Hackorn is a user on hostux.social. You can follow them or interact with them if you have an account anywhere in the fediverse. If you don't, you can sign up here.

@Hackorn C'est en réalité l'alliance technologique de seccomp, cgroup et les namespaces qui assemblés produisent un semblant de conteneur.

@Hackorn

Je vois que tu es une femme de parole.
Merci pour le ptit tuto.

@Hackorn lxc-ls --fancy est juste magique par rapport à lxc-ls sans argument :))

@myckeul j'avoue oui, mais c'est un tuto vraiment pour commencer :p (j'ai fait ça vite fait aujourd'hui, je complèterai au fur et à mesure de l'utilisation je pense, mais pour commencer pour une personne qui ne connaît pas je pense que c'est un bon début :p)

@Hackorn ouais ... Faudra faire un tuto sur la gestion du réseau aussi, avec le bridge, etc c'est pas forcément simple à appréhender cette partie ;)

@myckeul bah j'ai fait un lan à part en fait : j'ai une failover qui renvoie sur les conteneurs qui se voient attribuer une ip locale. si je boude le conteneur comme ça ça peut passer sans trop de mal. Après les bridges et le réseau en général c'pas trop mon truc, va falloir que je m'y mette sévère xD

@Hackorn ouais moi c'est sur des serveurs chez online, obligé de faire un bridge sur l'hôte puis ajouter la bonne mac qui va bien dans la config du conteneur + un post-up dans la config réseau du conteneur pour lui dire par où router les paquets ;)

@Hackorn si besoin de modèle de config "qui marche" n'hesites pas ;)

@myckeul Bah mon dédié est chez online aussi... mais j'ai mon IP pour l'host et ensuite tout est géré en IP locale avec une failover. J'ai foutu un RP aussi pour qu'il sache où renvoyer à chaque fois (mais je pense que ça marche même sans le RP, je l'ai surtout fait pour avoir un NGINX devant parce qu'il gère pas mal la conf SSL sans trop se faire chier xD)

@Hackorn ouais si tu fais du nat t'es pas embêtée avec le filtrage mac chez online, par contre ça t'oblige si je ne dis pas de bêtises à faire ton filtrage iptables sur l'hôte au lieu de le faire dans le conteneur ... Et en terme de perf je pense que le nat est moins bon que le bridge (mais je dis peut être une grosse connerie, je suis pas du tout expert en réseau non plus) :)

@myckeul J'ai pas l'impression que les perfs soit plus merdiques maintenant qu'avant, mais j'ai pas calculé les temps de réponse... pour un petit truc comme j'ai ça suffit largement.
Et oui j'ai fait un iptable sur l'host mais je trouve pas ça gênant :x

@Hackorn je parle de perf en cas de trafic assez important surtout ... Pour iptables, sur l'hôte c'est pas forcément chiant mais ça peut vite être relou si t'as des trucs un peu tordus ou si tu veux filer un lxc en root à quelqu'un qui ne pourra pas gérer ses règles lui même donc ...

@myckeul ahahahah moi ? filer un root à quelqu'un ? ahahahahaah :D

@Hackorn *dans* un conteneur ... Tout va bien si ton kernel reste à jour :)

@myckeul Non mais même... je gère mes conteneurs et mon dédié. SI quelqu'un a le root c'est que je veux lui montrer mon amour (et faut vraiment être amoureuse hein). Dans ce cas il a le root sur la machine entière :p

@Hackorn owiii montre moi ton amour ! Donne-moi ton pass root !! :))))

@myckeul AHAHAHAHAHAHAH. Tu sais bien qu'en dessous de 3cm tu peux pas avoir mon amour 😋

(je t'entends crier "connasse !" d'ici xD)

@Hackorn je te hais ... Tu me connais tellement bien ... :)

@myckeul @Hackorn Plus ou moins vrai car docker et LXC utilisent seccomp pour faire une white list des syscalls. Sur docker, il n'y a que 10 syscalls possibles.

