Организация Linux Foundation представила (https://www.linuxfoundation.org/press-release/cloud-native-c.../) первый стабильный выпуск инструментария containerd (https://containerd.tools/), в рамках которого развивается универсальный runtime для управления контейнерами, соответствующий требованиям спецификации Open Container Initiative (OCI). Код containerd написан на языке Go и распространяется (https://github.com/containerd/containerd) под лицензией Apache 2.0.
Containerd используется в качестве одного из слоёв в таких проектах как Docker и Garden (Cloud Foundry), а также запланирован для интеграции в rkt (https://coreos.com/rkt/) от CoreOS. Дополнительно развивается проект cri-containerd (http://blog.kubernetes.io/2017/11/containerd-container-runti...), позволяющий использовать containerd в кластерах на базе Kubernetes. Проект развивается при участии компаний Docker, Google, NTT, IBM, Microsoft, AWS, ZTE, Huawei и ZJU.Containerd включает фоновый процесс с поддержкой Linux и Windows, а также клиент командной строки (ctr), использующий runC для запуска образов контейнеров в форматах OCI и Docker. Фоновый процесс может обеспечивать управление всем жизненным циклом работы контейнеров, включая передачу и хранение образов, запуск контейнеров и контроль за ними, привязку хранилищ и организацию сетевого доступа. В процессе развития инструментария дополнительно были добавлены средства для хранения и распространения образов, система обработки событий и модель снапшотов для управления файловых систем контейнеров. Для взаимодействия с фоновым процессом предоставляется API на базе gRPC, доступный через локальный UNIX-сокет.
В Linux предоставляется поддержка seccomp, непривилегированных контейнеров (user namespace), клонирования и live-миграции при помощи системы criu (https://www.opennet.me/opennews/art.shtml?num=44015), снапшотов ФС через средства Btrfs. Сontainerd достаточно плотно переплетён с другими проектами: метрики и статистика предоставляются в формате Prometheus, обеспечена полная поддержка спецификаций Open Container Initiative (OCI) для runtime и формата образов.
URL: https://www.linuxfoundation.org/press-release/cloud-native-c.../
Новость: http://www.opennet.me/opennews/art.shtml?num=47681
Кто знает, в чём рисовали блок-схему (на синем фоне, которая) ?
В чём-то маковом небось.
на синем фоне?!! wat?
Фотошоп. Делов на пару минут, не больше.
> Кто знает, в чём рисовали блок-схему (на синем фоне, которая) ?CreatorTool="Adobe Photoshop CC 2015.5 (Macintosh)"
А как это соотносится с libvirt? Одно - круче другого, или параллельно, перпендикулярно или вообще разные уровни абстракции?
Это о разном.
> Это о разном.Да щяса. А то libvirt не умеет управлять LXC.
libvirt не такой энтерпрайзный.
чего все с этими контейнерами носятся?
Удобно.
законом не запрещено на 95% безопаснее, деплою где хочу..
> деплою где непопадя../fixed
а не все ли равно, имея ввиду качество и назначение большинства этих сервисов
> чего все с этими контейнерами носятся?PR-асты
> чего все с этими контейнерами носятся?Того, что с ними за 5 минут делается то над чем труЪ-юниксоид полдня будет сношаться.
Очень хотелось бы пример такой _ежедневной_ задачи. Вдруг окажется, что это только ты не знаешь, как ее можно просто решить без контейнеров. При всей моей любви к контейнерам ни о каких 5 минут vs полдня речи не идет. Особенно в случае с docker, а не openvz/lxd контейнерами.
