Docker. Как его применять на вебсервере?

Question

[Unicom]

Уважаемые девопсы и системные администраторы, нужна ваша помощь в понимании как работает и как настраивать Docker.

Например, моя ситуация: VDS c Debian, нужно поставить внутри MySQL(MariaDB), Python/Django, Nginx, Memcached, Sphinx Search.

Задачи, которую я хочу решить Докером:

• разграничения по ресурсам некоторых особо прожорливых компонентов (швыряю булыжник в окно MySQL)
  
• возможность немного поэксперементировать с версиями и настройками компонентов
  
• если что-то не устроит на хостинге - взял свои контейнеры и пошел на другой
  

За последние дни я прочитал кучу мануалов и объяснений зачем, и как работает докер, кучу примеров по разработке приложений, но вот моего юзкейса в чистом виде, решения моих задач я не нашел - только намеки, полунамеки и скупые строчки, что да, вот так вот сделать можно, но ничего подробного, исчерпывающего для понимания и уж тем более никаких инструкций такого плана: отсюда бери - туда клади, тут запускай эту команду, потому что...

Основные вопросы, которые у меня остались:
1) т/к контейнеры стейтлес, а мне нужно все же хранить и создавать данные, как создавать, записывать и хранить изменения?
2) как автоматически стартовать контейнеры с изменениями, если какой-то пьяный дебил перерубил лопатой провод из ДЦ и все потухло? Т/е как стейтлес контейнеры превратить в стейтфул простыми способами. Т/е сервер падает, поднимается и все работает с того места где он упал.
3) Как лучше разбить на контейнеры мою обвязку сервера?
4) Как выбирать необходимые контейнеры приложений на Докерхабе?
5) Как и где хранить данные (например проекты Django), чтобы их не потерять, но вместе с тем удобно мигрировать на другой хост в случае чего
6) Из-за недопонинимания как все работает: как (и возможно ли вообще такое) не допустить утечки каких-либо чувствительных данных в докерхаб вместе с образом какого-нибудь моего контейнера?

Comments

[Unicom]

Пока слышу все разговоры в пользу бедных: а зачем оно вам нужно? Это ни разу не аргумент против. Это скорее аргумент в пользу того, что высказавшиеся не умеют это готовить. Мне нужны все же реальные аргументы против или ссылки на статьи, где можно найти ответы на вопросы. Рассуждать о качествах БД не имеет смысла.

[Unicom]

В последнем (482) Радио-Т прокомментировали мой вопрос по Докеру. По-моему все стало более лучше ясно.

Answer 1

[Sergey]

Вы читали кучу мануалов, но упустили самое главное - официальная документация. Как так? Там как раз и говорится как делать и почему. На вопросы уже поотвечали, но пройдусь ещё раз, раз столько времени на чтение ответов потратил :>
1) https://docs.docker.com/engine/userguide/dockervolumes/
2) https://docs.docker.com/engine/articles/host_integ...
3) Ответ простой - как хотите. Как лучше знаете только вы, звучит банально, но это так. Хотите хоть всё в один контейнер запихните, это ваше дело. Хотя рекомендуют 1 компонент на 1 контейнер. В этом есть своя логика - хочется обновить только mysql - обновляете этот контейнер и не думаете, поломался ли у вас uwsgi или nginx или ещё чего.
4) Напишите свой первый Dockerfile, станет куда яснее как выбирать. А пока доверяйте только официальным образам.
5) git? Этот вопрос - следствие непонимания вопроса 1)
6) Уже ответили. Самое простое, если не понимаете - не используйте dockerhub вообще. Или начните понимать. :) Или платите за приватные репозитории, чтобы не думать об этом.