@flynn
Tu sais que parler Docker ça mérite un ban direct ? :p
@myckeul

@Hackorn @flynn Doquoi !? Ha le truc où ils ont lâchement pompé le boulot des mecs qui ont bossé sur lxc et ont dit qu'ils avaient inventé un truc de dingue !? #trollinside

@myckeul @Hackorn LXC Quoi !? Ha le truc où ils ont lâchement pompé le boulot des mecs qui ont bossé sur OpenVZ et ont dit qu'ils avaient inventé un truc de dingue !? #trollinside

@flynn @Hackorn quoi ? OpenVZ ? Le truc où ils ont lâchement pompé les trucs de linux-vserver ... Blablabla ? :)))

@myckeul @Hackorn Linux-VServer Quoi !? Ha le truc où ils ont lâchement pompé le boulot des mecs qui ont bossé sur BSDJails et ont dit qu'ils avaient inventé un truc de dingue !? #trollinside

On peut continuer toute la nuit.

@Hackorn @myckeul C'est vrai, j'ai envie de dormir et je vais bientôt faire dodo mais je reviens demain pour troller !

@flynn @Hackorn ha ouais si tu parles de BSDJails la j'abandonne parce que je sais pas sur quoi ils ont pompé eux ... Ils ont peut être pas pompé pour le coup :))

@flynn @myckeul

Quoi ? Le feu ?
Ha le truc que Homo neanderthalensis a lâchement pompé à Homo erectus ?!

#trollinside

@Hackorn

@Hackorn Pourquoi tant de haine envers docker ? (aucun troll, c'est une question sérieuse)

@flynn @myckeul

@xataz
Parce que c'est très bien pour des dev qui ne veulent pas se faire chier mais c'est une cata quand tu mattes le réseau et impossible de gérer les conteneurs... Soit tu redéploies une image soit tu fais rien. Pour une faute de grammaire ou d'orthographe je trouve ça lourd. Mais si ça convient à des gens tant mieux :)
@flynn @myckeul

@Hackorn C'est justement le but en fait. On change totalement de philosophie avec docker (et d'autre d'ailleurs), on passe d'un modèle PETS (ou on bichonne ses serveurs) à CATTLES (il est cassé, on change). Cela à ses avantages et ses inconvéniants.
Dans le cas de circuits très courts (plusieurs MEP par semaines voir par jours), le modèle CATTLE est au top. Après si tu fais des mecs une fois par mois, c'est sur que ça ne vaut pas le cout.

On voit même ça avec des VM complètes.

@flynn @myckeul

@xataz @Hackorn @flynn @myckeul Moi j'ai un troupeau de 80 machines pour mon boulot, et ben je les connais toutes par leur petit nom !
Luc, éleveur de serveurs bios, nourris au grain et élevés en plein air.

@xataz @Hackorn @flynn @myckeul Mais ta métaphore est rigolote, parce que ça veut dire que quand tu gères ta ptite infra perso à coup de docker, c'est comme le mec qui a 5 vaches mais les élève comme s'il en avait 100, dans des boxes où elles se chient dessus, bouffent du tourteau de soja transgénique et où le seul contact humain qu'elles ont, c'est quand tu leur branche les pis à la trayeuse automatique…

@framasky C'est malheureux a dire, mais c'est ça, ça fait dramatique quand on parle de vache.

@Hackorn @flynn @myckeul

@xataz @Hackorn @flynn @myckeul Par contre, Docker pour l'intégration continue, ça me fait penser aux tests sur des souris/hamsters en laboratoire : c'est moche, mais ça fait avancer la science. J'ai vachement moins de scrupules.

@papey @xataz @Hackorn @flynn @myckeul Nan, parce que j'hésite pas à les emmener à l'abattoir si nécessaire 😛

@flynn @xataz @Hackorn @myckeul Ce serait trop facile (et pas très facile pour savoir que srv.1 fait ci ou ça). Nan, ils ont tous un nom de personnage des simpsons

@framasky Pas mal, perso mes PCs et serveur on des noms de ouf (xataz-desktop, xataz-server1 etc ...).

