Docker à toute les sauces ... ce n'est pas adapté à la quasi majorité des productions IT des entreprises.
Pour la simple et bonne raison c'est qu'on voit des clients utiliser des images docker comme des VM, ils n'intègrent pas le côté éphémère d'une image docker. Il faut en créer une nouvelle, migrer et détruire l'ancienne pour faire les maj et ça leur passe des km au dessus de la tête. En audit sécurité on arrive à des cas d'école croustillants, un gros serveur dédié avec tout en docker dessus, la prod, prep, rec, dev du site de prod, la compta, le crm, le partage de fichier, le mattermost, ... en ayant accès à un docker on a réussit à se connecter à tous les autres, quand on leur a sorti des infos de leur partage de fichier ils étaient choqués. Docker en production c'est fait pour ceux qui font du vrai déploiement continu avec test unitaires obligatoires, où les images sont reconstruites tous les 3 à 5 jours max, mieux c'est quand on maintient ses propres images car l'image d'un dev tout seul qui part en vacances ou se plante en moto et est arrêté 6 mois ou laisse tomber le projet car pas le temps et tout le monde l'utilise en prod en pensant que c'est à jour c'est du déjà vu. Docker les seuls personnes qui font cela sérieusement c'est ceux qui font des clusters par env et par type d'instances. Une DMZ = un cluster de prod pour tel service (DB ou web ou ...). Là oui c'est sérieux et arriver à entrer sur un docker est déjà fortement improbable par la configuration réseau autour. Bref Docker c'est génial sur son poste ou sur une dev / rec collective mais en prod vu le manque de temps / moyens de la quasi globalité des pros, autant mettre une VM ou un dédié géré avec Ansible ou à la main pour les plus artisants, ils ont plus de supervision et de remontée et savent faire un upgrade de l'os de temps en temps. Le 14/12/2018 à 01:56, Florian Blanc a écrit : > https://kubernetes.io/ > > Le mar. 11 déc. 2018 à 22:24, Étienne Mollier > <etienne.moll...@mailoo.org <mailto:etienne.moll...@mailoo.org>> a écrit : > > Bonjour Olivier, > > TL;DR: Si TFTP est un problème parce que le WAN est très morcelé > et cloisonné, alors peut-être que preseed sera plus adapté à > votre environnement. Mais n'ayant pas travaillé avec preseed, > je ne me rend pas compte de la charge de travail qu'il > représente, en terme de déploiement et maintenance. > > Olivier, au 2018-12-11 : > > 1. Je trouve preseed extrêmement difficile à maîtriser. FAI > > simplifie-t-il les choses à cet égard ? > > Étant tombé dans FAI étant petit, je n'ai pas pris le temps de > m'intéresser à preseed et aurai du mal à répondre. N'ayant que > survolé la page de Wiki, je serais à côté de la plaque si je me > risquait à répondre : > > https://wiki.debian.org/DebianInstaller/Preseed > > Le déploiement initial de FAI demande beaucoup de travail avant > d'arriver à la première installation selon le modèle voulu. Une > fois que le système roule, l'ajout de nouvelles configurations > se fait sans trop de difficultés, pour peu que le résultat voulu > soit bien défini par le demandeur, et l'ajout de nouvelles > machines au parc existant est trivial. > > Il est éventuellement possible de maintenir la configuration des > machines avec fai-update, mais ça sous-entend de respecter le > caractère idempotent des scripts (si c'est déjà fait, le > résultat doit être le même), ce qui peut rapidement ne plus être > le cas, au fur et à mesure que le temps passe. Une solution > comme Ansible serait préférable pour maintenir la configuration > après installation. > > > 2. Est-il exact de penser que FAI est adapté une installation > > sur un réseau local, pas sur un WAN, à cause de l'utilisation > > de TFTP ou bien est-ce inexact ? > > S'il n'y a que deux ou trois réseaux à gérer, il y a moyen de se > rattraper avec des relais. Mais si le WAN est très morcelé, > cette configuration devient ingérable. En effet il faudra > prévoir un serveur TFTP local par réseau, pour distribuer les > noyaux, initrd et options de démarrage adéquates. L'export du > NFS root aura peut-être besoin d'être revus, ainsi que les > règles de pare feux. Avoir un réseau dédié à l'administration > peut aider dans ce cas. > > Sinon, il est aussi possible de se rattraper avec fai-cd, pour > produire une ISO à partir de la configuration existante, à > coller sur une clé USB sur laquelle démarrer, et qui va > configurer la machine proprement, sans avoir besoin du moindre > réseau. L'ajout de nouvelles configurations au serveur FAI va > nécessiter de régénérer les clés, ce qui rend la solution moins > souple. Peut-être qu'à ce stade preseed sera plus simple que de > gérer la quasi-totalité du parc avec fai-cd. > > Si à cause de la limitation inhérente à TFTP, vous considéreriez > fai-cd pour l'essentiel de votre parc, alors /peut-être/ que > votre temps serait mieux investit à l'étude de preseed. > > Si toutefois FAI vous intéresse toujours, la liste de diffusion > peut être d'un grand secours, quand vous allez buter sur des > écueils lors du déploiement : > > http://fai-project.org/mailinglist/ > https://lists.uni-koeln.de/pipermail/linux-fai/ > > > > PS: Désolé pour le temps mis pour réagir aux messages mais > > j'ai été happé par d'autres priorités. > > Ce n'est pas bien grave, on a tout notre temps sur la liste des > utilisateurs de Debian. :^) > > Amicalement, > -- > Étienne Mollier <etienne.moll...@mailoo.org > <mailto:etienne.moll...@mailoo.org>> > >
signature.asc
Description: OpenPGP digital signature