Answer 2

[Назар Мокринский]

1) data-only containers
2) решите задачу подъема самого сервера с запущенным Docker, в контейнерах задаете политику всегда перезапускаться - они вместе с самим Docker запустятся
3) в идеале по контейнеру на процесс либо логическую часть, к примеру MariaDB это один, Python сервер это второй и так далее
4) внимательно изучать внутренности, кроме официальных выбирать только те, которые имеют автоматические билды с отрытым Dockerfile и поддерживаются актуальными, иногда придется делать свои
5) ответ тот же что и 1) + резервное копирование/восстановление из томов
6) не встраивайте чувствительные данные в образы и не попадут

В качестве неплохого примера можете посмотреть мою разработку (правда, ориентирована на PHP, но суть та же, посмотрите как устроено): https://github.com/nazar-pc/docker-webserver

Comments

[Unicom]

1) непонятно
2) ну мануалов вагон, не думаю что именно с этим будут проблемы
3) это понятно. но некоторые процессы не могут работать обособленно. я в этом не специалист, поэтому и спросил есть ли среди моих такие? К примеру: апач+пхп насколько помню должны запускаться в одном контейнере. У меня их нет, зато есть питон/джанга/сервер приложений и nginx (без понятия как такую связку делить и можно ли и надо ли)
4) как?
5)
6) это как? Что значит не встраивайте, если я не понимаю что и как он вообще пулит?

[Назар Мокринский]

Unicom:
1) поищите в сети, куча инструкций, в упомянутом репозитории тоже пример
3) в конфигурации с Apache у вас нет отдельного PHP, он является модулем Apache (если мы говорим о mod_php); python сервер отлично делится с Nginx - в одном контейнере одно, в другом другое, файловая система общая; динамику направляете в python, статику отдаете напрямую, опять таки смотрите упомянутый репозиторий - там Nginx + php-fpm в разных контейнерах полная аналогия
4) глазами? ну серьезно, вы же настраивали вручную хоть раз? вот Dockerfile это те же операции, но записанные в одном месте для удобного выполнения - изучайте
6) это значит не выкладывайте на Docker Hub образы которые содержат чувствительные данные, блин, вы вопрос свой прочитайте; если не понимаете что такое образ - опять таки поищите и вникните

[Кирилл Казаков]

Назар Мокринский , Отличный у вас набор для веб сервера !!! Супер.
Буду тестировать, изучать на базе вашей сборки.
Спасибо!

[Назар Мокринский]

Кирилл Казаков: Спасибо) Как раз над кластеризацией работаю, много коммитов за последние дни.

Должен заметить, в последних версиях я немного изменил хранение файлов (старые версии автоматически обновятся, никаких проблем), так что ничего больше не мешает добавлять контейнеры с другими языками программирования, тем же Python.

[Кирилл Казаков]

Назар Мокринский: То , что надо !
Вас в TG нет ?

[Назар Мокринский]

Кирилл Казаков: Если TG это Telegram - то нет. Конкретные вопросы (желательно на английском) можно задавать прямо в репозитории. Могу Gitter завести для проекта если актуально.

[Кирилл Казаков]

Назар Мокринский: Да, это telegram. Ясно, пока не требуется, буду иметь в виду.
Благодарю за готовность помочь.

Answer 3

[Эргил Осин]

> Docker. Как его применять на вебсервере?

Никак. Docker — игрушечная технология не предназначенная для использования в реальных задачах. Ставя докер вы четко говорите себе «Мне плевать на обновления безопасности, они мне не нужны».
Если вам нужна контейнеризация, то есть lxc.

Comments

[abcdefghijklmnopq]

Точно.
И все те корпорации, которые используют технологию Docker - они все играются: https://www.docker.com/partners и RedHat и M$ и HP и Canonical и IBM и Amazon и Rackspace.
Докер первоначально и основан на LXC.

Но в одном согласен:
Эта технология для других целей, более масштабных задач и для тех, кто хочет ей поиграться на небольшом проекте - усложняет себе жизнь.

[Эргил Осин]

abcdefghijklmnopq: докер использовавший lxc и дававший полноценные системы и нынешний докер — разные продукты. Вы уж извините, но M$ для меня как-то совсем не аругмент. Про то, как используют игрушки другие фирмы из списка особо неизвестно, особенно как его может использовать Canonical, которые делают дистрибутив и зарабатывают на поддержке.

[abcdefghijklmnopq]

Эргил Осин:
Ничто не мешает и сейчас использовать Docker с LXC.
Я понимаю, что вы Биллу завидуйте, как же, бывший коллега - но миллиардер, а светит это только единицам.
Однако объективности ради - M$ далеко не последняя контора в вопросах облаков и виртуализации.
Интересы всех этих ребят понятны: они или эксплуатируют облака или делают/адаптируют софт для облаков.

