xc - OCI container ("docker")

[double-p]

Moin,

ich poste sonst eher nicht in FreeBSD, aber will auch nicht den Lieblings-BSD Thread zerfleddern.
Dort ergab sich ein Thema mit etwa "ohne Docker geht garnix weiter"

Michael Chiu hat sich dem Thema angenommen und ein Tool (in Rust dazu) geschrieben, mit dem
man OCI compatible container images bauen kann, diese jailbasiert starten kann und ... je nach
Umsetzung man auch Linux-OCIs pullen/laufen lassen kann.

Die Slides sind noch nicht online, aber das Repository: https://github.com/michael-yuji/xc

Man sollte es als "pre-ALPHA" o.ae. ansehen, aber ein 'xc pull mariadb:latest' (und xc run..) mit
download von hub.docker.io (also das linux image) funktioniert schon.

Sobald die Slides/YT verfuegbar sind, melde ich mich nochmal; einiges davon steht aber schon
hier: https://hackmd.io/7BIT_khIRQyPAe4EdiigHg

happy containering...

 

[bsd4me]

Klingt spannend. Ein gutes Hilfsmittel. Nur bei dem Thema Docker, bekomme ich immer abstehende Nackenhaare - nicht weil es schlecht ist, sondern weil es als DIE Lösung propagiert wird. Contaienr und VMs sind ein wunderbare Hilfe, aber keine Lösung für schlecht gewartete Software. Das ist wie ein Auto kaufen, das nicht fährt, man dieses auf einen Lastwagen packt und damit dann durch die Gegend fährt. VG Norbert - PS: Bin auf das Tool gespannt :-)

 

[marmorkuchen]

Klingt spannend. Ein gutes Hilfsmittel. Nur bei dem Thema Docker, bekomme ich immer abstehende Nackenhaare - nicht weil es schlecht ist, sondern weil es als DIE Lösung propagiert wird. Contaienr und VMs sind ein wunderbare Hilfe, aber keine Lösung für schlecht gewartete Software. Das ist wie ein Auto kaufen, das nicht fährt, man dieses auf einen Lastwagen packt und damit dann durch die Gegend fährt. VG Norbert - PS: Bin auf das Tool gespannt :-)

Ich bin auch immer wieder entzückt, wenn der CVE-Scan von neuen Software-Images blinkt wie nen Weihnachtsbaum

Das obige Projekt klingt aber trotzdem interessant.

 

[double-p]

es gibt nicht DAS Problem, also auch nicht DIE Loesung. Die Paradigma-Diskussion kann man sich aber sparen.

Es geht darum eine Option zu ermoeglichen, nach der viel gefragt wird.

 

[bsd4me]

es gibt nicht DAS Problem, also auch nicht DIE Loesung. Die Paradigma-Diskussion kann man sich aber sparen.

sag ich auch und genauso so ist es :-)

 

[Andy_m4]

So als Ergänzung zum Thema Container:

OCI-like: runj
Und eher ein FreeBSD-Container-Ansatz: BastilleBSD

 

[medV2]

Klingt spannend. Ein gutes Hilfsmittel. Nur bei dem Thema Docker, bekomme ich immer abstehende Nackenhaare - nicht weil es schlecht ist, sondern weil es als DIE Lösung propagiert wird. Contaienr und VMs sind ein wunderbare Hilfe, aber keine Lösung für schlecht gewartete Software. Das ist wie ein Auto kaufen, das nicht fährt, man dieses auf einen Lastwagen packt und damit dann durch die Gegend fährt. VG Norbert - PS: Bin auf das Tool gespannt :-)

Niemand propagiert Container als DIE Lösung und schon gar nicht für schlecht gewartete Software (auch wenn es da durchaus helfen kann). Container werden propagiert weil Skalierbar, Wiederverwendbar und gut Wartbar.

Ich bin auch immer wieder entzückt, wenn der CVE-Scan von neuen Software-Images blinkt wie nen Weihnachtsbaum

Das obige Projekt klingt aber trotzdem interessant.

Ein Admin der sich nicht um seine Containerimages kümmert, würde sich auch nicht um seine klassisch verwalteten Systeme kümmern.

 

[marmorkuchen]

Niemand propagiert Container als DIE Lösung und schon gar nicht für schlecht gewartete Software (auch wenn es da durchaus helfen kann). Container werden propagiert weil Skalierbar, Wiederverwendbar und gut Wartbar.


Ein Admin der sich nicht um seine Containerimages kümmert, würde sich auch nicht um seine klassisch verwalteten Systeme kümmern.

