аид следом за десктопом.
И встретит там вендовые серверы? Ну-да, ну-да.
Docker 1.8 уже староват
Ядро в CentOS7 старовато…
Бэкпорты? Не, не слышал!
Не смотря на номер версии 3.х, туда успешно впиливают нужные редхату фичи их 4.х
kernel 4.5.0 / kernel 4.2.0> Бэкпорты? Не, не слышал!
Установи туда CloudLinux или OpenVZ! давай поспеши!
> kernel 4.5.0 / kernel 4.2.0
>> Бэкпорты? Не, не слышал!
> Установи туда CloudLinux или OpenVZ! давай поспеши!Что куда установить?
Причём тут ядра 4.5 и 4.2? В шапке 3.10
> Docker 1.8 уже староватЗабыли вас спросить, извините.
Ну, если хочешь оставаться без управления троттлингом iops - то это твой выбор, но не наш.
А куда он iops'ы троттлит?
Как бы контейнеру вряд ли особо есть что писать локально, кроме логов. Все равно все потеряется при перезапуске. А персистентные данные обычно с какого-нибудь nfs или iSCSI (не локально же - мало ли, на какой машине контейнер запустят в следующий раз) - до них он сможет троттлить?Фича для галочки, имхо, в реальной жизни не особо востребована.
Не всегда. Эфемерные хранилища никто не отменял. Те же индексы эластика в половине случаев лучше хранить локально, ибо иногда лучше перестроить/перезаполнить кластер, чем реплицировать потерянный контейнер.
мульти хост нетворкинг в 1.9 же