[Эргил Осин]

abcdefghijklmnopq: я и использую lxc. Я не знаю кто такой билл, а потому не могу ему завидовать. M$ может и предпоследняя контора в вопросах облаков и виртуализации, но в области этой связанной со своими операционками.
А если вы под биллом имели в виду Вильями Генри Гейтса III, то он мне никак не коллега, «может быть он лучший в своей области, в продажах, а я лучший в своей области, нам не о чем было бы разговаривать»(но вы все равно не узнаете цитаты).

[abcdefghijklmnopq]

Эргил Осин:
Вы немного не в теме:
в M$ Azure прекрасно живет и широко применяется Linux.
По сути, у Azure конкуренция только с Amazon AWS, тут даже Google Cloud Services идет на третьем месте, имея преимущества только в PaaS.

[Unicom]

>>«Мне плевать на обновления безопасности, они мне не нужны».
А по факту так и есть на продакшен серверах - пока не сломается, никто не трогает. У меня года 3-4 ничего не обновлялось и лезть я туда опасаюсь ибо не помню/не знаю какие костыли туда были вбиты и для чего.

[Николай Турнавиотов]

Unicom: бред. никто не мешает раз в неделю образ и контейнеры из него ребилдить, благо остановка и запуск половины из них заметит только фронт сервер не нашедший апстрим

[Родион Шергин]

Эргил Осин какой-то странный аргумент, что мешает запушить новый image в dockerhub c исправлениями безопасности и перезапустить контейнеры? Насколько я помню на сервере достаточно сделать `docker pull myImage:latest & docker run myImage:latest`

[Эргил Осин]

Родион Шергин: а теперь смотрите. Я обновляю все свои lxc-тазы одной командой. Одной. Все. Я делаю(условно) dsh -g lxc sudo apt-get -y upgrade и они все обновляются. Вне зависимости от того что в них. И обновляются корректно.
А вам нужно каждый образ с каждым сервисом пересобрать, залить и куда-то к черту на рога и оттуда снова переставить фактически. Вы не видите разницы?

[AandB]

Эргил Осин: Точно, реально лучше. Больше того, можно также и с кодом приложения поступать, прямо на проде подправили и рестартанули, зачем нам эти всякие cvs-ы, фабрики и пр. А то баг поправь, закомить, потом код обнови, а тут сразу все налету, очень удобно, да!

Answer 4

[Сергей Новиков]

Про уровень управления всей инфраструктурой. Сейчас много говорят про гугловый Kubernetes. Однако, лично мне больше понравился не такой раскрученный, но очень навороченный Rancher. Мне кажется, он вам подойдет хорошо. Он позволит:
а. Подключить в одну web(!)-консоль машины от разных облачных провайдеров.
b. Управлять большинством параметров как непосредственно контейнеров, так и более масштабных связок.
с. Управлять томами для хранения персистентных данных. Проблема переноса данных между хостами там можно решить подъемом в 3 клика кластера GlusterFS, например. Также есть своя разработка для синка -- Convoy.
d. Контролировать функционирование сервисов и хостов, автоматически запуская контейнеры на других хостах.
e. Поднять между хостами (напомню, что они могут быть размещены в разных ДЦ у разных провайдеров) свою приватную сеть, где все хосты и все сервисы смогут "видеть" друг друга.
f. Балансировать нагрузку между несколькими контейнерами на разных машинах.

Магии там нет. Все можно настроить и так. Однако, как стартовое решение, которое скроет кучу настроечных сложностей, должно подойти хорошо.

Answer 5

[Dimonchik]

вопросы 3,4,6 - для форума экстрасенсов

по первым же двум: раз и два и оттуда еще есть ссылки

мы, в том числе и поэтому, используем Мускуль вне контейнеров,
и, честно говоря, не знаю когда его нужно использовать внутри(разве что если вы хостер): если проект мелкий - он не жрет базу сильно, а если проект такой, что база гигабайтная - пропускать еще через прокладку-докер - это не заботиться о сохранности данных.