In der Regel weisen wir solche Images zurück und lassen sie fixen. Ausnahmen müssen wohl begründet werden.
Sonst könnten wir uns den CVE-Scan ja auch sparen

 

[medV2]

Ich nutze überhaupt keine fertigen Images in Produktivumgebungen und baue alles selbst. Docker / Compose Files werden analsysiert bevor sie übernommen werden. Alle Firmen wo ich diesbezüglich Einblick habe machen es ebenso.

 

[marmorkuchen]

Ich nutze überhaupt keine fertigen Images in Produktivumgebungen und baue alles selbst. Docker / Compose Files werden analsysiert bevor sie übernommen werden. Alle Firmen wo ich diesbezüglich Einblick habe machen es ebenso.

Das Problem in meinem Umfeld ist halt, dass der Hersteller der Software diese als Images liefert. Hier ist die Zeit der War-Archives leider vorbei… Das ist jetzt aber schon schwer OT

 

[double-p]

Bitte von der allgemeinen pro/contra container Diskussion absehen, es geht hier um konkretes Tool(ing).

Bei runj sticht mir der containerd-shim ins Auge; und auch wenn Ed+Dave da mit bei sind, ist es relativ ruhig geworden?
Bastille ist schon vier Jahre unterwegs und ich hatte noch nichtmal davon gehoert und zu linux-workloads habe ich direkt nicht gesehen?

 

[Andy_m4]

Ich bin ja einer dieser Ewiggestrigen, die Jails auch noch so ziemlich direkt verwendet. Ohne irgendwelchen großartigen Management- oder Container-Layer drüber.
Ich finde es ja manchmal ganz spannend, was da so an Tools im Container-Bereich nötig ist, wo es eigentlich auch ein simpler Shell-3-Zeiler tut. Vor allem weil es auch mit der UNIX-Idee bricht, das man halt einfache und allgemeine Tools hat die man dann für seine spezifische Aufgabe kombiniert.
Ich versteh natürlich auch, warum es diese Tools gibt. Deren Zweck ist es eine einheitliche Schnittstelle zu schaffen. Allerdings zieht man sich damit auch Komplexität mit rein.

Und wo wir gerade bei "einheitlich" sind und so. Solche Standards wie OCI klingen alle ganz nett. Das führt dazu, das sich alle Implementationen gleich bedienen lassen. So ein einheitlicher Standard führt aber halt auch dazu, das man einen gemeinsamen Nenner hat der spezifische Stärken dann gar nicht mehr zur Geltung kommen lässt. Der auch Zusatzfeatures erschwert, weil die im Zweifel dann liegen gelassen werden, weils halt kein Standard ist.

Ich will hier nichts schlechtreden oder so. Worauf ich eher hinweisen will ist, das alles so - wie hier schon gesagt - seine Stärken aber auch Schwächen hat.

Niemand propagiert Container als DIE Lösung

Also wenn man jetzt z.B. mal https://www.docker.com/ besucht, hat man nicht den Eindruck als stellten die Vor- und Nachteile ausgewogen gegenüber. :-)
Also ich finde schon das gerade bei "Hypes" das vielleicht nicht immer so direkt gesagt wird, aber immer mitschwingt, als wäre es die beste Erfindung sein geschnitten Brot und jeder der es anders macht, dem spricht man erstmal ab, dafür gute Gründe zu haben. Der ist dann halt Fortschrittsverweigerer der bloß so doof ist die Genialität zu begreifen usw.

 

[double-p]

Keiner bewirbt ein "Produkt" mit dessen Schwaechen - das trifft auch auf "3-Zeiler" zu. Auch solche Vergleichsmatrizen ("objektiv") sind immer geframed.
Haben wir es dann endlich?

xc bildet OCI ab - und packt eigenes (Stichwort ZFS) on-top. Waere alles standard-ONLY, erwaechst sofort der naechste "Standard" (XKCD insert..).

 

[Andy_m4]

Keiner bewirbt ein "Produkt" mit dessen Schwaechen

Ja. Schon klar. Und ja. Das Beispiel war sicherlich auch populistisch. Nichtsdestotrotz ist es immer das, was bei Hypes so allgemein mitschwingt (haben wir ja auch bei anderen Sachen).
Was eben dazu führt, warum dann solche Diskussionen gerne mal emotional werden und eher "ideologisch" getrieben, statt nüchtern draufzugucken. Und wenn man das akzeptiert und weiß, dann kann man auch dementsprechend drauf einwirken damit es halt nicht abdriftet.

xc bildet OCI ab - und packt eigenes (Stichwort ZFS) on-top

Ich habe gar nicht behauptet, das OCI-Implementierungen nichts über den Standard hinaus on-top packen. Ich habe lediglich darauf hingewiesen, das einen Standard zu haben eben gewisse Dinge mitsich bringt. Es gibt dabei eine Vorteilsseite aber auch eine Nachteilsseite.
Man kann sogar ein verbindendes Element finden. Indem man einfach sagt: Mit dem Standard deckt man einfach das ab, was sich bewährt hat und man sowieso so haben will weil das best-practise ist. Zusatzfeatures nimmt man dennoch rein als Innovationstreiber und wenn die sich bewähren, packt man die über kurz oder lang mit in den Standard.
Geht natürlich nicht bei jedem Feature. Aber bei einigen schon.

