Разработчики из компании SUSE (https://www.suse.com/communities/blog/introducing-kubic-proj.../) и дистрибутива openSUSE (https://news.opensuse.org/2017/05/29/introducing-kubic-proje.../) анонсировали проект Kubic (https://github.com/kubic-project), в рамках которого развивается серия инициатив, нацеленных на создание платформы для развёртывания систем CaaS (Container as a Service), предоставляющих инфраструктуру и API для обеспечения запуска приложений в изолированных контейнерах. Наработки проекта распространяются (https://github.com/kubic-project) под лицензией Apache 2.0.Решение построено на основе дистрибутива openSUSE, инструментария Docker, платформы оркестровки кластера изолированных контейнеров Kubernetes (https://www.opennet.dev/opennews/art.shtml?num=46278) и системы централизованного управления конфигурацией Salt (https://github.com/saltstack/salt). Для управления кластером развивается интерфейс Velum (https://github.com/kubic-project/velum), который позволяет в один клик развернуть кластер на базе Kubernetes и организовать управление им, в том числе добавлять и удалять узлы, осуществлять мониторинг сбоев, определять политики установки обновлений.
Запуск Kubernetes на узлах осуществляется в виртуальных машинах, развёртнутых на базе libvirt или OpenStack. Система поддерживает запуск контейнеров, подготовленных при помощи инструментария Docker, образы контейнеров распространяются в виде RPM-пакетов. Хост-система для запуска контейнеров формируется на основе репозитория openSUSE Tumbleweed (https://en.opensuse.org/Portal:Tumbleweed). Для загрузки уже подготовлен (http://download.opensuse.org/tumbleweed/iso/) тестовый тестовый iso-образ (http://download.opensuse.org/tumbleweed/iso/openSUSE-Kubic-D...) openSUSE Kubic (660Мб), который содержит набор компонентов, формирующих окружение хост-системы для контейнерной изоляции.
URL: https://news.opensuse.org/2017/05/29/introducing-kubic-proje.../
Новость: http://www.opennet.dev/opennews/art.shtml?num=46619
Контейнеры, контейнеры, контейнеры.....Скоро вместо Ит-специалистов будут требоваться только грузчики.
Не мешай им играться в кубики. Это развивающая игра. Полезна для детей от 2 до 4-5 лет.
беда в том, что нам в эту игру придется тоже играть. И скорее от пяти до десяти лет, пока не изобретут какую-нибудь еще более уродливую обертку для какого-нибудь еще более уродливого фетиша.P.S. да, в инбоксе предложение, от которого почти невозможно... :-(
>образы контейнеров распространяются в виде RPM-пакетов.А в чём смысл распространять в таком формате? Контейнер всё равно под свои задачи прописывается, и жизненный цикл у него короткий.
для удобства развёртывания
http://lists.suse.com/pipermail/caasp-beta/2017-April.txt
> А в чём смысл распространять в таком формате?может, они их удалять потом научились? Обычно это - главная беда-беда докеровых поделок.
> жизненный цикл у него короткий.
именно по этой причине, казалось бы, и неплохо бы использовать rpm - тут тебе и автообновление, и автоудаление с подчисткой миллиона хвостов. Но, вангую, хрен там, и от rpm'а там только стандарнтная suse'шная технология репозиториев, чтоб лишний раз не напрягаться.
> может, они их удалять потом научились? Обычно это - главная беда-беда докеровых поделок.Докер, внезапно, тоже умеет удалять образы, в том числе и с учетом зависимостей.
А что, теперь и у контейнеров зависимости есть? Офигеть...
> А что, теперь и у контейнеров зависимости есть?что значит - "теперь"? докер в принципе для них и придуман. lxc у нас без всякого докера работает. Можно даже скопировать этот самодельный контейнер на другую машину. А хочется-то как раз авто-учета зависимостей, управления версиями и фыр-фыр-фыр.
Изолированная программа в контейнере, от того что стала изолированной, не перестала быть связана со всей остальной системой. В принципе-то у докера есть собственные механизмы для всего этого, но, помнитсо, в CE они все старательно либо выпилены, либо помножены на ноль.Вот suse и пытается подсунуть собственную альтернативу EE(+kubernetes). rpm(надо думать - yast)-based, ну так из того что было, какие там нафиг отдельные серьезные разработки полутора инвалидами сузешной команды.
Это кубернетес-то серьёзная разработка?
> Это кубернетес-то серьёзная разработка?других нету. Эта затыкает очевидную дырку в концепции. Делая это так же как и сам докер - то есть плохо.