Деплой всякого добра со структурой микросервисов и масштабирование таких вещей в промышленных масштабах. Всевозможные эксперименты, так что поднять пару инстансов с тестовой версией чтобы понять пускать это в продакшн или нет - займет пару минут. Да даже программу на посмотреть можно так за пускать, и если не понравился результат - грохнуть контейнер.Конкретно докер не принципиален. Просто у него есть средства чтобы делать все быстро и парой команд и для него много готового барахла. OpenVZ с нестандартными ядрами пролетает, слишком много канители. Не говоря о том что разработчики в гробу такое счастье на своих машинах видали. А уж какой-нибудь ipv6 там поднять - новая серия порнобелоснежки получится. Зачем он такой? Чтобы помучаться? Контейнеры используют чтобы все было быстро и просто.
>>займет пару минут.пару минут на что ? на то чтобы собрать нужный тебе образ с нужным софтом и опциями ?
скорее всего просто скачать )))
> пару минут на что ? на то чтобы собрать нужный тебе образ
> с нужным софтом и опциями ?Это может и побольше быть. Зато разработчики могут сделать это например прямо на своей машине на которой они и програмят. Без миндфака с нестандартными ядрами. Там же и проверят что получилось по минимуму, запустив контейнер. Если вроде как работает - дадут девопсам и тестерам, гонять в тестовой инфраструктуре. А будет нужно отмасштабировать - девопсы нарежут еще, методом копипасты. Быстро, просто и без всяких ритуалов. Не говоря о том что если уж образ контейнера протестили и он работает - он и при влете в продакшн работать скорее всего будет. А чему там ломаться, если все проверено и работает?
> скорее всего просто скачать )))
И скачать тоже.
> макаки могут сделать это например прямо на своей машине на которой они и г-нокодят./fixed
>>Зато разработчики могут сделать это например прямо на своей машине на которой они и програмят.ага вижу как вы, работая в каком нить гугле, прям на своём ноуте (с какойнить убунту) с 4 гб оперативки разворачиваете проект гугля, вы чё серьёзно это? вы думаете реальным программистам больше не чем заняться ?
>>Там же и проверят что получилось по минимуму, запустив контейнер.
как говорил один из анонимах в предыдущих темах о докере, скидываешь образ клиенту и не заботишся какая у него там версия софта и тд. - повторюсь "у меня на локалхосте всё работает", запахло гов*кодером с фриланс.уа
>>Не говоря о том что если уж образ контейнера протестили и он работает
так собственно вопрос, кто же должен протестить (хотя нуно сначало его сформировать) сей образ ?
>>А чему там ломаться, если все проверено и работает?
так кем же проверено ? )))
А с чего Вы решили, что для пробного запуска демона будет мало 4 GB? К тому же засунуть в build-директорию один или несколько изменённых файлов, перестроить верхний слой контейнера и запустить его - это действительно дело пары минут. Ну, и чтоб два раза не вставать - у многих докер-хостеров есть интеграция с гитхабом. Сам вытянет коммит, сам перестроит образ контейнера, сам запустит.
сами с усами ) всё ясно
> ага вижу как вы, работая в каком нить гугле, прям на своём
> ноуте (с какойнить убунту) с 4 гб оперативки разворачиваете проект гугля,
> вы чё серьёзно это? вы думаете реальным программистам больше не чем заняться ?Я думаю что по озвученой технологии в первом приближении работает добрая половина стартапов подобного плана. А гугл - он такой один и ты с него вообще можешь даже не пытаться обезьянить. У тебя все-равно ресурсов и разработчиков не хватит делать как они.
> как говорил один из анонимах в предыдущих темах о докере, скидываешь образ
> клиенту и не заботишся какая у него там версия софта и
> тд. - повторюсь "у меня на локалхосте всё работает", запахло гов*кодером с фриланс.уаЕсли до фриланса.уа дошло, поздравляю их: они более-менее вышли на мировой уровень. И теперь это будет так.
> так собственно вопрос, кто же должен протестить (хотя нуно сначало его сформировать) сей образ ?