 

[medV2]

Also wenn man jetzt z.B. mal https://www.docker.com/ besucht, hat man nicht den Eindruck als stellten die Vor- und Nachteile ausgewogen gegenüber. :-)
Also ich finde schon das gerade bei "Hypes" das vielleicht nicht immer so direkt gesagt wird, aber immer mitschwingt, als wäre es die beste Erfindung sein geschnitten Brot und jeder der es anders macht, dem spricht man erstmal ab, dafür gute Gründe zu haben. Der ist dann halt Fortschrittsverweigerer der bloß so doof ist die Genialität zu begreifen usw.

Das ist die Webseite eines Unternehmens, die ihr Produkt bewerben. Macht .. naja.. so ziemlich jedes Unternehmen mit ihren Produkten so? Guck mal auf Oracle oder SAP Aber da nimmt das ja auch keiner jetzt ernsthaft an, dass man ohne Oracle und SAP nicht kann und die alle deine Probleme lösen.

 

[Andy_m4]

Macht .. naja.. so ziemlich jedes Unternehmen mit ihren Produkten so?

Hab ja bereits was dazu gesagt.
Wobei mich ja sowas immer eher abschreckt. Also wenn gar nichts zu Nachteilen oder Problemen gesagt wird, dann denk ich nicht "Oh. Ein durch und durch gutes und fehlerfreies Produkt", sondern dann denk ich: "Der will mir was verschweigen. Will ich mit jemanden zusammenarbeiten der unehrlich zu mir ist?"
Mir ist aber auch klar, das ich damit zu einer Minderheit gehöre. Wobei ich mir nicht sicher bin, ob das nicht eher marketing-getrieben ist. Im Open-Source-Bereich gibt es ja durchaus da auch differenziertere Betrachtung (sieht man ja selbst an popligen Manpages, wo es auch gern mal ein Kapitel bugs, limitations und caveats gibt) die aber trotzdem erfolgreich ist.

Sicherlich liegt einiges auch daran, das der Kunde ja auch gern belogen werden möchte. Weil er sich dann im Zweifel immer damit rechtfertigen kann, von nix gewusst zu haben. :-)

Ich denk mal, es wären allen durchaus geholfen wenn wir mehr eine Kultur der Transparenz hätten, anstatt irgendwie dieses Marketing-dominierte Gelaber. Denn der IST-Zustand ist ja, das sich alle irgendwie belügen und auch wissen das es so ist, aber trotzdem das irgendwie fortführen. Wirkt jetzt nicht sonderlich clever. Ich hab da eher nicht dem Impuls zu sagen "Iss halt so", sondern auf den Missstand hinzuweisen und nachzudenken darüber, wie es besser sein könnte.

 

[CommanderZed]

Hab ja bereits was dazu gesagt.
Wobei mich ja sowas immer eher abschreckt. Also wenn gar nichts zu Nachteilen oder Problemen gesagt wird, dann denk ich nicht "Oh. Ein durch und durch gutes und fehlerfreies Produkt", sondern dann denk ich: "Der will mir was verschweigen. Will ich mit jemanden zusammenarbeiten der unehrlich zu mir ist?"
Mir ist aber auch klar, das ich damit zu einer Minderheit gehöre. Wobei ich mir nicht sicher bin, ob das nicht eher marketing-getrieben ist. Im Open-Source-Bereich gibt es ja durchaus da auch differenziertere Betrachtung (sieht man ja selbst an popligen Manpages, wo es auch gern mal ein Kapitel bugs, limitations und caveats gibt) die aber trotzdem erfolgreich ist.

Sicherlich liegt einiges auch daran, das der Kunde ja auch gern belogen werden möchte. Weil er sich dann im Zweifel immer damit rechtfertigen kann, von nix gewusst zu haben. :-)

Ich denk mal, es wären allen durchaus geholfen wenn wir mehr eine Kultur der Transparenz hätten, anstatt irgendwie dieses Marketing-dominierte Gelaber. Denn der IST-Zustand ist ja, das sich alle irgendwie belügen und auch wissen das es so ist, aber trotzdem das irgendwie fortführen. Wirkt jetzt nicht sonderlich clever. Ich hab da eher nicht dem Impuls zu sagen "Iss halt so", sondern auf den Missstand hinzuweisen und nachzudenken darüber, wie es besser sein könnte.