@flynn @Hackorn @myckeul

@xataz @framasky @flynn @Hackorn @myckeul Mes serveurs "d'infra" ont des noms issus de la mythologie, parce qu'ils ont la classe, et les machines applicatives ont juste un nom bien nomenclaturé, bien basique. Mais à part ça je fais pas de préférentisme :p

@DarkCoinCoin
Joli ça "préférentisme" tu l'as déposé ou tu attends la prochaine réforme de la langue française 🤔😂😂😂
@xataz @framasky @flynn @Hackorn @myckeul

@TheForeignAgent Boarf, au rythme où ça va, on peut inventationner ce qu'on veut :D

@Hackorn @xataz @flynn @myckeul l’immutabilité est indispensable sur un système distribué. Quand tu as 100 / 200 ou 300 replicas, les choses ne sont pas les mêmes.

@papey
On a des outils qui nous permettent de faire du standard... Même sur un parc important. Docker en prod perso je pense que c'est une très mauvaise idée. Et si tu l'as en dev mais pas en prod tu perds l'intérêt.
@xataz @flynn @myckeul

@Hackorn je l’ai en prod (PaaS) et je constate que c’est plutôt une bonne idée parce que ça permet aux clients d’être beaucoup plus autonome et de mieux séparer le scope hébergeur / hébergé. @xataz @flynn @myckeul

@papey
Si ça s'adapte à ton besoin tant mieux, mais quand ça plantera tu verras, c'est magique... Parce que c'est connu, le client ne fait jamais de merde ;)
@xataz @flynn @myckeul

@Hackorn @papey @xataz @myckeul Et c'est là où tu devrais regarder système qui peut faire disparaître des dossiers à des processus sessions ( processus sessions, MDR, j'espère que tout le monde est un expert sur POSIX)

@Hackorn Question ^^ ? En quoi est-ce pire de fournir une platforme pour déployer du docker qu'un conteneur LXC. Car techniquement, un conteneur LXC et un conteneur docker isole de la même manière ?

@papey @flynn @myckeul

@xataz @Hackorn @papey @myckeul Non ils n'ont le même code. LXC ne fait pas d'emboîtement ni d'image interdépendante.

@flynn Mais utilise les namespaces, les cgroups et les LC. Ils arrivent tout les deux aux même résultat.

@Hackorn @papey @myckeul

@xataz @Hackorn @papey @myckeul Tu peux arriver au même résultat avec des commandes Bash et 30 lignes de code C.

@flynn Sans aller dans du C, tu as unshare sous nunux qui permets de gérer les namespaces.
@Hackorn @papey @myckeul

@xataz @Hackorn @papey @flynn @myckeul C'est pas stateless. Si t'as un truc à débugguer, tu peux agir et pis c'est tout, de la même façon qu'avec une VM en fait. Disons que LXC, ça se rapproche plus de la VM light que de Docker.

@framasky @xataz @Hackorn @papey @myckeul Docker apporte de la répartition des charges avec des projets surcouches.

@framasky Ba non, y'a pas de vrai isolation, tu ne fait que mentir (sur les pid, les mounts, le réseau etc ...), comme docker.

Et avec docker tu peux avoir un système complet, comme avec LXC tu peux lancer un java en pid 1 (beurk !!!).

Après effectivement, tu utilises un conteneur LXC comme une VM (ce qui n'est pas le cas), et un conteneur docker comme une application. C'est leur utilisation de base, mais rien n'empêche de faire autrement.

@Hackorn @papey @flynn @myckeul

@xataz
Docker tu redeploies une image à chaque modification, lxc tu peux modifier soit dans le conteneur soit sur ton host
@papey @flynn @myckeul

@papey Qu'est ce que tu appel immutabilité ? J'ai eu plusieurs définition, pour moi c'était le fait que tout est volatile, tu supprime puis recrée. Mais pour d'autre j'ai lu que c'était l'interdépendance des images (pour docker).