Минимально - сам разработчик. Что его код вообще собирается, запускается и хотя-бы пытается работать. Потом это можно вкатить в тестовую инфраструктуру и этим займутся тестировщики и девопсы. Изучив как это работает, ничего не отвалилось ли, как оно взаимодействует с остальными частями системы, не надо ли чего-то поменять в коде или инфраструктуре, все дела. А когда стало понятно что все заверте... - такие же, заведомо работающие контейнеры и отпрааятся в продакшн. И это с одной стороны быстро раскатывается, с другой риски отвала чего либо минимальные.
>>>А чему там ломаться, если все проверено и работает?
> так кем же проверено ? )))А всеми кому не лень, начиная от разработчика и заканчивая тестировщиками и девопсами. А потом и юзерями, эти гады все-равно что-нибудь новое придумают.
>>Минимально - сам разработчик.всё понятно, разработчик - "мастер на все крюки".
> всё понятно, разработчик - "мастер на все крюки".Нет, блин, поднимем сейчас половину мегакорпорации на уши, деплоить неведому фигню, только для того чтобы узнать что она вообще не собирается или не запускается. Большинство компаний достаточно сообразительны для того чтобы понимать что такая развлекуха очень дорого обходится и замедляет разработку.
> Деплой всякого добра со структурой микросервисов и масштабирование таких вещей в промышленных масштабах.Баззворды на баззвордах едут и баззвордами погоняют. А понять отличие собственно технологии контейнеров от решений по развертке, которые используют контейнеры, ума не хватает.
> Всевозможные эксперименты, так что поднять пару инстансов с тестовой версией
> чтобы понять пускать это в продакшн или нет - займет пару
> минут. Да даже программу на посмотреть можно так за пускать, и
> если не понравился результат - грохнуть контейнер.Чем отличается от обычного чрута? Тем, что ты его не умеешь?
> OpenVZ с нестандартными ядрами пролетает, слишком много канители.
Это вообще-то ядра RHEL 6. Слышал о таком? Или твой "продакшен" это локалхост на арчике?
> Не говоря о том что разработчики в гробу такое счастье на своих машинах видали.
Я тебе сейчас страшную вещь скажу. Ничто не мешает использовать с небольшими модификациями один и тот же образ для docker, openvz, lxd. Это всё варианты чрута. Основная проблема только одна и имя ее - systemd.
> А уж какой-нибудь ipv6 там поднять - новая серия порнобелоснежки получится.
А ребята из красной шапки и не догадываются.
> Баззворды на баззвордах едут и баззвордами погоняют. А понять отличие собственно технологии
> контейнеров от решений по развертке, которые используют контейнеры, ума не хватает.Большинство людей хочет готовую булку. Фирмочка делавшая докер просекла и открыла булочную. А ты приперся ко входу и вопишь что у тебя рецепт лучше. Но заниматься выпечкой вместо кондитеров готовы не все. Многие даже денег готовы дать за готовую булку. Элементарное разделение труда.
> Чем отличается от обычного чрута? Тем, что ты его не умеешь?
Это ты своим маленьким мозгом не можешь осознать что тут тебе не BSD386 и линух умеет сильно поболее. Админить в стиле BSD386 - выбор труЪ-юниксоидов. Но на их горе появились те кто умеет и быстрее и лучше. Волшебный пинок рынка.
> Это вообще-то ядра RHEL 6. Слышал о таком? Или твой "продакшен" это
> локалхост на арчике?Это ядра от левой конторки, которая не в состоянии поддерживать ядро целиком и даже не успевает патчить свои патчи. Редхат такие ядра поддерживать не собирается, толку от "родства" с RHEL ноль. Разработчики редхата не будут с проблемами ЭТОГО разбираться.
И найти разработчиков которые на рабочей станции станут програмить именно в такой конфигурации - сложно. А если в какой-то другой, потом будет много дурных проблем которые должен был поймать еще сам разработчик у себя на машине, но не поймал, потому что конфигурация другая.
> Это всё варианты чрута.
А костер, микроволновка и индукционная плита - варианты подогрева жратвы. Принципы работы всех трех за пределами понимания папуасов типа тебя, но первое папуас как-то умеет, а остальное для него вообще черная магия.