Naja, bei VW liest man auch nicht wie viel preiswerter und robuster mein Dacia ist - oder wie kacke die aktuelle Touch-Bedienoberfläche im Golf ist

Solche Webseiten sind ja für allgemein und nicht unbedingt für Techies wie uns.

 

[Andy_m4]

Solche Webseiten sind ja für allgemein und nicht unbedingt für Techies wie uns.

Ja. Wie gesagt. Es geht dabei nicht unbedingt um Techies oder nicht, sondern um Ehrlichkeit und Transparenz und das das guttäte (jetzt auch mal jenseits von Docker betrachtet und ob das jetzt ein gutes Beispiel ist oder nicht).

Und wie gesagt. Da kann man sagen: Ist halt so. Aber das ist doch eigentlich kein Zustand, den man irgendwie gut finden kann. Und darauf kann man dann auch ruhig mal hinweisen.

Abgesehen davon würde das Argument bei Docker nicht unbedingt ziehen. Docker ist ja jetzt nichts, was sich jetzt der vielzitierte Otto-Normal-Nutzer installiert. Und wenn (wie bei Home-NAS-Systemen), dann eher als Nutzer der sich fertige Sachen zieht und eher nicht als jemand, der sich auf deren Homepage über die Technologie informiert.

 

[CommanderZed]

Abgesehen davon würde das Argument bei Docker nicht unbedingt ziehen. Docker ist ja jetzt nichts, was sich jetzt der vielzitierte Otto-Normal-Nutzer installiert. Und wenn (wie bei Home-NAS-Systemen), dann eher als Nutzer der sich fertige Sachen zieht und eher nicht als jemand, der sich auf deren Homepage über die Technologie informiert.

Das sehe ich anders!

Entscheider, gerade auch im KMU, manchmal aber auch in größeren Firmen, sind oft sehr weit weg von den Techies, lassen sich auch gerne von ihnen sympatischen Einzelpersonen, vereinzelnt auch welchen aus Beratungsunternehmen oder Verkäufern etc beraten oder schauen sich die Webseiten von ihnen vorgeschlagenenen Technologien erstmal an. Diese vorschläge müssen dann auch nicht zwangsweise von den Techies kommen.

 

[Yamagi]

Und nun mal wirklich zurück zum Thema. Das ist xc in und nicht die zehnte Grundsatzdiskussion pro und contra Container. Wenn ihr das Containerthems nochmal durchdiskutieren wollt, macht bitte einen eigenen Thread auf

 

[bofh_hannibal]

Coole Sache das sich im bereich "Container" was tut. Die FreeBSD Jail Technik pflegt auch kaum jemand weiter ?
Muss XC mal testen.

Fehlt nur noch Kubelet was man nutzen kann mit XC um auch mal ein FreeBSD host im K8s zu haben.

Release FreeBSD version of v1.28.1 · tnorlin/kubernetes

v1.28.1-freebsd

github.com

 

[Andy_m4]

Die FreeBSD Jail Technik pflegt auch kaum jemand weiter ?

Das kann man so nicht sagen.
Wobei man an der Stelle vielleicht noch mal erwähnen sollte, das Jails man ja ohnehin nicht mit Containern gleichsetzen kann. Das ist eine Technik die auf niederer Ebene ansetzt und mit Hilfe derer man Container implementieren kann. Es ist also eher mit dem vergleichbar, was man unter Linux mit LXC hat als mit Docker.
Deshalb gibt es ja auch darauf aufsetzende Container-Tools wie BastilleBSD oder auch xc.

 

[bsd4me]

etwas ähnliches (allerdings nicht rein "container zentriert") ist wohl schon in der mache:
CBSD - https://www.bsdstore.ru/en/about.html
und darauf aufbauen:
ClonOS - https://clonos.convectix.com
VG Norbert

 

[double-p]

Sehr spannend.. aber andere "Arena"

 

[Andy_m4]

CBSD

Ja. Wobei ich CBSD eher so mit libvirt-Tools vergleichen würde. Und ClonOS so eher Richtung Proxmox VE.
Was ich eher so im Container-Bereich sehen würde ist sowas wie iocage.
All diese Projekte zeigen zwar, das es durchaus was gibt für FreeBSD, aber die sind halt nicht wirklich OCI-angelehnt. Da scheint es derzeit wohl tatsächlich nur runj und xc als zarte Pflänzchen in die Richtung zu geben.