> Докер, внезапно, тоже умеет удалять образы, в том числе и с учетом
> зависимостей.то-то у них репо бесконечно растет.
Правда, у suse тоже бесконечно, без всякого докера. Но это хоть можно руками исправить.
Как по мне это сделано, чтобы не переизобретать колесо. Докер вынуждено выполняет роль пакетного менеджера для контейнеров, так как может быть запущен на системах, где про пакетные менеджеры не слышали. А эти ребята ограничивают свое решение одним дистром линукса и могут позволить себе использовать полноценный и привычный админу менеджер пакетов вместо его бледной копии от докера.
Ну и не надо путать контейнер и образ, из которого контейнер создается.
>Докер вынуждено выполняет роль пакетного менеджера для контейнеров, так как может быть запущен на системахНет докер никоим образом не выполняет роль пакетного менеджера. В докере как сделано, берется базовый образ и добавляются необходимые пакеты для создания сервиса, sed'ом правятся конфиги, заливается стартовый скрипт и сохраняется новый образ. Достаточно открыть Dockerfile и там будут команды типа apt-get для Debian, dnf для Fedora, rpm для Centos, apk для Alpine. Там используются те же пакетные менеджеры и репы что и в общих дистибутивах.
Обновление контейнера стандартым способом, например apt-get update && apt-get upgrade, там не работает, там фс copy-write, состоит из слоев, большинство из которых, кроме последних read-only, то есть так просто либу не поменяешь, добавить можно, заменить нет, старая не удалиться. Для обновления надо перестроить образ и пересоздать контейнер. В образе все кроме последнего слоя RO.Поэтому возникает противоречие при использовании образа в формате rpm.
Вероятней всего не образы контейнеров в формате rpm, а платформа (salt, terraform, velum) в формате rpm. Тогда все встает на свои места.
PSТам запуск в т.ч. на базе libvirt. A RedHat (основной разработчик) libvirt объявил устаревшим, от него начали отказываться.
Dockerfile это аналог спеков в srpm. После docker build получаем образ(а точнее набор вложенных образов), аналог rpm. При этом абсолютно ничего не мешает вместо билда через Dockerfile сделать архив с деревом файлов, полученным любым другим способом. Точно также как можно сделать rpm без всякой сборки из srpm.
И роль менеджера пакетов(в данном случае пакетами являются это образы) docker исполняет, позволяя устанавливать образы, учитывая зависимости, собирать, просматривать список установленных и удалять их.
> Как по мне это сделано, чтобы не переизобретать колесо.по-моему именно чтоб переизобрести, но целились в энтерпрайсную версию докера, а не халявную.
> свое решение одним дистром линукса и могут позволить себе использовать полноценный
> и привычный админу менеджер пакетов вместо его бледной копии от докера.соответственно, паблик репо идут лесом или ломают к хренам всю стройную концепцию, при первой же попытке их использовать - rpm/yast ничего не знают про поставленное оттуда и продолжают тащить древние ненужноверсии.
А что есть какие-то чудо-админы, "привычные" к самодельному конструированию suse-совместимых репо внутри лавки - верится с трудом. (что есть могущие такое сконструировать - в вере не нуждается, но те и докеровый репозиторий с матом-перематом взгромождают)
я явно из них) уже ничего в сусях лет 10 у меня не ломается)
Так вот что это за фигня. А я всё думал, что это за кубик среди 10-ти формируемых образов из Factory, но как и подозревал - фигня.А тем временем openSUSE Factory вполне успешно на GCC7 уже почти перешла (тесты удовлетворительны, осталось последнее слово за Домиником (меинтайнером Factory), а следующим шагом будет переход на openSSL 1.1.0f (уже в Staging).
Кстати, openSSL за долгое время обновился БЕЗ традиционных критических уязвимостей, а с весьма скудным ChangeLog-ом.
*) Have 'config' recognise 64-bit mingw and choose 'mingw64' as the target
platform rather than 'mingw'.
[Richard Levitte]*) Remove the VMS-specific reimplementation of gmtime from crypto/o_times.c.
VMS C's RTL has a fully up to date gmtime() and gmtime_r() since V7.1,
which is the minimum version we support.
[Richard Levitte]Это очень обнадёживает, не ужели все опасные дыры по закрывали?
> А тем временем openSUSE Factory вполне успешно на GCC7 уже почти перешлаа вот скажи мне, о нейуный уже пыонер - а что лично тебе вот нужно такого, что есть в gcc7, а в 4.9какойтамнынче нету?