а вот nginxы и wsgi (с Джангами и Флесками) чувствуют себя в контейнерах превосходно

Comments

[Unicom]

>вопросы 3,4,6 - для форума экстрасенсов
Разве? Если читать вопрос целиком, то можно увидеть необходимые компоненты MySQL(MariaDB), Python/Django, Nginx, Memcached, Sphinx Search.

[Dimonchik]

ну и )), где данные о памяти-то? числе бекендов и т.п.?

[Dimonchik]

"бекендов" - имею в виду апстримов

[Unicom]

dimonchik2013: 4-8Гб VDS / о каком числе бэкэндов может идти речь, если все компоненты перечислены. Это обычный вебсервер для отдачи сайта на джанге. С базой под пол-гига, поэтому с особенностями. Одной из причин почему докер - это простота экспериментов. А может до них у меня руки все же дойдут и я что-нибудь сделаю и с базой сжирающей память и со всем остальным, что мне не нравится.

[Dimonchik]

ну, если у вас всего один апстрим (Джанга), то не Докер вам нужен
чудес с MySQL он не сделает, даже наоборот,
Мускуль вполне тюнится индексами, можете попробовать экзотику в виде Сфинкса, ну и ORM желательно проверить - может, и отключить

[Unicom]

>>Мускуль вполне тюнится индексами, можете попробовать экзотику в виде Сфинкса
Еще раз - читайте вопрос полностью. Сфинкс используется изначально и никакая это не экзотика. Мне не чудеса нужны, а поле для экспериментов и при чем в продакшене (ибо только там такие нагрузки которые роняют базу). Попробовать ту же марию или еще какой-нибудь клон, где проблемы с утечекой пофикшены.

[Dimonchik]

сфинкс для ускорения мускуль запросов - экзотика

Answer 6

[Николай Турнавиотов]

Попробую на пальцах
базы данных - в нормальных контейнерах типа lxc/openvz или в отдельной впс. чисто потому что бекапы и репликация там в нормальном режиме с нормальным доступом, плюс опять же ip адрес статический, чего в докере нет и врядли будет.

докерные контейнеры - это повторимая виртуалка имени одного процесса. Тоесть, вы четко говорите в докерфайле что, зачем выполнять и что конкретно запускать в форграунде, т.е на первом плане, вариант service apache2 start не канает, контейнер остановится после ухода приложения в бекграунд, также почитайте про проблему docker pid 1 и почему это все запускается в обвязке из того же bash.

Докер очень сильно привязан к своему хабу и гиту, чтобы "git pull & start app одной кнопкой" на каком-то та внутреннем айпишнике из серой сети.

Comments

[Unicom]

>базы данных - в нормальных контейнерах типа lxc/openvz или в отдельной впс. чисто потому что бекапы и репликация там в нормальном режиме с нормальным доступом
Непонятно

>плюс опять же ip адрес статический, чего в докере нет и врядли будет.
а зачем базе статический ip? база наружу смотреть не должна.

>на каком-то та внутреннем айпишнике из серой сети.
не вижу смысла поднимать публичный вебсервер непонятно где в серой сети.

[Виктор Логин]

На тему ip-адресов: лучше поднять skyDNS или аналоги и общаться по dns-именам, тогда динамический ip-не будет проблемой. Докер не привязан к docker hub, вполне можно поднять свой registry единственно к docker pull/push нужно указывать адрес до нашего registry

[Николай Турнавиотов]

Unicom: в докере ничего кроме вашего постгреса/мускуля/монги поднято не будет. это контейнер имени одного процесса. более того при каждом старте у контейнера будет другой ip адрес, и ваше приложение его просто рано или поздно потеряет

[Николай Турнавиотов]

Виктор Логин: имена в днс ещё обновлять надо, даже в локальном

[Виктор Логин]

Николай Турнавиотов: некоторые системы оркестрации позволяют автоматизировать этот процесс или сервисы при старте сами могут обновлять о себе информацию, если она храниться в неком едином месте, например в консуле

[Николай Турнавиотов]

Виктор Логин: ну вот у меня система оркестрации - это service.unit который пущает все нужные контейнеры и пинает dns сервер по апи с их новыми адресами

Answer 7

[devel787]

dou.ua/lenta/articles/docker
+
dou.ua/lenta/articles/vagrant