Docker или podman?

c0dex

web.dev 2002-...
Команда форума
Партнер клуба
В том и дело что - пинать. Потому что помимо обвинений, достаётся и самой технологии. Вот к тебе будут приходить мидлы и рассказывать, что не используют докер, потому что на пхпклабе прочитали что у него есть проблемы с аплинками, а подмэн ещё сырой. И никто ж не будет проверять, что на момент публикации RHEL 9 был ещё в состоянии беты.

Забавно, что сам подман на сайте представляется как алиас на докер. По сути это другой слой абстракции, который изначально не пытается решать какие-то глобальные проблемы докера и обычный разработчик будет работать с ним как с докером.
Открою страшную тайну, из человек, наверное как минимум 20ти, которых мы собеседовали за последнее время - ноль знает о таком болотце как наш клуп)))

В целом твой посыл понятен, у нас хотя что касается докера, мы вообще не просим его хоть как-то знать, если надо - ребята там покажут. Как будет у себя разраб поддерживать свою среду разработки - каждый выбирает сам. Мне хватает двух пулов с fpm, 7.4 и 8.0 стоящие параллельно на моем ноуте.

У всех маководов, коих у нас большинство сейчас, до последнего времени дико тормозили маунты на докере и решения не было как я понял, мыши плакали, кололись, но продолжали жрать технологию.

Так же у нас по-дефолту вставала сеть на gitlab раннере в докере, пока мы там конфиг не подкрутили и не сделали чистку старья. Хотим сделать деплой с контейнерами, ибо это приятно и удобно, но пихать монолит наш туда - такое себе решение.

Вроде как технология то ничего очень даже, но нюансы как бы есть =\
 

AmdY

Пью пиво
Команда форума
Ха-ха-ха. Я полтора месяца назад как раз чуваку рассказывал как плохо с маком живётся в докере. Мол и для волумов надо жёсткий кеш прописывать и обёртку через виртуалку юзать. Меня раскритиковали, мол мои данные устарели и в айосе с докером все отлично.
 

Yoskaldyr

"Спамер"
Партнер клуба
RHEL 9 был ещё в состоянии беты.
Ну я написал RHEL9 только чтобы было понятнее. А так речь о Centos Stream 9, которая внезапно уже не бета. Да можно сказать что Stream это вечная бета, но пока что нормального дериватива с максимально быстрыми фиксами багов еще нет (у всех остальных скорость значительно ниже). Поэтому точно так же внезапно на продакшене в некритичных местах уже есть 9-ка Centos-и (хотя бы в тех местах где нужны последние версии qemu/libvirt-а). Centos stream всетаки значительно постабильнее той же федоры-сервер если нужны свежие версии. И вот опять внезапно для нее все еще нет официальных репов докера.
И чисто так для информации, даже в 8-й линейке не все так просто с докером, да его можно поставить, но только ломаются многие зависимостии может случиться так что перестанут нормально работать другие части системы (редхат уже давно вставляет палки в колеса докеру на своей системе в пользу подмана). Большинство разработчиков врядли столкнется с этими зависимостями, но шанс остается что вместо докера придется использовать что-то другое для запуска контейнеров (контейнеры ведь часто одни и теже и не важно чем их запускают)

обычный разработчик будет работать с ним как с докером.
о чем я и сказал с самого начала.

Вот к тебе будут приходить мидлы и рассказывать, что не используют докер, потому что на пхпклабе прочитали что у него есть проблемы с аплинками, а подмэн ещё сырой
только вот я не писал что проблемы есть, я писал что проблемы были, решили только недавно. Если мидл дибил и не может нормально полностью и без пропусков читать текст - это его проблемы, и проблемы того кто наймет такого мидла. Где в первом посте темы есть наезд хоть на одну из технологий? То что в процессе обсуждения из-за профдеформации многие сагрились - это норма для клуба, только тогда надо удалять вообще все темы с хоть какими-то эмоциями. Или уже и до клуба добралась современная тенденция оберегать снежинок, которые не такие как все?

А Докер уже научился macvlan ? А то я не слежу.
Судя по докам умеет и докер и подман, но хз как оно на практике
 

grigori

( ͡° ͜ʖ ͡°)
Команда форума
В принципе по вопросу должно быть понятно что речь о локальной разработке.
не знаю, я между строк не читаю, а как ты локально без compose-файлов?

Какая нафиг оркестрация при rootless конфигах?
в каком смысле какая оркестрация? в podman буквально везде написано, что они созданы как часть kubernetes
 

WMix

герр M:)ller
Партнер клуба
если в podman можно описать так чтоб одной командой подымится все что нужно разработчику (к примеру 3-5 контейнеров), то для тех кто только аппликацию лепит этот инструмент очень годный.

для полной разработки его конечно не хватит
 

grigori

( ͡° ͜ʖ ͡°)
Команда форума
если в podman можно описать так чтоб одной командой подымится все что нужно разработчику (к примеру 3-5 контейнеров), то для тех кто только аппликацию лепит этот инструмент очень годный.
еще раз: podman - часть проекта kubernetes, для локальной разработки они официально стали частью minikube, я не понимаю фраз вроде "какая оркестрация?" в контексте podman - он вообще создан как часть проекта оркестрации

а без kubernetes нужен или сторонний python-скрипт, или докеровский compose
 

grigori

( ͡° ͜ʖ ͡°)
Команда форума
внезапно на продакшене в некритичных местах уже есть 9-ка Centos-и (хотя бы в тех местах где нужны последние версии qemu/libvirt-а).
тут ответ простой: определи POD-ы для контейнеров и для шареных сервисов в виртуалках,
не надо в одном окружении запускать и виртуалки, и контейнеры - запускай контейнеры внутри виртуалок, для контейнеров бери CENTOS 8, системные либы в контейнерах не нужны, а передеплоить контейнеры на другом сервере когда 8ка устареет будет легко
 

Yoskaldyr

"Спамер"
Партнер клуба
@grigori Часть чего-то целого совсем не одно и тоже что и это целое. подман очень небольшая и независимая часть для запуска и управления контейнерами. Да у него есть поды, аналог докер-компоуза, но это не прозрачная замена компоуза если говорить о разработке (свой формат конфигов), потому я и не упоминал ничего насчет них. Но вот докер-компоуз работает с подманом и это можно брать в расчет при сравнении.

