Pull to refresh

Comments 10

Зачем вы продаете перепиленый кубер я могу понять — бабла поднимаете на корпорациях, дело богоугодное, наверное. Но зачем вы из докера сделали podman?

И вопрос по теме: если мы будем делать проект в нормальном кубере и толкнем его большой конторе — оно у них там заработает без возни?
Podman позволяет одну классную вещь, которую докер не может:
Поставка программ вместо привычных нам пакетов сразу в контейнере и со всеми зависимостями и без рутовых прав и с интеграцией с systemd из коробки.
Ну использование подов удобней, чем отдельные композы для разрабов и поды для контуров.
Я перестал пользоваться докером и убрал на своём ноуте дырку до root'а. Осталось только sudo для установки и обновления ПО, которое не может быть в OCI контейнере или flatpak\snap.
А еще подман позволяет без контроллера крутить контейнеры. На самом деле крутая штука, если разобраться. Я был неправ.
И вопрос по теме: если мы будем делать проект в нормальном кубере и толкнем его большой конторе — оно у них там заработает без возни?


нет, нет и ещё раз нет. переход с ванильного k8s на openshift лежит через страдания, как devops, так и разработчиков.

"Нормально делай — нормально будет". API используется тот же самый, так что трудности при переходе делятся в основном на:


  • в 99% случаев контейнер запускается от рута и пытается лезть практически всюду. В "ванильном" куберенетесе это не запрещается, а в Openshift дефолтно стандарты безопасности выше (см. SCC и SELinux)


  • в остальном обычно проблемы с ингрессом, зачастую из-за привязки к аннотациям nginx-ingress


Что-то такое и ожидалось, но не в таких масштабах.

Если бы вы были гонцом, то я отрубил бы вам голову, но мне остается только поставить лайк.
если изначально на это закладываться, то не так страшно.
как минимум, не запускать контейнеры под root, не использовать в контейнерах привилегированные порты, заложиться на разнообразие ingress-контроллеров, не использовать volume с типом emptyDir, корректно работать с limits/requests.
если соблюдать эти базовые вещи, то переточить приложение под ограничения (их может быть много самых извращённых, и опеншифт этому потакает :)) конкретной большой конторы — будет уже сильно проще. ну и это всё больше про крупные приложения, если у вас в чарте десяток файликов и пара-тройка контейнеров, то переход делается за день
да, ещё забыл, если вы в своём приложении имеете разветвлённые зависимости от сторонних чартов или контейнеров с докерхаба — тушите свет :)
перепиливать самостоятельно придётся 90% оных.
так что, если планируется выкат в openshift, будет очень разумно либо разрабатывать сразу под него (на бесплатном okd), либо накрутить все полиси на ванильном k8s максимально близко к опеншифту.
Так уже и в голом кубаре давно по дефолту cri-o идет вместо докера вообще-то (podman это всего лишь тулза для запуска standalone конейнеров, в openshift также cri-o используется для подов). Докер на заходит следовать OCI стандартам, вот от него и начали отказываться, плюс podman не требует запущенного демона, как докер.
Sign up to leave a comment.