[sirmax]

Доброго дня!

 

Кто то использует в продакшене контейнеры?

Как отзывы?

Девайсы внутрь отдаете какие? винты по iSCSI/ATAoE ?

Ну и вообще как оно , если у кого статистика есть.

 

(мое впечатление: хорошо для тестов, но как жестко лимитировать по ресурсам пока не ясно, надо смотреть глубже)

[alex_001]

Смотря для чего. Из минусов - меньшая степень изоляции от host системы (в контейнере видны mounts из host системы , все cpu (даже если ограничивать через cpuset будут видны)). Без снятия cap_sys_admin юзать стремно , если снимать - надо немного допиливать контейнер (зависит от OS гостевого контейнера). Впрочем проблема рута в контейнере должна решаться через USER_NAMESPACE , оно в ядре давно , но до сих пор не совместимо с некоторыми вещами (например XFS, поэтому не пробовал).

Лимиты по ресурсам - особых проблем не встречал , cgroup хватает пока.. Лимитировать дисковое пространство можно через LVM+FS на контейнер (и еще в этом случае bandwidth для disk io) , можно (как в моем случае) через project quota на xfs (такая штука есть вроде еще на btrfs).

 

Удобная штука для массового хостинга - http://www.docker.io .

 

Если нужна связность по IP между виртуалками - не юзать напрямую macvlan на eth , а поднимаем бридж (обычный или openvswitch) , и уже его юзаем как внешн. интерфейс для контейнеров.

[bos9]

а для аналога vrf это нельзя результативно использовать?

[vitalyb]

bos9

есть способ проще - ip netns, в ряде случаев на-амного удобней, чем городить на одном хосте pbr и прочие костыли.

[bos9]

есть способ проще - ip netns, в ряде случаев на-амного удобней, чем городить на одном хосте pbr и прочие костыли.

 

спасибо, не знал о таком, а несколько копий квагги в разных неймспейсах запустить позволяет?

[vitalyb]

а несколько копий квагги в разных неймспейсах запустить позволяет?

не пробовал, если сделаете так, что файлы у квагги будут разные использоваться - или чрутом или другими путями, должно работать. С bird'ом должно быть проще, там путей меньше и они явно указываются.

 

У меня на хосте запускается openvpn и его tap перекидывается в отдельный неймспейс, там свои виланы, свой фаервол, свой роутинг. Если надо сделать p2p линк между неймспейсами или хостом, есть veth.

[sirmax]

есть способ проще - ip netns, в ряде случаев на-амного удобней, чем городить на одном хосте pbr и прочие костыли.

 

спасибо, не знал о таком, а несколько копий квагги в разных неймспейсах запустить позволяет?

 

Я делал в виде презентации

http://wiki.sirmax.noname.com.ua/index.php/NetworkNamespaces

[sirmax]

собственно вопрос - а как заставить контейнер подключать внешний диск по iscsi ? Что то не выходит каменный цветок =)

 

 

PS

пример лимитирования ресурсов тоже не помешал бы

 

PPS

Да, я хочу запустить опенстек внутри контейнеров =) Потому что нужно много копий для тестов и быстро разворачивать полноценную лабу на одной физической ноде

[^rage^]

есть способ проще - ip netns, в ряде случаев на-амного удобней, чем городить на одном хосте pbr и прочие костыли.

 

спасибо, не знал о таком, а несколько копий квагги в разных неймспейсах запустить позволяет?

позволяет. считайте, что вы можете распилить роутер на много мелких кусочков со своей таблицой роутинга, интерфейсами, arp и conntrack.

[alex_001]

Кстати , возможно ли засунуть несколько контейнеров в 1 network namespace (не совпадающий с хост системой , тут то просто)...

[Ilya Evseev]

Я использую как замену для OpenVZ там, где не (хочется) поставить OpenVZ.

 

Без особых изысков (прокидывание железок, лимитирование всего и вся, ...).

 

С костылем собственного авторства: https://code.google.com/p/lxc-loader/wiki/QuickStart