qsoft Jul 3 2019 at 12:12

Переход с виртуальных машин на контейнеры LXC: причины, преимущества и готовая инструкция к применению

4 min

23K

Virtualization*Server Administration*1С-Bitrix*

+10

Comments 29

denaspireone Jul 3 2019 at 12:28

proxmox/opennebula — из коробки lxc

пост имхо ну такое… бенчмарков для сравнения под нагрузкой lxc vs kvm нет

PS: битрикс и в docker разворачивается, и еще тоньше в управлении и конфигурации

qsoft Jul 3 2019 at 15:35

proxmox/opennebula — работают через виртуальные диски, что создает неудобства при планировании ресурсов.
Про docker — да, мы знаем, делали, но кейс состоял в предоставлении разработчикам более привычного окружения командной строки

denaspireone Jul 3 2019 at 15:42

Опишите тогда вашу архитектуру с дисками, т.к. кроме как вынести файлы и сам сервер баз даных в контейнер, я не вижу разницы с docker. То-есть, разработчику нужен bash/php cli? но это ведь делается и запуском комманды из контейнера… Чет я кейса не пойму вашего.

Firecracker пробовали?

qsoft Jul 3 2019 at 16:02

Один из кейсов, почему мы перешли на LXC\LXD, это уменьшение комплексной сложности. Поэтому выбиралось самое доступное из применимых решений

onegreyonewhite Jul 4 2019 at 00:58

А в чём выражается это неудобство при планировании ресурсов? Не могли бы вы уточнить?
К контейнерам в docker'е ведь тоже можно подключаться по cli, а если ещё и кластер k8s, то, например, тот же Gitlab со своими Environment'ами мог совсем красоту навести (там можно к окружению подключиться прямо из интерфейса).

qsoft Jul 5 2019 at 17:01

Неудобство при планировании ресурсов — оверхед на виртуализацию, необходимость иметь выделенное хранилище под образы ВМ, отсутствие гибкости в использовании дискового пространства. С контейнерами всё сильно упрощается, до уровня «скопировал-вставил».

Это всё тоже есть, используем k3s в тех же lxc контейнерах или в KVM виртуалке, но не всегда удобно и нужно. Докер используется для портативных сред разработки. Многие проекты приходят с классическим деплоем, или заказчик не хочет docker+k8s, таких кейсов, к сожалению, пока подавляющее большинство. К тому же, по нашему опыту, для многих специалистов контейнеры до сих пор выглядят как магия, или что то сильно оторванное от реальности. В общем случае, мы предпочитаем работать тем инструментом, который подходит к реализации конкретной задачи

onegreyonewhite Jul 6 2019 at 13:31

Но ведь в Proxmox хранилищем может быть и обычная директория? Никто не заставляет иметь отдельное хранилище. Зато GUI и API, а значит и возможности гибкого управления. А оверхед lxc вы итак имеете, а проксмокс просто набор скриптов над ним.

amarao Jul 3 2019 at 12:33

В своём опыте применения LXC, главная боль — переименование параметров в файлах конфигурации. Очень, очень плохо сделанный transition, из-за чего вся автоматизация пошла плохим путём.

qsoft Jul 3 2019 at 15:39

Мы используем гипервизор для контейнеров lxd, проблем с автоматизацией развертывания не испытывали

amarao Jul 3 2019 at 15:41

С какой версии дистрибутива вы начали и на какой вы сейчас?

qsoft Jul 3 2019 at 15:53

Начали с ubuntu 16.04, перешли на 18.04

azmar Jul 3 2019 at 13:12

rsync -alvz

буква l лишняя, z скорее всего тоже, какой смысл сжимать передаваемые данные.

php7.1{fpm,bcmath,bz2,cli,common,curl,dev,enchant,fpm,gd,gmp,imap,intl,json,ldap,mbstring,mcrypt,m

тут явно недописана строка, притом что развернется она в названия вида php7.1common, а в репозитории php7.1-common

qsoft Jul 3 2019 at 13:27

При форматировании публикации, часть строки оказалась вне поля зрения, благодарим за внимательность, поправили

DaemonGloom Jul 3 2019 at 13:49

Можно не ставить pv, а обойтись параметром «status=progress» в команде dd. Не надо ставить лишний софт на сервера, это плохая привычка.

qsoft Jul 3 2019 at 15:46

А как Вы предлагаете использовать dd в данном случае?

DaemonGloom Jul 4 2019 at 06:04

«pv testDB.sql.gz» меняется на «dd if=testDB.sql.gz status=progress»
Если ключ of для dd не указан, то вывод файла будет осуществлён в stdout — на экран, либо в пайп. Больше ничего менять не нужно при этом.

savostin Jul 3 2019 at 15:16

Вот несколько ключевых преимуществ LXC перед виртуальными машинами

А где же недостатки?

qsoft Jul 3 2019 at 15:38

А недостатки — недостаточная изолированность, используется общее ядро

denaspireone Jul 3 2019 at 15:43

То-есть вы жертвуете безопасностью, ради удобства для программистов? :)

qsoft Jul 3 2019 at 15:47

У нас сервера находятся в закрытом контуре, доступны только внутри сети

heejew Nov 2 2022 at 02:54

Закрытость контура никак не отменяет необходимость работы с безопасностью и изолированностью.

Ловушка как раз именно в том, что люди думают, раз все внутри сети, значит все становится безопаснее. Но это далеко не так и главная ошибка.

Если вдруг злодей получит доступ в один сервис внутреннего контура (напрямую или косвенно через сервис), то он получает по сути полный кардбланш на весь или большую часть контура и уровень урона сильно возрастает.

В то время как работа над изолированностью позволяет сильно уменьшить уровень урона на инфраструктуру, ограничиваясь одной сущностью.

Я просто намекну, что именно получение доступа во внутренний контур является одним из главных таргетов при атаках. А человеческий фактор со стороны внутренних сотрудников никто не отменяет. Сотрудники - самое слабое звено тут, по дефолту нельзя доверять даже им по указанной причине.

maksasila Jul 3 2019 at 21:37

Намучался в ProxMox с этими вашими контейнерами. Ну их подальше. Для тестов хорошо, а так, одно баловство.

onegreyonewhite Jul 4 2019 at 00:49

А с чем конкретно намучились с Proxmox, если не секрет. А то мы недавно на тестовой среде тоже перебрались на него в качестве эксперимента и хотелось бы знать, что нас ждет.

maksasila Jul 4 2019 at 10:24

У нас CEPH, LXC контейнеры не работают с libceph, нужно использовать драйвер ядра специально для контейнеров. Если в контейнере что с большой нагрузкой, контейнер зависал. Нету live migration для них.

onegreyonewhite Jul 6 2019 at 13:35

А чем тогда пользуетесь? Какую версию использовали или используете?

maksasila Jul 6 2019 at 16:36

Контейнеры достались в наследство. Большинство переделали в виртуалки. Остальное, наверное, живёт. ProxMox 4, а потом 5. Контейнеры труднее мониторить, к примеру. Как у них замерить system load? Будет показывать хоста. А на нём куча виртуалок…

onegreyonewhite Jul 7 2019 at 10:11

Мне казалось наоборот проще через центральный узел и дерево процессов. Но руки ещё не дошли и пока просто смотрю в GUI, поэтому надо будет проверить.

arround Jul 4 2019 at 22:23

А с нагрузкой на дисковую систему что делаете? Мы используем lxc-контейнеры, но вот проблемы возникают с дисками

qsoft Jul 5 2019 at 10:22

Мы используем ssd-cache, об этом напишем статью чуть позже

Show the best of all time