Какие проблемы могут быть если Docker используется как замена KVM/XEN?

Question

[Антон Пискунов]

Сейчас у всех пригорит, но тем не менее :)
Привет.

Итак, допустим есть кластер в десять железных машин на каждой из которых 30-50 виртуалок. Виртуалки клиентские, разработческие, в общем зоопарк, облако не приватное. Как это все работает если используется KVM/XEN/etc — понятно.

Вопрос в том что может пойти не так если вместо виртуализации стоит Docker? И Docker используется не как предписано «один контейнер - один сервис», а в хвост и в гриву, как полноценная виртуалка.

1. Какие угрозы безопасности?
   
2. Какие лимиты по ресурсам?
   
3. Какие лимиты по возможностям?
   

Всё спрашивается относительно KVM (или XEN/etc если у вас нет опыта с KVM, тоже интересно)

UPD: Тащемта настроили KVM. Немного посовокуплялись с iptables, но жить можно. Работает стабильно.

Comments

[Антон Пискунов]

Пока что я вижу в выигрыше: Docker-контейнер проще в управлении (нет мороки со стораджами и сетью), он создается за пару секунд против пары минут в случае KVM. К Docker-контейнеру очень просто получить доступ, можно зайти внутрь и делать что угодно, в отличии от виртуалки, которую по факту надо настраивать, поднимать там sshd и прочее.

[Антон Пискунов]

Очень интересует различия в поведении экранов (иксов) в Docker и KVM/etc.

[Пума Тайланд]

Антон Пискунов: в докере вероятно нет иксов

Answer 1

[mrobespierre]

1. С безопасностью всё непросто. Вам нужен хороший специалист со знанием Selinux/Apparmor чтобы вручную изолировать контейнеры друг от друга. Насколько я знаю, по умолчанию LSM в Docker не задействованы (решето кароч). В связке KVM/libvirt оно настроено из коробки, нужно только в конфиге включить.
2. С лимитами всё непросто тоже. Docker использует cgroups. В целом они работают. Особенно CPU и Memory (хотя когда я крутил с ними были определённые проблемы: память например ограничивалась, но виделась целиком, что вводило в заблуждение некоторые приложения). Дисковый "контроллер" включался, но по факту не работал (а он, под нагрузкой, самый важный, по крайней мере для меня). Ограничить сеть я вообще не смог (в случае ddos, например, целевой машине лучше иметь 100 мбит). В связке KVM/libvirt настраивается и работает всё.
На этом моменте я от docker отказался и по возможностям ничего сказать не могу. Данные могли устареть (docker активно пилится). По моему мнению, docker - отличная игрушка для программистов, но совершенно не годится для серьёзного продакшена. Кроме того, для KVM/libvirt есть отличные управлялки: OpenNebula и Cloudstack, которые отлично масштабируются с 10 до 1000 хостов (можно и больше), есть ли подобные по удобству и функционалу для docker? - Не уверен.

Comments

[Антон Пискунов]

Годно, спасибо. Особенно про Selinux не задумывался, так что еще и полезно.