А когда некто "немного поменяет" - оно потом при деплое в продкшн и завалится, вот прямо из-за этого "немного". Половина больших факапов так и происходит. Гораздо лучше если разработчик будет первой линией обороны и сам попробует скушать что испек с реалистичной ситуации. А то что он может прожевать булку титановыми зубами и переварить, если желудок луженый - не считается!
> Основная проблема только одна и имя ее - systemd.
На самом деле он половину же проблем умеет и решать, без всех остальных. Так что однажды он же и подвинет половину этого сброда с рынка. Но пока на их счастье его средства управления вм и контейнерами немного кривее и несколько недопилены. Это единственное что реально спасает жизню всяких докеров в мире линукса.
>> А уж какой-нибудь ipv6 там поднять - новая серия порнобелоснежки получится.
> А ребята из красной шапки и не догадываются.Странно если бы догадывались - они openvz'шные ядра и не выпускали...
Справедливости ради, IPv6 в Докере находится в зачаточном состоянии и почти неотличим от IPv4 по количеству телодвижений.
> Справедливости ради, IPv6 в Докере находится в зачаточном состоянии и почти неотличим
> от IPv4 по количеству телодвижений.Справедливости ради, в openvz ipv6 находится в состоянии "полный пэ".
> Деплой всякого добра со структурой микросервисов и масштабирование таких вещей в промышленных
> масштабах.Докер -- в продакшн? Нннну-ну.
> Всевозможные эксперименты, так что поднять пару инстансов с тестовой версией
> чтобы понять пускать это в продакшн или нет - займет пару
> минут. Да даже программу на посмотреть можно так за пускать, и
> если не понравился результат - грохнуть контейнер.Вот кто носится! Кому посмотреть.
…а потом забрасывается поддержка. И либа в нашем контейнере остается древней-предревней. И дырявой. Вместе с дырявым контейнером.
> …а потом забрасывается поддержка. И либа в нашем контейнере остается древней-предревней.
> И дырявой. Вместе с дырявым контейнером.Как бы и без контейнеров так было. Только у труЪ-юниксоидов еще после взлома днс уносили еще и почту, не забыв попутно базу форума, тикеты поддержки и список кастомеров, и все сорцы внутренних проектов, раз уж под руку попалось.
А с контейнером - ну ломанули тикеты, обидно, но почту все-таки не сперли и исходники проектов были в другой норке. Разделение корабля на отсеки придумали не вчера.
> …а потом забрасывается поддержка. И либа в нашем контейнере остается древней-предревней.
> И дырявой. Вместе с дырявым контейнером.дык перед тем чтобы забросить нуно ещё и сформировать образ ))) и ктото говорит что он пару командами это делает ))
> дык перед тем чтобы забросить нуно ещё и сформировать образ ))) и
> ктото говорит что он пару командами это делает ))Зато все остальное потом радикально упрощается. И если уж образ работает - он и в продакшне так же заработает. С минимумом причин для развала.
> Зато все остальное потом радикально упрощается.усложняется тока когда очередная порция хертблидов в опенссл появляется.
> усложняется тока когда очередная порция хертблидов в опенссл появляется.Наоборот всё так же упрощается. Заменить либу в контейнере - пересобрать его с патченными пакетами и выкатить - элементарно делается. Вопрос в используемых инструментах.
> Наоборот всё так же упрощается. Заменить либу в контейнере - пересобрать его
> с патченными пакетами и выкатить - элементарно делается. Вопрос в используемых
> инструментах.и сие должен делать кто ? так и не услышал ответа на трижды заданный вопрос.
Что имненно? Поправить образ контейнера в общедоступном репозитории? Тот, кто его туда выложил. При этом любой пользователь может самостоятельно пропатчить взятый из репы образ (накатить исправленную либу поверх уязвимой) и пользоваться им в своё удовольствие. При этом никто не запрещает выложить этот образ от своего имени.