@Hackorn @flynn @myckeul

@xataz ton code est à une version donnée dans une image taggué. Tu mets à jour : c’est une nouvelle image @Hackorn @flynn @myckeul

@Hackorn @myckeul

Et elle a dit de moi… >_>

Sinon, il va falloir que nous discutions de ces problèmes de gaz, mademoiselle…

@Hackorn et je confirme que lxc c'est vraiment très bien, je faisais beaucoup de vserver avant mais lxc étant intégré direct dans le kernel de base c'est quand même bien plus simple :)

@angristan Une fois que tu auras commencé tu ne pourras plus t'en passer ;)
(mais une VM ça sert à rien xD)

@angristan Alors... soit tu as plusieurs IP et tu en fous une par conteneur, soit pas et dans ce cas c'est un peu plus chaud : il faut que tu fasses un réseau local dédié/conteneurs (ou PC/conteneurs) et que tu fasses ton iptable sur le host pour pouvoir filtrer ce qu'il faut.
Perso j'ai une failover qui renvoie sur les conteneurs en plus. C'est un peu relou mais faisable.

@angristan Je tenterai de faire une explication un peu plus détaillée pour le réseau... ça me prendra un peu plus de temps je pense xD

@Hackorn @angristan Pareil, je sollicite fortement ce tuto avec une debian réçente contrairement à ce que j'ai pu trouver sur le net (déjà ils installent tous avec snapd, toi non, j'ai pas réussi à faire autrement sur ma stretch de test)

@angristan @Hackorn Autant pour moi, c'est LXD qui est installé de la sorte. Une surcouche apparemment intéressante à LXC. Tu as testé ?

@Epy @angristan Non, juste lxc :x Je tenterai d'écrire ça tête reposée et avec un peu de temps devant moi xD

@Hackorn @angristan Si je parviens à m'y mettre je partagerai mes infos sur LXD (<= le mec qui se marre)
Je dois refaire mon site pour ça tiens :o

@Hackorn Chez Online, t'as une chiée d'IP normalement (2^64). Si je comprends bien le besoin @angristan

@Shaft moi j'en ai qu'une et une failover. @angristan

@Hackorn Oui, je vois ça hackorn.club à une /128 de chez OVH (2001:41d0::/32, ça trompe pas ;) ) @angristan

@Hackorn @Shaft @angristan T'as testé lxd ? C'est plutôt pratique (c'est une surcouche à lxc).

@Hackorn rajoute "rsync" à mon commentaire d'ailleurs :)

@Hackorn Je vais faire mon chieur, mais au lieu d'utiliser « /!\ », Unicode fourni ⚠

#CeciEstUnMessageDeLaTeamUnicode :p

@Shaft @Hackorn Je vais faire mon chieur mais la langue française dit qu'Unicode fourni*t* ⚠
😛

@framasky Je suis en plein syndrome post-traumatique suite à ma première journée d'utilisation d'Office 365 et de l'horreur qui sert se client mail, alors pouet pouet camembert monsieur ! 😛 @Hackorn

@framasky @Shaft Bon j'ai changé ça. Mais j'ai préféré le faire à l'ancienne 😋

@Shaft @framasky J'ai hésité entre ça et une énorme banderole :p

@framasky
Vous l'avez bien cherché. (Et je dirais bien un truc mais les enfants sont pas couchés encore 😋)
@Shaft

@Hackorn ah cool, justement faudrait enfin que je me fasse un serveur perso digne de ce nom :)

@mmu_man
J'ai trouvé ça assez simple sur le principe :p (faut juste se faire chier niveau réseau pour que tout se passe bien... Mais une fois fait ça va tout seul :x)

@framasky
Docker aussi et c'est pour ça que je l'ai pas choisi *sifflote*
@mmu_man

@katyucha @Hackorn @framasky je crois que je vais faire des VM linux-m68k dans ARAnyM au final…

@Hackorn @mmu_man Nan, docker fait n'importe quoi avec le réseau (allo, IPv6 ?), lxd monte juste le bridge et alloue les IPs.

@framasky Y sait faire des trucs Docker autre que n'importe quoi (et jeter le discrédit sur une profession essentielle) ? 🤔 @Hackorn @mmu_man

@Shaft @Hackorn @mmu_man Oui : c'est très pratique pour l'intégration continue (faut quand même lui accorder ça)