Я просто не могу понять - тебе он не нравится по каким-то религиозным причинам? Потому что еще раз повторюсь - мне абсолютно все равно что использовать, я не агитирую ни за докер, ни за подман. В моих юзкейсах оба прекрасно работают, в зависимости от того где что стоит.

не надо в одном окружении запускать и виртуалки, и контейнеры
Это тоже по религиозным причинам? :)
запускай контейнеры внутри виртуалок,
ну если это только единственно "правильное" решение для физических хостов, то это только для истинных ценителей :)

Если нужна жесткая изоляция - будут ката контейнеры, если нужны обычные контейнеры - будут именно обычные контейнеры. Если где-то на виртуалке надо запустить контейнер, то в зависимости от задач, будет или опять же ката-контейнеры под нестед виртуализацией (если конечно разрешена) или обычные контейнеры. Все зависит от задач, а не существует только одно единственное и правильное решение.

Не стоит забывать что на сервере может запускать не только линукс виртуалки. И вот когда надо чтобы винда работала, то приходится брать что-то с последними версиями qemu. Тут вопрос не в невозможности использовать амазон или что-то подобное, а в том что все должно быть на своем железе (в закрытой сети, как раз из-за чего и есть описанные в самом начале головняки с сетью).
 
Последнее редактирование:

grigori

( ͡° ͜ʖ ͡°)
Команда форума
сначала "я художник - я так вижу", через пол-года "глючит, несовместимая зараза"

конечно, когда нет SLA, можно и виртуалки вместе с контейнерами на одном хосте держать, и можно и без healthcheck жить,
это когда нужен uptime, или когда серверов несколько десятков, такого позволить уже не получится, а ты у себя строй как выгоднее в твоем случае
 

Yoskaldyr

"Спамер"
Партнер клуба
@grigori Я понимаю что у тебя SLA это одна из самых главных отмазок на любое извращение. В данный момент сервисы управления виртуализацией уже дошли до того уровня когда им все равно что запускать контейнер или физическую виртуалку или изолированный контейнер (считай тоже виртуалку) и все это внезапно может работать через одно апи и внезапно на одном железе. Насчет запуска контейнеров в виртуалках, то да это можно делать, когда других альтернатив нет (внезапно самый частый случай это облака типа амазона или азура). Но изначально исходить из того что делать можно и нужно только так - ну это сверхизвращение или сверходаренность. Я то давно знаю что здесь у нас классический BDSM клуб , так что не удивлен. Если бы все было так просто никто бы не придумывал изолированные контейнеры на базе kvm (гипервизоры кстати сейчас разные поддерживаются).
Business, Development, Sales, Marketing
 
Последнее редактирование:

grigori

( ͡° ͜ʖ ͡°)
Команда форума
не так, в AWS специально создано ECS для контейнеров, условно без виртуальных машин
и нет, SLA ничего не прикрывают, это юридически обязательное нефункциональное требование

причин запускать контейнеры в виртуалках две: первая - iso27k, pci dss и прочие стандарты безопасности, а вторая - абстракция, думать не серверами, а POD-ами, так называемый multitenancy

сервисы деплоятся и работают в трех экземплярах, то есть, поднимается три одинаковые виртуалки в разном железе, и когда сломался сервер или роутер - балансеры переключаются на виртуалки в другой стойке, и все живет дальше - так строится high availability

про изолированные контейнеры на базе kvm не знаю, гугл по этой фразе ничего не показал, ткни носом?
 

Yoskaldyr

"Спамер"
Партнер клуба
про изолированные контейнеры на базе kvm не знаю, гугл по этой фразе ничего не показал, ткни носом?
ката контейнеры. Судя по докам умеет работать практически под всеми популярными гипервизорами, даже под такой экзотикой как acrn
 

Yoskaldyr

"Спамер"
Партнер клуба
не так, в AWS специально создано ECS для контейнеров, условно без виртуальных машин
Если честно, я не мониторю весь спектр услуг амазона и других облаков - специфика все-таки что у клиентов все свое.
абстракция, думать не серверами, а POD-ами
так как раз так и думается. физический сервер - это нода, и что на ней запускать - абсолютно все равно, поды, отдельные виртуалки, просто контейнеры. Под это уже и так достаточный слой абстракции. Зачем городить лишний слой абстракции когда не надо? Если вдруг понадобится - то можно сделать, но делать заранее и в любом случае - зачем? Да я в курсе когда нужна более сильная изоляция, то надо или виртуалки юзать или ката рантайм (кстати и подман и докер судя по доке по идее умеют использовать ката контейнеры в качестве рантайма)

И вообще тема ушла от первоначального вопроса. Мне просто было интересно, юзает кто-то подман или нет. И если юзает то какие косяки могут возникнуть, но похоже на форуме таких нет, так что вопрос можно считать закрытым :)
 
Сверху