1. Foren
  2. Kommentare
  3. Wirtschaft
  4. Alle Kommentare zum Artikel
  5. › Container: Docker hat offenbar…

Docker ist zunächst ein Vertriebsformat

  1. Thema

Neues Thema Ansicht wechseln


  1. Docker ist zunächst ein Vertriebsformat

    Autor: harryruhr 02.10.19 - 16:35

    Docker entsprang zwar der Container-Technologie, wird aber heute hauptsächlich als Vertriebskanal und -format für Server-Applikationen genutzt, ähnlich wie Flatpak oder Snap für Desktop-Anwendungen.

    Docker ist somit ideal für Leute, die einen Server-Dienst unter Linux (zumindest hauptsächlich, gibt ja inzwischen auch Docker für Windows) aufsetzen wollen, sich aber nicht mit Einzelheiten und/oder Feinheiten der Installation und/oder Konfiguration beschäftigen können oder wollen. Einmal "docker pull" ausführen, und schon läuft der gesamte LAMP Stack inklusive CMS.

    Das ist sicher toll, um "mal eben" was zu testen, z.B. für Entwickler. Für die Sicherheit ist das allerdings eher nicht so prickelnd, denn wer überprüft denn, ob die Ersteller der Docker Images alles richtig konfiguriert haben und - noch wichtiger - ob die einzelnen Bestandteile (Dienste, Libs usw.) alle aktuellen Sicherheitspatches eingespielt haben?

    Hinzu kommt, dass Docker eben auf Containertechnologie setzt. Container laufen alle unter dem gleichen Kernel, teilen sich also den Kernelspace zu Laufzeit. Die Trennung von anderen Containern und dem Host selbst erfolgt durch den Kernel selbst. Gelingt es aber, den Kernel anzugreifen, ist nicht nur der Container, sondern der gesamte Host mitsamt allen anderen Containern betroffen. Das gleiche gilt natürlich auch für einen gelungenen Ausbruch aus dem Container. Die Isolierung der Systeme untereinander ist, im Vergleich mit virtuellen Maschinen, viel schwächer.

    Somit verbietet sich, schon alleine aus Sicherheitssicht, der Betrieb von Docker-Containern als produktiver Dienst.

  2. Re: Docker ist zunächst ein Vertriebsformat

    Autor: Blade 02.10.19 - 17:58

    > Somit verbietet sich, schon alleine aus Sicherheitssicht, der Betrieb von Docker-Containern als produktiver Dienst.

    Deine Aussage halte ich für übertrieben. AWS ECS erlaubt beispielsweise sehr einfach, eine Anwendung auf einen Cluster aus mehreren Servern zu deployen. Solange Du den Cluster kontrollierst - ist das genauso sicher / unsicher wie wenn Du die Anwendungen direkt auf die Server deployst. Der Vorteil von Docker ist hier aber ganz klar die Reproduzierbarkeit. Du kannst den gleichen Container vorher in einer CI testen, bevor Du das Deployment machst.

    Auch mehrere Microservices, die zusammen genommen einen Dienst bieten - können problemlos auf einem Cluster nebeneinander laufen. Warum für jeden noch so kleinen Dienst eine eigene Umgebung aufsetzen - die 99.9 erreichbar sein muss?

  3. Re: Docker ist zunächst ein Vertriebsformat

    Autor: uschatko 02.10.19 - 18:06

    Blade schrieb:
    --------------------------------------------------------------------------------
    > Warum für jeden
    > noch so kleinen Dienst eine eigene Umgebung aufsetzen - die 99.9 erreichbar
    > sein muss?

    Weil das dann genau der Dienst ist der sich verabschiedet und die Oberen am durch drehen sind.

  4. Re: Docker ist zunächst ein Vertriebsformat

    Autor: SchrubbelDrubbel 02.10.19 - 18:50

    Blade schrieb:
    --------------------------------------------------------------------------------
    > > Somit verbietet sich, schon alleine aus Sicherheitssicht, der Betrieb von
    > Docker-Containern als produktiver Dienst.
    >
    > Deine Aussage halte ich für übertrieben. AWS ECS erlaubt beispielsweise
    > sehr einfach, eine Anwendung auf einen Cluster aus mehreren Servern zu
    > deployen. Solange Du den Cluster kontrollierst - ist das genauso sicher /...

    Die benutzen ja auch KVM...

  5. Re: Docker ist zunächst ein Vertriebsformat

    Autor: Konphite 02.10.19 - 20:52

    harryruhr schrieb:
    --------------------------------------------------------------------------------
    > Das ist sicher toll, um "mal eben" was zu testen, z.B. für Entwickler. Für
    > die Sicherheit ist das allerdings eher nicht so prickelnd, denn wer
    > überprüft denn, ob die Ersteller der Docker Images alles richtig
    > konfiguriert haben und - noch wichtiger - ob die einzelnen Bestandteile
    > (Dienste, Libs usw.) alle aktuellen Sicherheitspatches eingespielt haben?

    Du kannst doch die Dockerfiles und Images, inkl. alles dafür benötigten Komponenten, selber schreiben und in lokalen, eigenen, Repositorys vorhalten. Die dienen dann sowohl für CI als auch der Dev-Stages für die Entwickler.

    harryruhr schrieb:
    --------------------------------------------------------------------------------
    > Hinzu kommt, dass Docker eben auf Containertechnologie setzt. Container laufen alle unter >dem gleichen Kernel, teilen sich also den Kernelspace zu Laufzeit. Die Trennung von anderen >Containern und dem Host selbst erfolgt durch den Kernel selbst. Gelingt es aber, den Kernel >anzugreifen, ist nicht nur der Container, sondern der gesamte Host mitsamt allen anderen >Containern betroffen. Das gleiche gilt natürlich auch für einen gelungenen Ausbruch aus dem >Container. Die Isolierung der Systeme untereinander ist, im Vergleich mit virtuellen Maschinen, >viel schwächer.

    "Viel schwächer" halte ich für übertrieben in Bezug auf Praxisrelevanz.

    harryruhr schrieb:
    --------------------------------------------------------------------------------
    > Somit verbietet sich, schon alleine aus Sicherheitssicht, der Betrieb von Docker-Containern als >produktiver Dienst.

    Ja... so wie der Betrieb von allen Systemen. Wer kontrolliert denn den Linux Quellcode bei euch? Die 5439039 Repositorys die irgendwie mit drin hängen, die von irgendwelchen Community Maintainern gepflegt weden? Die dutzenden Applikationen, sowie deren Quellcode, auf Sicherheitslücken, Backdoors, oder oder oder?

    Genau das gleiche und das lässt sich in jedem x-beliebigen Grad weiterspinnen. Ich sehe hier überhaupt keinen Anlass bei Docker Maßstäbe anzusetzen, die man sonst in der Form nicht ansetzen würde, weil man es ja schon immer so gemacht hat und glaubt, das wäre alles irgendwie halbwegs sicher und es ist ja noch nie was passiert ... Praktisch ein Freifahrtsschein aus Gewohnheit.



    4 mal bearbeitet, zuletzt am 02.10.19 20:58 durch Konphite.

  6. Re: Docker ist zunächst ein Vertriebsformat

    Autor: Hawk321 02.10.19 - 21:39

    harryruhr schrieb:
    --------------------------------------------------------------------------------
    > Hinzu kommt, dass Docker eben auf Containertechnologie setzt. Container
    > laufen alle unter dem gleichen Kernel, teilen sich also den Kernelspace zu
    > Laufzeit. Die Trennung von anderen Containern und dem Host selbst erfolgt
    > durch den Kernel selbst. Gelingt es aber, den Kernel anzugreifen, ist nicht
    > nur der Container, sondern der gesamte Host mitsamt allen anderen
    > Containern betroffen. Das gleiche gilt natürlich auch für einen gelungenen
    > Ausbruch aus dem Container. Die Isolierung der Systeme untereinander ist,
    > im Vergleich mit virtuellen Maschinen, viel schwächer.
    >
    > Somit verbietet sich, schon alleine aus Sicherheitssicht, der Betrieb von
    > Docker-Containern als produktiver Dienst.

    Schlimm ist es dann, wenn besonders Docker hier Amok läuft...ist Docker als Main Prozess weg , sind ALLE Container erstmal weg. Ein Disaster wird es, wenn jemand meint mal eben tausende Ports pro Container durch zu reichen ...nicht jede Anwendung macht in Docker Sinn !

    Und die "Spezies" die meinen nun alles in die "Klaut" zu jagen....gerade hier gibt es limitierte Kernel die eben nicht jedes Modul/Funktion liefern....aber hey, Docker ersetzt VM's...

    Was mich wirklich so richtig stört an Docker, ist die fehlende Sachebene. Docker hat meinen Eindruck nach durch Buzzwording und "Entscheider" für sehr viel nonsense gesorgt --> Stichwort Dockerize everything.

  7. Re: Docker ist zunächst ein Vertriebsformat

    Autor: peddy_hh 03.10.19 - 00:01

    Hawk321 schrieb:

    Ich hab mal ihren letzten Satz:
    > Was mich wirklich so richtig stört an Docker, ist die fehlende Sachebene.
    als erstes zitiert und möcht Ihnen da gerne aushelfen.

    > Schlimm ist es dann, wenn besonders Docker hier Amok läuft...ist Docker als
    > Main Prozess weg , sind ALLE Container erstmal weg. Ein Disaster wird es,
    Wenn man den docker-daemon entsprechend konfiguriert, laufen die Container, was ja letztendlich nur normale Linux-Prozesse sind, weiter. Ist genau ein Eintrag in der "daemon.json" Datei.

    > wenn jemand meint mal eben tausende Ports pro Container durch zu reichen
    Was sie damit genau meinen, weiss ich nicht.
    Das Problem gilt aber für alle Linuxprozesse. Bei Docker hat man die Chance, das Verhalten einzudämmen, z.B. zu Testzwecken. Hier hilft Docker also eher.

    > ...nicht jede Anwendung macht in Docker Sinn !
    Welche nicht und warum nicht?
    Wenn man Docker genau anguckt, ist das nur eine einfache Art seine Konfigurationen zu bündeln und von vornherein zu defnieren, was man zwingend für den Betrieb braucht. Ansonsten werden ja nur Linux-Namespaces und Cgroups verwendet. Man verliert sogar weniger Rechenleistung als beim Einsatz von Virtualisieren (z.B. VMWARE).


    > Und die "Spezies" die meinen nun alles in die "Klaut" zu jagen....gerade
    Das ist ein völlig anderes Thema, auch wenn diese eng verwandt sind.
    btw: hier möchte ich gern auf den ersten zitierten Satz von Ihnen verweisen.


    > hier gibt es limitierte Kernel die eben nicht jedes Modul/Funktion
    > liefern....aber hey, Docker ersetzt VM's...
    Was ist hiermit gemeint? Das verstehe ich nicht?
    Was ich definitiv sagen kann, Docker ersetzt keine VMs und Dockercontainer sind keine "kleinen VMs".

    Docker oder auch podman sind halt Containerformate bzw. Steuerungsprogramme, um Programme klar definiert laufen zu lassen. D.h. man kann sich von Anfang bzgl. CPU- und Memoryverbrauch, welche Ports müssen zwingend auf Hostebene rausgeführt werden, Healthchecks usw. Gedanken machen und diese auf eine einheitliche Art und Weise definieren. Dadurch kann man erreichen, dass DEV, QS und PROD wirkklich identisch laufen.

    Nimmt man jetzt noch Kubernetes hinzu, kann man diese container über mehrere Hosts verteilt ausfallsicher laufen lassen. Dazu muss man natürlich auch noch ein bisschen was machen, aber eben nicht mehr viel. D.h. sowas wie Loadbalancer, SSL-Terminier usw. hat man quasi in Software schon dabei. Erstaunlicherweise klappt das auch für Websites mit etwas grösserer Load.

    Hoffe, dass ich ein wenig helfen konnte.

    Abendliche Grüße,
    Peddy

  8. Re: Docker ist zunächst ein Vertriebsformat

    Autor: Hawk321 03.10.19 - 00:25

    peddy_hh schrieb:
    --------------------------------------------------------------------------------
    > Hawk321 schrieb:
    >
    > Ich hab mal ihren letzten Satz:
    > > Was mich wirklich so richtig stört an Docker, ist die fehlende
    > Sachebene.
    > als erstes zitiert und möcht Ihnen da gerne aushelfen.
    >
    > > Schlimm ist es dann, wenn besonders Docker hier Amok läuft...ist Docker
    > als
    > > Main Prozess weg , sind ALLE Container erstmal weg. Ein Disaster wird
    > es,
    > Wenn man den docker-daemon entsprechend konfiguriert, laufen die Container,
    > was ja letztendlich nur normale Linux-Prozesse sind, weiter. Ist genau ein
    > Eintrag in der "daemon.json" Datei.
    Wie was ? Wo ??? systemctl stop docker => tote Hose !
    Aber Sie dürfen mich gerne da eines besseren belehren.
    > > wenn jemand meint mal eben tausende Ports pro Container durch zu reichen
    > Was sie damit genau meinen, weiss ich nicht.
    > Das Problem gilt aber für alle Linuxprozesse. Bei Docker hat man die
    > Chance, das Verhalten einzudämmen, z.B. zu Testzwecken. Hier hilft Docker
    > also eher.
    Das hat nichts mit Linux Prozessen zu tun. Docker ist ein Biest, wenn man tausende Ports zum Host durchreichen muss. ...PRO Container wohl gemerkt. Es gibt viele Anwendungen die ganze Ranges erreichbar haben müssen.
    Einfach mal ausprobieren und schauen was passiert :-)

    Ich rede nicht von 80/443 das zum host als Port 12345 gereicht wird und ein Nginx Proxy sich drum kümmert!
    >
    > > ...nicht jede Anwendung macht in Docker Sinn !
    > Welche nicht und warum nicht?
    Infrastruktur Dienste, Anwendungen die einen kompletten Kernel benötigen, Anwendungen die komplexe Netzwerkstrukturen vorweisen müssen.
    Komplexe Postfix Server, AD, Virenscanner, ... gibt schon so einiges. Im Prinzip alles was pro Monolyth geht und nicht in das Microservice Muster passt.
    Anwendungen die besser auf Hardware arbeitet...
    > Wenn man Docker genau anguckt, ist das nur eine einfache Art seine
    > Konfigurationen zu bündeln und von vornherein zu defnieren, was man
    > zwingend für den Betrieb braucht. Ansonsten werden ja nur Linux-Namespaces
    > und Cgroups verwendet.
    Bei einfachen Anwendungen wie zb. ein Tomcat oder sowas...ja.
    > Man verliert sogar weniger Rechenleistung als beim
    > Einsatz von Virtualisieren (z.B. VMWARE).
    Wie kommen Sie darauf ?

    > > hier gibt es limitierte Kernel die eben nicht jedes Modul/Funktion
    > > liefern....aber hey, Docker ersetzt VM's...
    > Was ist hiermit gemeint? Das verstehe ich nicht?
    > Was ich definitiv sagen kann, Docker ersetzt keine VMs und Dockercontainer
    > sind keine "kleinen VMs".
    Wenn eine Anwendung ein bestimmtes Kernel Modul benötigt, der Host Provider Ihnen es nicht gibt...geht gar nichts.
    Da bleibt dann die Frage...wenn man schon Kernel Modul für eine Anwendung braucht, macht es dann Sinn diese dann wirklich
    in einen Container zu stecken ? Ich sage Nein. Container sollte für genau den obigen - von Ihn genannten - Einsatzweck genutzt werden.
    Natürlich im Vorfeld überprüft, ob der Aufwand das auch rechtfertigt. Ist ja immer so, ein für und wieder.
    > Docker oder auch podman sind halt Containerformate bzw.
    > Steuerungsprogramme, um Programme klar definiert laufen zu lassen. D.h. man
    > kann sich von Anfang bzgl. CPU- und Memoryverbrauch, welche Ports müssen
    > zwingend auf Hostebene rausgeführt werden, Healthchecks usw. Gedanken
    > machen und diese auf eine einheitliche Art und Weise definieren. Dadurch
    > kann man erreichen, dass DEV, QS und PROD wirkklich identisch laufen.
    Das sollte man doch auch bei einer VM, einem physischen Server usw. tun !
    Meine Erfahrung ist bei uns und bei vielen Kunden, dass das genau nicht passiert.



    2 mal bearbeitet, zuletzt am 03.10.19 00:32 durch Hawk321.

  9. Re: Docker ist zunächst ein Vertriebsformat

    Autor: peddy_hh 03.10.19 - 00:59

    Hawk321 schrieb:
    --------------------------------------------------------------------------------
    > peddy_hh schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Hawk321 schrieb:
    > >
    > > Ich hab mal ihren letzten Satz:
    > > > Was mich wirklich so richtig stört an Docker, ist die fehlende
    > > Sachebene.
    > > als erstes zitiert und möcht Ihnen da gerne aushelfen.
    > >
    > > > Schlimm ist es dann, wenn besonders Docker hier Amok läuft...ist
    > Docker
    > > als
    > > > Main Prozess weg , sind ALLE Container erstmal weg. Ein Disaster wird
    > > es,
    > > Wenn man den docker-daemon entsprechend konfiguriert, laufen die
    > Container,
    > > was ja letztendlich nur normale Linux-Prozesse sind, weiter. Ist genau
    > ein
    > > Eintrag in der "daemon.json" Datei.
    > Wie was ? Wo ??? systemctl stop docker => tote Hose !
    > Aber Sie dürfen mich gerne da eines besseren belehren.

    Da helfe ich gerne aus:
    https: docs.docker.com config containers live-restore

    Mit Leerzeichen, wegen:
    Zum Schutz vor Spam in diesem Forum wird Ihnen das Posten von Links erst erlaubt, wenn Sie mindestens 50 Beiträge erstellt haben und 50 Tage registriert sind.

    > > > wenn jemand meint mal eben tausende Ports pro Container durch zu
    > reichen
    > > Was sie damit genau meinen, weiss ich nicht.
    > > Das Problem gilt aber für alle Linuxprozesse. Bei Docker hat man die
    > > Chance, das Verhalten einzudämmen, z.B. zu Testzwecken. Hier hilft
    > Docker
    > > also eher.
    > Das hat nichts mit Linux Prozessen zu tun.
    Warum nicht? Letztendlich sind es nur einfache Linuxprozesse.

    > Docker ist ein Biest, wenn man
    > tausende Ports zum Host durchreichen muss. ...PRO Container wohl gemerkt.
    > Es gibt viele Anwendungen die ganze Ranges erreichbar haben müssen.
    > Einfach mal ausprobieren und schauen was passiert :-)
    Hmm... ich kenne das von Java-Applicationenservern usw.
    Hier ist meine Erfahrung, dass die meisten Ports nur für die eigene Verwaltung also sinngemäss über "localhost" verfügbar sein müssen.
    Hier hilft Docker einem sogar bei der Kaspelung. Wobei häufig sogar die Ports zwar standardmässig an sind, aber nicht gebraucht werden. Meist haben Admins nur nicht die Zeit, diese wegzukonfigureiren. Hier kriegt man sogar etwas Sicherheit geschenkt.


    > Ich rede nicht von 80/443 das zum host als Port 12345 gereicht wird und ein
    > Nginx Proxy sich drum kümmert!
    Sondern?


    > > ...nicht jede Anwendung macht in Docker Sinn !
    > > Welche nicht und warum nicht?
    > Infrastruktur Dienste, Anwendungen die einen kompletten Kernel benötigen,
    > Anwendungen die komplexe Netzwerkstrukturen vorweisen müssen.
    > Komplexe Postfix Server, AD, Virenscanner, ... gibt schon so einiges.
    Evtl. sollten wir hier konkreter werden, denn so verstehe ich das noch nicht.
    Für Postfix gilt ähnliches wie für die oben erwähnten Java-Applicationserver.
    Viele Ports werden nur rekursiv benutzt.
    Wenn der Virenscanner als zentraler Dienst dient, dann ist das so.
    Generell kann ich sagen, wenn die Ports wirklich von aussen benutzt werden müssen, dann müssen sie auch rausgeführt werden. Da kann kein System der Welt was vereinfachen. Vereinfachen kann man nur dan Start und die Art wie man die Ports ggf. umbiegt, so daß auch Entwickler mit der exakt gleichen Installation arbeiten könnten oder mehrere Installationen auf einem Rechner laufen können.
    Betreiben sie eine AD unter Linux? Wenn ich mich recht entsinne, braucht die insgesamt drei Ports.


    > Im Prinzip alles was pro Monolyth geht und nicht in das Microservice Muster passt.
    Das kann ich so allgemein nicht akzeptieren. Denn auch Monolythen können in Container verpackt werden. Ich glaube sogar, dass man dann ein besseres Verständnis von den Dingern hat.


    > Anwendungen die besser auf Hardware arbeitet...
    Beispiele? Docker arbeitet übrigens "direkter" auf der Hardware, als VMs.


    > > Wenn man Docker genau anguckt, ist das nur eine einfache Art seine
    > > Konfigurationen zu bündeln und von vornherein zu defnieren, was man
    > > zwingend für den Betrieb braucht. Ansonsten werden ja nur
    > Linux-Namespaces
    > > und Cgroups verwendet.
    > Bei einfachen Anwendungen wie zb. ein Tomcat oder sowas...ja.
    > > Man verliert sogar weniger Rechenleistung als beim
    > > Einsatz von Virtualisieren (z.B. VMWARE).
    > Wie kommen Sie darauf ?
    Jetzt bitte mal selbst googlen.
    Nur soviel: VMWARE hat mehr Abstraktionsschichten zwischen der Anwendung und der Hardware, als Docker, was ich oben ja schon ausführte (Linuxnamespaces, Cgroups).


    > > > hier gibt es limitierte Kernel die eben nicht jedes Modul/Funktion
    > > > liefern....aber hey, Docker ersetzt VM's...
    > > Was ist hiermit gemeint? Das verstehe ich nicht?
    > > Was ich definitiv sagen kann, Docker ersetzt keine VMs und
    > Dockercontainer
    > > sind keine "kleinen VMs".
    > Wenn eine Anwendung ein bestimmtes Kernel Modul benötigt, der Host Provider
    > Ihnen es nicht gibt...geht gar nichts.
    Das stimmt, aber dann krieg ich auch keine VM.

    > Da bleibt dann die Frage...wenn man schon Kernel Modul für eine Anwendung
    > braucht, macht es dann Sinn diese dann wirklich
    > in einen Container zu stecken ? Ich sage Nein. Container sollte für genau
    > den obigen - von Ihn genannten - Einsatzweck genutzt werden.
    OK, sie haben hier ein konkretes Beispiel aus ihrem Umfeld gefunden, wo die Containersierung nicht direkt weiterhilft.
    Naja, obwohl, wenn sie das ganze auf einem System mit dem Modul machen, dann geht alles.
    Die Frage ist ja immer, wo macht man den Schnitt.


    > > Docker oder auch podman sind halt Containerformate bzw.
    > > Steuerungsprogramme, um Programme klar definiert laufen zu lassen. D.h.
    > man
    > > kann sich von Anfang bzgl. CPU- und Memoryverbrauch, welche Ports müssen
    > > zwingend auf Hostebene rausgeführt werden, Healthchecks usw. Gedanken
    > > machen und diese auf eine einheitliche Art und Weise definieren. Dadurch
    > > kann man erreichen, dass DEV, QS und PROD wirkklich identisch laufen.
    > Das sollte man doch auch bei einer VM, einem physischen Server usw. tun !
    > Meine Erfahrung ist bei uns und bei vielen Kunden, dass das genau nicht
    > passiert.
    Genau und mit Docker / Containerizeriung und Kubernetes kriegt man es fast geschenkt, so daß es keinen Mehraufwand darstellt und quasi als "Abfallproduk" des ganzen Prozess der Erstellung / Defintion mit abfällt. Cool nicht?

  10. Re: Docker ist zunächst ein Vertriebsformat

    Autor: matok 03.10.19 - 09:08

    harryruhr schrieb:
    --------------------------------------------------------------------------------
    > Hinzu kommt, dass Docker eben auf Containertechnologie setzt. Container
    > laufen alle unter dem gleichen Kernel, teilen sich also den Kernelspace zu
    > Laufzeit. Die Trennung von anderen Containern und dem Host selbst erfolgt
    > durch den Kernel selbst. Gelingt es aber, den Kernel anzugreifen, ist nicht
    > nur der Container, sondern der gesamte Host mitsamt allen anderen
    > Containern betroffen. Das gleiche gilt natürlich auch für einen gelungenen
    > Ausbruch aus dem Container. Die Isolierung der Systeme untereinander ist,
    > im Vergleich mit virtuellen Maschinen, viel schwächer.
    >
    > Somit verbietet sich, schon alleine aus Sicherheitssicht, der Betrieb von
    > Docker-Containern als produktiver Dienst.

    Lustig, du triffst Annahmen und fällst aufbauend darauf ein allgemeines Urteil.

    Was, wenn du als Softwarehersteller selbst den Docker Container erstellst und deine Softwareversionen einfach nur auf Kunden- oder interne Systeme deployen willst? Docker erspart mir dabei eine Menge Installations-, Konfigurations- und Validierungsaufwand. Dadurch kann ich schneller und kostengünstiger deployen. Der Kunde hat eine kürzere Ausfallszeit des Produktivsystems, was ihm zusätzlich Geld spart.

  11. Re: Docker ist zunächst ein Vertriebsformat

    Autor: GodsBoss 03.10.19 - 09:30

    > > > Wenn man den docker-daemon entsprechend konfiguriert, laufen die
    > > Container,
    > > > was ja letztendlich nur normale Linux-Prozesse sind, weiter. Ist genau
    > > ein
    > > > Eintrag in der "daemon.json" Datei.
    > > Wie was ? Wo ??? systemctl stop docker => tote Hose !
    > > Aber Sie dürfen mich gerne da eines besseren belehren.
    >
    > Da helfe ich gerne aus:
    > https: docs.docker.com config containers live-restore
    >
    > Mit Leerzeichen, wegen:
    > Zum Schutz vor Spam in diesem Forum wird Ihnen das Posten von Links erst
    > erlaubt, wenn Sie mindestens 50 Beiträge erstellt haben und 50 Tage
    > registriert sind.

    Link-Service: Keep containers alive during daemon downtime

    Reden ist Silber, Schweigen ist Gold, meine Ausführungen sind Platin.

  12. Re: Docker ist zunächst ein Vertriebsformat

    Autor: GodsBoss 03.10.19 - 09:50

    > > > ...nicht jede Anwendung macht in Docker Sinn !
    > > Welche nicht und warum nicht?
    > Infrastruktur Dienste, Anwendungen die einen kompletten Kernel benötigen,
    > Anwendungen die komplexe Netzwerkstrukturen vorweisen müssen.
    > Komplexe Postfix Server, AD, Virenscanner, ... gibt schon so einiges. Im
    > Prinzip alles was pro Monolyth geht und nicht in das Microservice Muster
    > passt.
    > Anwendungen die besser auf Hardware arbeitet...
    > > Wenn man Docker genau anguckt, ist das nur eine einfache Art seine
    > > Konfigurationen zu bündeln und von vornherein zu defnieren, was man
    > > zwingend für den Betrieb braucht. Ansonsten werden ja nur
    > Linux-Namespaces
    > > und Cgroups verwendet.
    > Bei einfachen Anwendungen wie zb. ein Tomcat oder sowas...ja.

    Dass es Sachen gibt, die man nicht in Docker laufen lässt, da stimme ich zu. Der Docker-Daemon auf dem Host bzw. der VM gehört z.B. dazu. Viele Anwendungen, die schwierig zu containerisieren sind, sind das aber aus historischen Gründen und/oder Inkompetenz. Ein Mail-Server, der bestimmte ungewöhnliche Kernel-Module benötigt? Nein, danke. Oder es ist nur ein Super-Spezialfeature, für das sowas nötig ist, dann ist fraglich, ob man das wirklich braucht oder nicht vielleicht sauberer lösen könnte.

