Fórum Root.cz
Hlavní témata => Server => Téma založeno: kyselinovzdorny_kytovec 10. 01. 2017, 10:10:57
-
Zdravím,
stručně a (snad) srozumitelně:
Myslíte, že je dobrý nápad provozovat glusterfs (démona), což je systém pro distribuuovaný filesystem v docker containeru? Z hlediska stability, bezpečnosti, ...
-
Stabilita:
- je to viacmenej to iste, musis sa jedine starat naviac o Docker layer, pokial neupgradujes Docker/kernel bez testovania, tak je to OK
Bezpečnost:
- pokial budes pouzivat host network (co asi bude pretoze performance) a daemon bude v kontajneri bezat pod rootom, tak docker ti zase neda takmer ziadnu bezpecnost naviac
Kde vsak mozes ziskat je HA (zavisi na pouzitom toole, napr. Kubernetes), jednoduchy update/rollback (jednoducho nastartujes novy/povodny image), ...
-
No nevim. Ja glusterfs provozuju. cca 16 nodu. A do dockeru nebo virtualizace bych to vubec necpal. Kazdy overhead je ve vysledku velmi znat na latencich. Nicmene neco je podporovane..
tady pro predstavu doporucovane konfigurace hw:
https://access.redhat.com/articles/66206
-
Kazdy overhead je ve vysledku velmi znat na latencich.
Docker container v spravnej konfiguracii nie je ziaden overhead pre proces. Predpokladam, ze Gluster demon mozes pustit ako systemd service na RHEL7/CentOS 7. Cize bude to cgroupovany proces ~ container. Takisto Docker spusti gluster ako cgroupovany proces (+poskytne cli/api na jeho spravovanie). Z pohladu vykonnosti je kontajner takmer rovnaky ako ciste zelezo (viac napr. vid http://stackoverflow.com/questions/21889053/what-is-the-runtime-performance-cost-of-a-docker-container).
-
Nevim sice jak je v dockeru vyresena sit, ale nepocitam ze sedi primo na NIC...
-
Defaultne je natovana v user space (network spaces), co je dobre z pohladu bezpecnosti avsak otrasne z pohladu vykonu. Preto mozes pustit kontajner priamo na host sieti (--net=host) a kontajner bude priamo na NIC. Z pohladu bezpecnosti sa tym nic nezlepsi, ale ani nezhorsi.
-
Defaultne je natovana v user space (network spaces),
Uh?