Или даже более того - а чем вообще отличается 4.9 от 4.5? (народ, чур ему не подсказывать по этому пункту - по предыдущему велкам, я поржу)> а следующим шагом будет переход на openSSL 1.1.0f (уже в Staging).
чем бы дитя не тешилось...
> Это очень обнадёживает, не ужели все опасные дыры по закрывали?
просто у хакеров сессия. (у тех, которые ее принимают - тоже)
А те, которым сессии давно по барабану, свежаком не делятся, их и так неплохо кормят.
>> А тем временем openSUSE Factory вполне успешно на GCC7 уже почти перешла
> ... а что лично Вам вот нужно такого, что есть в gcc7, а в 4.9 ... нету?1 Исправления косяков, связанных с некоторыми ключами оптимизации.
2 Поддержка более свежих стандартов плюсов.
3 Поддержка архитектуры AArch64
4 Ещё поддержка и выкидывание ненужных мне архитектур и языков.
5 Ускорение работы конечных бинарников за счёт более гибких оптимизаций.
Это краткий ChangeLog от 4.9 до 7.1 (Кстати, GCC 4.9.0 поломан)>> а следующим шагом будет переход на openSSL 1.1.0f (уже в Staging).
> просто у хакеров сессия. (у тех, которые ее принимают - тоже)Поздравляю, Вас с сессией, только школьники и хакеры, уже молчу про исследователей безопасности, это совершенно разные слова с разными значениями.
> А те, которым сессии давно по барабану, свежаком не делятся, их и
> так неплохо кормят.Это, к Вашему сведению, и есть хакеры.
Так что экзамен по русскому языку Вы не сдали, приходите через неделю.
я спрашивал - что лично вам.
Ченджлог с пятого на десятое прочитан, поздравляю.Сколько лично в вашем ведении сегодня систем на AArch64? (и зачем тут, кстати, 7, который ломает совместимость)
> и выкидывание ненужных мне архитектур и языков.
о, да, это очень важно.
> Ускорение работы конечных бинарников за счёт более гибких оптимизаций.
кто мерял? Я вот когда-то давно - пытался. Сильно сомневаюсь что с тех пор что-то всерьез улучшилось - слишком много усилий авторы gcc тратят на то, чтобы помешать другим "справиться с их делом".
> Поздравляю, Вас с сессией, только школьники и хакеры, уже молчу про исследователей
> безопасности, это совершенно разные слова с разными значениями.наиболее серьезная дыра в openssl (конечно, о которых мы знаем) - была достоянием именно "школьников", "сирьезные исследователи безопасносте" опоздали на пол-годика по оптимистичным данным. (ну то есть может и пользовали, втихомолочку, но заслуживать награду как первые нашедшие и спасшие мир от чего-то уровня heartbleed вовсе не спешили. А nsa так и вовсе отмазывалась, что мы дескать узнали вместе со всеми (за что, спрашивается, им зарплату-то платят?)
> Так что экзамен по русскому языку
меня новорусский язык индиго-детишек мало волнует.
сессия, если что - она у студентов. И если кое-кто до сих пор не вышел из детского возраста, и не улавливает разницу, то это его проблемы. Один вот студент, помнится, в качестве курсовика какой-то там линукс написал. Ну он, конечно, был не хакер, так, мимо пробегал.
Никогда не занимался контейнерами, только полноценная виртуализация на базе XeN или LibVirt. На текущем месте работы docker есть мэйстрим. Наелся я этих контейнеров по полной. Что там быстрее делается чем в виртуалке, чем коньейнер быстрее вирьуалки я так и не понял. Зато понял одно - хочешь поменять конфиг изволь построить новый имидж. Сетевой стек - сказка, сначала был один контйнер, сидел на стандартном порту - все ок, появился второй контейнер, ситуация уже не окей, давай городить на разные порты, сейчас приплели трафеик и получилось у нас double-stack loadbalancer. Без пузыря траблешутить учень сложно, особенно когда используются оба крыла лоадбалансера - внутреннее и внешнее. Я думаю что через еще полгодика дезайнер всей системы не разгребется с тем как траффик бродит. Изоляция приложений - это вообще о чем ?
Не знаю, я всю системы на виртуальных машинах поднял бы за недельку, прикрутил бы ceph/pacemaker/corosync/puppet и спокойно бы попивал пивко поглядывая в один глаз как развертываются виртуалки on-demand.