Comments 29
пост имхо ну такое… бенчмарков для сравнения под нагрузкой lxc vs kvm нет
PS: битрикс и в docker разворачивается, и еще тоньше в управлении и конфигурации
Про docker — да, мы знаем, делали, но кейс состоял в предоставлении разработчикам более привычного окружения командной строки
Firecracker пробовали?
А в чём выражается это неудобство при планировании ресурсов? Не могли бы вы уточнить?
К контейнерам в docker'е ведь тоже можно подключаться по cli, а если ещё и кластер k8s, то, например, тот же Gitlab со своими Environment'ами мог совсем красоту навести (там можно к окружению подключиться прямо из интерфейса).
Это всё тоже есть, используем k3s в тех же lxc контейнерах или в KVM виртуалке, но не всегда удобно и нужно. Докер используется для портативных сред разработки. Многие проекты приходят с классическим деплоем, или заказчик не хочет docker+k8s, таких кейсов, к сожалению, пока подавляющее большинство. К тому же, по нашему опыту, для многих специалистов контейнеры до сих пор выглядят как магия, или что то сильно оторванное от реальности. В общем случае, мы предпочитаем работать тем инструментом, который подходит к реализации конкретной задачи
В своём опыте применения LXC, главная боль — переименование параметров в файлах конфигурации. Очень, очень плохо сделанный transition, из-за чего вся автоматизация пошла плохим путём.
rsync -alvzбуква l лишняя, z скорее всего тоже, какой смысл сжимать передаваемые данные.
php7.1{fpm,bcmath,bz2,cli,common,curl,dev,enchant,fpm,gd,gmp,imap,intl,json,ldap,mbstring,mcrypt,mтут явно недописана строка, притом что развернется она в названия вида php7.1common, а в репозитории php7.1-common
Вот несколько ключевых преимуществ LXC перед виртуальными машинами
А где же недостатки?
Закрытость контура никак не отменяет необходимость работы с безопасностью и изолированностью.
Ловушка как раз именно в том, что люди думают, раз все внутри сети, значит все становится безопаснее. Но это далеко не так и главная ошибка.
Если вдруг злодей получит доступ в один сервис внутреннего контура (напрямую или косвенно через сервис), то он получает по сути полный кардбланш на весь или большую часть контура и уровень урона сильно возрастает.
В то время как работа над изолированностью позволяет сильно уменьшить уровень урона на инфраструктуру, ограничиваясь одной сущностью.
Я просто намекну, что именно получение доступа во внутренний контур является одним из главных таргетов при атаках. А человеческий фактор со стороны внутренних сотрудников никто не отменяет. Сотрудники - самое слабое звено тут, по дефолту нельзя доверять даже им по указанной причине.
А с чем конкретно намучились с Proxmox, если не секрет. А то мы недавно на тестовой среде тоже перебрались на него в качестве эксперимента и хотелось бы знать, что нас ждет.
А чем тогда пользуетесь? Какую версию использовали или используете?
А с нагрузкой на дисковую систему что делаете? Мы используем lxc-контейнеры, но вот проблемы возникают с дисками
Переход с виртуальных машин на контейнеры LXC: причины, преимущества и готовая инструкция к применению