Йордан, ето как използвам контейнерите. Първо, използвам LXD за оркестрация, защото ми дава възаможност, лесно, удобно и сигурно да правя контейнери, които са със собствен root потребител. Така мога да пускам различни дистрибуции, включително и такива, които изискват systemd, вътре в контейнерите. Не използвам remote LXD функционалностите, защото не смятам да правя cluster от containers. Но би било интересно с ManiaX да си направим shared storage и да можем да правим live migration на контейнери от Hawk към Marla и обратното :)
В момента на хост машината има 3 контейнера, като най-вероятно ще станат 7-8. lugbg - този се използва за mailing листата и вчера го update-нах до последната Fedora 29 mirrors - този се използва за mirror-ите, които бяха на linux-bulgaria.org и е с CentOS6 Host операционната система е Slackware64-current. Мрежата си я менажирам сам. Т.е. машината е dual port 10G карта, вързана към два отделни 10G switch-а и двата interface-а са вързани в bonding active-backup. На този bond са ни всичките VLAN-и. На машината е направен sw bridge, който е даден на LXD-то, за да свързва контейнерите. Самите контейнери идват винаги без мрежа. Нарочно направих така template-а, за да няма ситуация в която пусна нещо и то почне да бълва трафик или някой да може да се вързва към него. След първоначалната инсталация им assign-вам вътрешни IPs през LXD и след това им добавям SNAT/DNAT, ако контейнера не е с публичен адрес. Относно storage-а, използвам LVM thinpool, като отново си го направих предварително и просто го дадох на LXD, да го менажира. Ръчната направа на pool-а ми дава възможност да пипна различни настройки на LVM-а преди да го дам на LXD-то. Най-вече настройвам meta-data volume-а, правя го по-голям от колкото смята, че му е нужно. Тъй като в момента мигрирам услугите, setup-а е грозен :) И ще дам само два примера: lugbg контейнера е с private IP, защото 185.117.82.70 ми трябва на host-а за routing :) и съответно има DNAT за mail & web към lugbg. mirrors са в отделен контейнер, но тъй като не са update-нати DNS records, на lugbg има proxy_pass към контейнера с mirrors :) И днес трябва да оправя в mirrors container-а, кой mirror къде трябва да се отваря... Боламачът, който сътворих ще оправя weekend-a, надявам се :) И след това се очаква всеки да си е със собственото IP и да няма такова премятане на трафик. На host-а отново имаме root, аз, Спас и ManiaX. Поздрави, Мариян П.С. Ако на някой му трябва контейнер за нещо. Винаги можем да му пуснем един на тази машина.
signature.asc
Description: OpenPGP digital signature
_______________________________________________ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg