Moin,
Ich wollte mal fragen wie ihr Docker benutzt. Bisher habe ich alle Dienste in VMs laufen aber da der RAM langsam knapp wird und die Write Amplification recht hoch ist (ca 20x) würde ich gerne einige Dienste in Container auslagern.
Ich fände eine GUI eigentlich ganz nett um Docker-Container zu verwalten, aber beim Googlen bin ich da immer wieder nur auf Portainer und Rancher gestoßen und die nutzen dann wieder gleich Kubernetes und das ist ziemlich overkill, da ich ein SingleNode-Setup will und kein HA brauche. Ich habe mal testweise Rancher installiert aber das schreibt im Leerlauf schon alleine um die 200kb/s was dann mit Write Amplification schon 345 GB pro Tag wären.
Und ich habe meine Dienste in zwei Netzen (Intranet und DMZ) und manche Container müssen im einen und manche im anderen Netz sein. Bei anderen Leuten habe ich gesehen, dass die dazu zwei Rancher-Setups aufsetzen und denen dann jeweils eine IP aus der DMZ oder dem Intranet zuweisen. Dann wären das schon unnötige 690 GB die am Tag geschrieben werden und den SSDs nicht gut tun.
Weiß da jemand ob man irgendwie mit einem Docker-Setup auch Container in verschiedenen Netzen betreiben kann?
Und dann ist die Frage wie es da mit der Sicherheit ist.
Alle Dienste die ich auch im Internet bereitstelle würde ich gerne in VMs lassen, dass da im Falle eines Hacks das System wenigstens gut isoliert ist und sich nicht auf Proxmox auswirkt. LXC und Docker sollen ja schon relativ sicher sein, aber eine VM isoliert wohl doch noch einmal um einiges besser.
Was ich aber gut in Container auslagern könnte wären alle Dienste die ich nur im Heimnetz betreibe. Das wären Zabbix, Graylog, Pi-Hole, ComiXed, PS3NetServ, MySQL DB für digiKam, Guacamole und Heimdall. Da ist dann aber wieder die Frage ob ich nach Möglichkeit Docker-Container nutzen sollte (gibt es für alle) oder ob ein Turnkey-Core-LXC für jeden Service erstelle und die Sachen da dann einfach direkt installiere ohne Docker. Ich bin da immer noch etwas skeptisch was Docker angeht. Das klingt alles total kompliziert mit Docker, sobald man da irgendwie etwas individualisieren möchte. Graylog und Zabbix müsste ich z.B. mit Templates und Plugins erst anpassen, da ich mit denen in der Grundkonfiguration nichts anfangen kann. Und wenn ich da eh erst per apt etliches an Programmen nachinstallieren und etliche Dateien in allen möglichen Ordnern anlegen oder ändern muss, dann kann ich auch gleich einfach alles ohne Docker in einem LXC installieren. Oder übersehe ich da was?
Ein weiteres Problem was mich etwas abschreckt ist die Sicherheit, wenn man einen Docker-Container nutzt und dann einfach vertraut, dass da alles so läuft wie es soll.
Beim Googlen bin ich z.B. darauf gestoßen, dass da der PS3NetServ-Docker-Container Anfang des Jahres in für Synology (oder wars QNAP, kA) verboten wurde, da wohl der Account gehackt wurde und der Docker-Container dann Mining-Software hat mitinstallieren lassen.
Und wenn ich Docker im LXC laufen lasse, dann ist noch die Frage ob ich da lieber nur einen LXC-Container für alle Docker Container anlegen soll (weniger ungenutzer RAM der blockiert wird tippe ich mal) oder ob für jeden Docker-Container einen eigenen LXC-Container machen soll, dass die Dienste noch einmal extra gekapselt sind.
Wie macht ihr das bei euch?
Ich wollte mal fragen wie ihr Docker benutzt. Bisher habe ich alle Dienste in VMs laufen aber da der RAM langsam knapp wird und die Write Amplification recht hoch ist (ca 20x) würde ich gerne einige Dienste in Container auslagern.
Ich fände eine GUI eigentlich ganz nett um Docker-Container zu verwalten, aber beim Googlen bin ich da immer wieder nur auf Portainer und Rancher gestoßen und die nutzen dann wieder gleich Kubernetes und das ist ziemlich overkill, da ich ein SingleNode-Setup will und kein HA brauche. Ich habe mal testweise Rancher installiert aber das schreibt im Leerlauf schon alleine um die 200kb/s was dann mit Write Amplification schon 345 GB pro Tag wären.
Und ich habe meine Dienste in zwei Netzen (Intranet und DMZ) und manche Container müssen im einen und manche im anderen Netz sein. Bei anderen Leuten habe ich gesehen, dass die dazu zwei Rancher-Setups aufsetzen und denen dann jeweils eine IP aus der DMZ oder dem Intranet zuweisen. Dann wären das schon unnötige 690 GB die am Tag geschrieben werden und den SSDs nicht gut tun.
Weiß da jemand ob man irgendwie mit einem Docker-Setup auch Container in verschiedenen Netzen betreiben kann?
Und dann ist die Frage wie es da mit der Sicherheit ist.
Alle Dienste die ich auch im Internet bereitstelle würde ich gerne in VMs lassen, dass da im Falle eines Hacks das System wenigstens gut isoliert ist und sich nicht auf Proxmox auswirkt. LXC und Docker sollen ja schon relativ sicher sein, aber eine VM isoliert wohl doch noch einmal um einiges besser.
Was ich aber gut in Container auslagern könnte wären alle Dienste die ich nur im Heimnetz betreibe. Das wären Zabbix, Graylog, Pi-Hole, ComiXed, PS3NetServ, MySQL DB für digiKam, Guacamole und Heimdall. Da ist dann aber wieder die Frage ob ich nach Möglichkeit Docker-Container nutzen sollte (gibt es für alle) oder ob ein Turnkey-Core-LXC für jeden Service erstelle und die Sachen da dann einfach direkt installiere ohne Docker. Ich bin da immer noch etwas skeptisch was Docker angeht. Das klingt alles total kompliziert mit Docker, sobald man da irgendwie etwas individualisieren möchte. Graylog und Zabbix müsste ich z.B. mit Templates und Plugins erst anpassen, da ich mit denen in der Grundkonfiguration nichts anfangen kann. Und wenn ich da eh erst per apt etliches an Programmen nachinstallieren und etliche Dateien in allen möglichen Ordnern anlegen oder ändern muss, dann kann ich auch gleich einfach alles ohne Docker in einem LXC installieren. Oder übersehe ich da was?
Ein weiteres Problem was mich etwas abschreckt ist die Sicherheit, wenn man einen Docker-Container nutzt und dann einfach vertraut, dass da alles so läuft wie es soll.
Beim Googlen bin ich z.B. darauf gestoßen, dass da der PS3NetServ-Docker-Container Anfang des Jahres in für Synology (oder wars QNAP, kA) verboten wurde, da wohl der Account gehackt wurde und der Docker-Container dann Mining-Software hat mitinstallieren lassen.
Und wenn ich Docker im LXC laufen lasse, dann ist noch die Frage ob ich da lieber nur einen LXC-Container für alle Docker Container anlegen soll (weniger ungenutzer RAM der blockiert wird tippe ich mal) oder ob für jeden Docker-Container einen eigenen LXC-Container machen soll, dass die Dienste noch einmal extra gekapselt sind.
Wie macht ihr das bei euch?
