Контейнеры и виртуализация: быстрее, эффективнее, надежнее

[xcore78]

Картинка к посту — «Problem of choice».

[Gummio_7]

Да, это факт. Пожалуй уберем. :)

[amarao]

Главная проблема контейнеров как средства multitenant isolation — слишком широкий фронт изоляции. Если на уровне VM точки изоляции можно пересчитать по пальцам, то в ядре — куда не плюнешь — всё shared-ресурс. Иноды, fd, открытые сокеты, энтропия, conntrack, число маршрутов, число виртуальных сетевых интерфейсов, правила iptables, треды, количество нефрагментированных страниц памяти (order>1), пользователи, mountpoint'ы… я всего и не вспомню. На практике контейнеры работают как «полу-изоляция», т.е. от наивного копания в чужом спасают, от ощущения коммуналки shared-хостинга — нет.

Именно потому я смотрю с гигантским скепсисом на попытки принести контейнеры в хостинг как заменую виртуализации. Не получается. Ядро слишком «широкое», чтобы его можно было огородить.

Если для виртуализации (уровня виртуальных машин) уже года два как бегают с NFV, т.е. таким уровнем изоляции, на котором один инстанс никаким образом не может задеть соседний с меньшим QoS, то мечты о гарантированном realtime для контейнера…

Сейчас, закончу oom'ом процессы считать в соседнем namespace, и выдам вашему realtime-приложению положенные ему 200мс… Секунд через 10.

[Gummio_7]

Ну так о том и речь, уважаемый, что каждому свое. Контейнеры не идеальны с точки зрения изоляции, но становятся лучше… ВМ не идеальны с точки зрения плотности размещения и эффективности утилизации ресурсов, но они тоже становятся лучше. О том и пост. :)

[foxmuldercp]

Именно потому я смотрю с гигантским скепсисом на попытки принести контейнеры в хостинг как заменую виртуализации. Не получается. Ядро слишком «широкое», чтобы его можно было огородить.

Я смотрю на это с другой точки зрения:
У меня на каждом сервере хостинга от нескольких сотен до нескольких тысяч сайтов, если брать классический плеск, или те бесплатные панельки типа весты общая идеология — один апач и один нгинкс на все, и ими предоставляется только php и perl.
Плеск научился докеру только в Ониксе, который вышел с месяц назад.

Я общался с некоторыми старыми хостерами, у большинства из которых очень старые очень давно самонаписанные панели управления на перле, или старом питоне или старом же пхп.

В общем, моя идея о докере в шаред хостинге, когда каждый сайт имеет свой отдельный апач, версию php, а так же, что не маловажно, свой отдельный фаервол как на вход, так и на выход, при этом инстансы сайта расположены на нескольких независимых аппаратных серверах и контент клиентских вордпрессиков синхронизируется через ceph, получила одобрение, включая идею сделать свой маленький Хероку, когда клиент загружает свой докерфайл и делает себе все сам.

Так что я сейчас улыбаюсь и фигачу код — как минимум 4 хостинга в моем этом проекте заинтересованы не праздно

[amarao]

Для shared hosting коммуналки контейнеры это благо, да. Хотя это не отменяет того, что это коммуналка, только чуть менее коммунальная коммуналка. Без чужих велосипедов в корридоре.

[foxmuldercp]

Ну вот когда овер 90% сайтов это вордпрессики которые даже гугль ботами забыты — я думаю что самое оно, проломали и фиг с ним, почта с них через свой релей с лимитами — превысил, админу алерт, клиенту алерт, ssh/telnel/ntp/dns порты прикрыты с контейнеров, тоесть, я таким образом прикрываю wild internet от всякого хлама, которое там на этих старых жумлах заводится с регулярностью несколько проломов в день на аппаратный сервер.

Ну а тем, кто знает что такое докер не понаслышке — можно и руби, и питон, и скалу, и гоу с нодами, и жаву с томкатами, за более другой ценник

[Gummio_7]

Кстати, мы в Virtuozzo как раз о том речь и ведем — удобно, когда можно выбрать нужную технологию для нужных задач. Что-то доступнее и проще, что-то дороже и value-added. В любом случае хорошо, когда можно использовать стандартные ВМ, легкие ВМ, контейнеры Docker или еще что-нибудь на выбор — в зависимости от задач.