    Mit der Anwendung, die "komplexe Netzwerkstrukturen" "vorweisen muss", kann ich nichts anfangen. Ist damit ein Konglomerat aus mehreren kommunizierenden Prozessen gemeint, die sich teilweise nicht erreichen dürfen/sollen (sonst könnte man sie ja alle in ein Netz packen)? Das wäre ja schon oberhalb der Container-Ebene.

    Projekte wie RancherOS zeigen, wie man mit relativ wenig nicht containerisierten Diensten auskommt.

    > > Docker oder auch podman sind halt Containerformate bzw.
    > > Steuerungsprogramme, um Programme klar definiert laufen zu lassen. D.h.
    > man
    > > kann sich von Anfang bzgl. CPU- und Memoryverbrauch, welche Ports müssen
    > > zwingend auf Hostebene rausgeführt werden, Healthchecks usw. Gedanken
    > > machen und diese auf eine einheitliche Art und Weise definieren. Dadurch
    > > kann man erreichen, dass DEV, QS und PROD wirkklich identisch laufen.
    > Das sollte man doch auch bei einer VM, einem physischen Server usw. tun !
    > Meine Erfahrung ist bei uns und bei vielen Kunden, dass das genau nicht
    > passiert.

    Wie ich schon in einem ganz anderen Beitrag schrieb: Wenn man was falsch macht, ist es danach falsch. Hat nichts mit Docker selbst zu tun.

    Reden ist Silber, Schweigen ist Gold, meine Ausführungen sind Platin.

  13. Re: Docker ist zunächst ein Vertriebsformat

    Autor: gadthrawn 03.10.19 - 10:55

    Ich persönlich halte Docker auch eher für eine Krankheit. Am Ende freuen sich Leute jeweils 50 Container zu haben bei denen 30 nen eigenen LAMPP Stack haben, 29 in veralteten Versionen und statt Konfiguration eines Systems und sauberer Pflege diesen eben Einstellungsaufwand die Dinger zusammen arbeiten zu lassen.
    Aber tolles Buzzword mit dem man eben saubere Dokumentation der Umgebung umgehen kann- der Müll der unsauber in Container gesteckt wird und mies gepflegt wird....

  14. Re: Docker ist zunächst ein Vertriebsformat

    Autor: Gamma Ray Burst 03.10.19 - 11:26

    Kurzfassung:

    Docker ist boese weil es den SysAdmins ihr Monopol wegnimmt.

  15. Re: Docker ist zunächst ein Vertriebsformat

    Autor: GodsBoss 03.10.19 - 14:07

    > Ich persönlich halte Docker auch eher für eine Krankheit. Am Ende freuen
    > sich Leute jeweils 50 Container zu haben bei denen 30 nen eigenen LAMPP
    > Stack haben, 29 in veralteten Versionen und statt Konfiguration eines
    > Systems und sauberer Pflege diesen eben Einstellungsaufwand die Dinger
    > zusammen arbeiten zu lassen.
    > Aber tolles Buzzword mit dem man eben saubere Dokumentation der Umgebung
    > umgehen kann- der Müll der unsauber in Container gesteckt wird und mies
    > gepflegt wird....

    Ja, das kann man so machen. Man kann natürlich auch eine einzige Umgebung, die einmal zum Laufen gebracht wurde, nicht mehr pflegen, weil jedes Update irgendwo zu Problemen führt. Man kann sich auch mehrere Umgebungen schaffen und die alle nicht pflegen.

    Wer seine Software bzw. Systeme nicht wartet, macht das eben nicht, das hat nur genau gar nichts mit Docker zu tun.

    Reden ist Silber, Schweigen ist Gold, meine Ausführungen sind Platin.

  16. Re: Docker ist zunächst ein Vertriebsformat

    Autor: uschatko 03.10.19 - 15:30

    Gamma Ray Burst schrieb:
    --------------------------------------------------------------------------------
    > Kurzfassung:
    >
    > Docker ist boese weil es den SysAdmins ihr Monopol wegnimmt.

    Kann nur ein Entwickler schreiben. Oder ein Buzzwordfetischist.

  17. Re: Docker ist zunächst ein Vertriebsformat

    Autor: gadthrawn 03.10.19 - 21:46

    GodsBoss schrieb:
    --------------------------------------------------------------------------------
    > > Ich persönlich halte Docker auch eher für eine Krankheit. Am Ende freuen
    > > sich Leute jeweils 50 Container zu haben bei denen 30 nen eigenen LAMPP
    > > Stack haben, 29 in veralteten Versionen und statt Konfiguration eines
    > > Systems und sauberer Pflege diesen eben Einstellungsaufwand die Dinger
    > > zusammen arbeiten zu lassen.
    > > Aber tolles Buzzword mit dem man eben saubere Dokumentation der Umgebung
    > > umgehen kann- der Müll der unsauber in Container gesteckt wird und mies
    > > gepflegt wird....
    >
    > Ja, das kann man so machen. Man kann natürlich auch eine einzige Umgebung,
    > die einmal zum Laufen gebracht wurde, nicht mehr pflegen, weil jedes Update
    > irgendwo zu Problemen führt. Man kann sich auch mehrere Umgebungen schaffen
    > und die alle nicht pflegen.
    >
    > Wer seine Software bzw. Systeme nicht wartet, macht das eben nicht, das hat
    > nur genau gar nichts mit Docker zu tun.