> …а потом забрасывается поддержка. И либа в нашем контейнере остается древней-предревней.
> И дырявой. Вместе с дырявым контейнером.Древняя дырявая либа заменяется одной строкой в докерфайле. Учи матчасть того, что ты пытаешься обосрать.
В самих по себе контейнерах ничего принципиально нового, все это уже было в openvz и даже в BSD jail-ах. А вот единое API и единый формат описания контейнеров - это существенный шаг вперед: позволяет организовать на основе контейнеров системы оркестрации типа Kubernetes, которые существенно упрощают задачу обслуживания кластеров, при этом можно легко, например, комбинировать bare metal (как основной ресурс) и клауды (на случай резкого роста).Если проект помещается на полтора сервера, смысла, конечно, нет никакого :-)
но ведь репликацию БД оно никак не решает, само ПО тоже должно быть спроектировано с учетом масштабируемости..
решается только задача быстрого ввода настроенных нод кластера?
> но ведь репликацию БД оно никак не решает, само ПО тоже должно
> быть спроектировано с учетом масштабируемости..
> решается только задача быстрого ввода настроенных нод кластера?бд в контейнер ? ))) на локалхосте лучше сие делайте
А почему бы и нет? Ну естественно, сами файлы базы лучше положить на физический диск (на самом деле, даже это не всегда), а вот все остальное окружение — в контейнер.
> А почему бы и нет?В отличие от домашнего локалхоста, или даже девелоперской машины - в кровавых Ынтерпрайзах ты редко увидишь на хосте с базой хоть что то ещё :)
Хотя конечно, всё течёт, всё меняется ... и всё равно течёт! (С) ;-)
И кофе не готовит ещё.
> все это уже было в openvzБыло, но он неудобный, за что и пострадал. Ему черти-какие ядра подавай, готовых образов мало, внешние апи, средства быстрого деплоя и проч - где? Ах, в коммерческой версии и только под нужды хостеров? И даже их пофигизм вендора и куча технических проблем задолбали?
> и даже в BSD jail-ах.
Пусть с этим труЪ-юникс фанаты трахаются, они там самые маклауды и отсутствие базовых фич их не смущает. А остальным такое "решение" просто не надо.
> А вот единое API и единый формат описания контейнеров - это существенный шаг вперед: позволяет
> организовать на основе контейнеров системы оркестрации типа Kubernetes, которые существенно
> упрощают задачу обслуживания кластеров, при этом можно легко, например, комбинировать
> bare metal (как основной ресурс) и клауды (на случай резкого роста).Докер просто в целом достаточно безгеморная штука, которая просто работает и все и вся требует пару команд и пару минут. Они просто сделали то что все на самом деле хотели первыми.
> Если проект помещается на полтора сервера, смысла, конечно, нет никакого :-)
Зато если проект выстрелит - в докере то правильно сделанный микросервис просто закинут копипастой на еще кучу машин и горя не будут знать. А труЪ-юникс-админы начнут носиться как вжрпу ужаленные, понимая что дело дрянь.
>> и отсутствие базовых фич их не смущает.каких именно ?
Кстате вот решение ньютаникса для докера мне показалось привлекательнымhttps://www.nutanix.com/go/docker-container-best-practices-g...
https://habrahabr.ru/company/nutanix/blog/306580/
А ещё Kata Containers анонсировали сегодня! Гибрид "Intel Clear Containers" и "Hyper runV" которые являются форками Open Containers Initiative который написан по мотивам докера....
Писать новость я конечно же не буду.
правильно, к чегту зонды от интеля и мс...
А я вот только machinectl освоил и контейнерчик поднял на Убунте. Чем топик круче?
> А я вот только machinectl освоил и контейнерчик поднял на Убунте. Чем топик круче?Да на самом деле ничем особо, вкусовщиной. Так, немного более фичаст и распиарен. А лет через 5 все будут делать как ты и докер ощутит себя вторым xen-ом.