    Klar hat es das. Es soll ja explizit eine Lösung dafür sein, das es zu kompliziert sei eine gleiche Umgebung einzurichten. Also zu dokumentieren und replizieren was man gemacht hat. Docker ist ideal dafür geeignet schlampig zu sein und vereinfacht es für Schlamper.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. über SCHAAF PEEMÖLLER + PARTNER TOP EXECUTIVE CONSULTANTS, Nordrhein-Westfalen
  2. Blickle Räder+Rollen GmbH u. Co. KG, Rosenfeld
  3. Allianz Lebensversicherungs - AG, Stuttgart
  4. BARMER, Wuppertal

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 555,55€ (zzgl. Versandkosten)
  2. täglich neue Deals bei Alternate.de


Haben wir etwas übersehen?

E-Mail an news@golem.de


In eigener Sache: Golem.de sucht Produktmanager/Affiliate (m/w/d)
In eigener Sache
Golem.de sucht Produktmanager/Affiliate (m/w/d)

Attraktive Vergünstigungen für Abonnenten, spannende Deals für unsere IT-Profis, nerdiger Merchandise für Fans oder innovative Verkaufslösungen: Du willst maßgeschneiderte E-Commerce-Angebote für Golem.de entwickeln und umsetzen und dabei eigenverantwortlich und in unserem sympathischen Team arbeiten? Dann bewirb dich bei uns!

  1. In eigener Sache Aktiv werden für Golem.de
  2. Golem Akademie Von wegen rechtsfreier Raum!
  3. In eigener Sache Wie sich Unternehmen und Behörden für ITler attraktiv machen

Staupilot: Der Zulassungsstau löst sich langsam auf
Staupilot
Der Zulassungsstau löst sich langsam auf

Nach jahrelangen Verhandlungen soll es demnächst internationale Zulassungskriterien für hochautomatisierte Autos geben. Bei höheren Automatisierungsgraden strebt die Bundesregierung aber einen nationalen Alleingang an.
Ein Bericht von Friedhelm Greis

  1. San José Bosch und Daimler starten autonomen Taxidienst
  2. Autonomes Fahren Ermittler geben Testfahrerin Hauptschuld an Uber-Unfall
  3. Ermittlungsberichte Wie die Uber-Software den tödlichen Unfall begünstigte

Jobs: Spielebranche sucht Entwickler (m/w/d)
Jobs
Spielebranche sucht Entwickler (m/w/d)

Die Hälfte aller Gamer ist weiblich. An der Entwicklung von Spielen sind aber nach wie vor deutlich weniger Frauen beteiligt.
Von Daniel Ziegener

  1. Medizinsoftware Forscher finden "rassistische Vorurteile" in Algorithmus
  2. Mordhau Toxische Spieler und Filter für Frauenhasser

  1. Internetdienste: Ermittler sollen leichter an Passwörter kommen
    Internetdienste
    Ermittler sollen leichter an Passwörter kommen

    Die Bundesregierung will Ermittlern den Zugriff auf Nutzerdaten bei Internetdiensten wie Mail-Anbieter, Foren oder sozialen Medien erleichtern. Die IT-Branche und die Opposition sehen einen "Albtraum für die IT-Sicherheit".

  2. Netflix und Youtube: EU-Kommissarin warnt vor hohem Energiebedarf des Internets
    Netflix und Youtube
    EU-Kommissarin warnt vor hohem Energiebedarf des Internets

    Youtube, Netflix und Prime Video sind die Dienste, die besonders viel Internetverkehr generieren und damit auch einen besonders hohen Energiebedarf nach sich ziehen. Das sieht die Vizepräsidentin der EU-Kommission kritisch.

  3. Galaxy Fold: Samsung dementiert eigene Verkaufszahlen
    Galaxy Fold
    Samsung dementiert eigene Verkaufszahlen

    Samsung widerspricht sich selbst. Das Unternehmen bestreitet die Angabe eines ranghohen Samsung-Managers, der verkündet hatte, weltweit seien bereits eine Million Galaxy Fold verkauft worden. Vieles bleibt ungeklärt.


  1. 12:25

  2. 12:10

  3. 11:43

  4. 11:15

  5. 10:45

  6. 14:08

  7. 13:22

  8. 12:39