Dotaz: Docker z uživatelského pohledu

Tak nevím, jestli nevyvolám nějaký flame, ale zkusím se zaptat. Zatím jsem Docker nepoužíval a klasicky, co jsem potřeboval jsem nainstaloval z repozitářů. Ale čím dál více potkávám rady a návody, které místo klasické cesty z repozitáře nebo při nejhorším kompilační cestou ./configure;make;make install doporučují zvolit obraz do Dockeru (v současnosti jsou to Home Assistant a Transmission pro RPi). A než se s tím začnu zabývat, tak bych rád porozuměl proč? Přečetl jsem na diskusích, jak je to fajn pro vývojáře, ale zatím nerozumím tamu jaké plusy a mínusy proti normální prací s repozitářem to nese pro uživatele systému (balíku, programu). Díky.

Pokud vývojář neudržuje pro aplikaci balíčky pro všemožné distribuce a současně to nedělá ani žádný distribuční maintainer, nic jiného ti nemusí zbývat.

Současně pokud je aplikace v kontejnerech udělaná správně, poběží ti to zkrátka na každém systému, kde bude dané container runtime podporované. Nezávisle na tom, jaké balíčky používá. Vývojář to napíše jednou, v kontejnerizaci, napíše pro to jeden návod a distribuuje jedním kanálem (např dockerhub). Uživatel má jeden distribuční kanál, jeden postup zprovoznění.

Reálně samozřejmě všichni používají X způsobů jak aplikaci získat, a vzniká u toho X problémů spojených s daným způsobem distribuce (všichni třeba "milujeme" snapy).

TLDR:

1. Pokud je aplikace dostupná v balíčcích ve verzi, která umí to co potřebuješ, používej nadále balíčky.

2. Pokud není splněn bod 1., kontejnery jsou jedním z možných řešení.

Teoreticky je to dobrá vec. Prakticky tie obrazy lepí dohromady kde-kto z obrazov, ktoré získal bohviekde. Bezpečnosť tým trpí:

• Pozor na obrazy pro Docker. Třetina z nich obsahuje závažné chyby
• Docker Hub po roce odstranil image těžící Monero, měly pět milonů stažení
• Docker Hub úspěšně napaden, unikla data 190 000 uživatelů

1) Docker není jen o jednom programu. Distribuuje se tak třeba celé řešení. Příkladem budiž třeba Bitwarden. Je to směs tuny aplikací, která lze nasadit relativně na jeden klik.
2) Kromě jednoduchosti nasazení je to i o jejich oddělení, což by mělo značně zvýšit bezpečnost. Zajímavým příkladem je třeba projekt devilbox.org.
3) Tím, že to je kontejner, tak lze provozovat různé verze programů vedle sebe, jeden nad knihovnami z Debianu 5, druhý nad knihovnami z Debianu 11 atd.
4) Pokud postavíš aplikaci nad dockerem a hodíš do Kubernetu, tak ten za tebe vyřeší spoustu věcí. Bude ti hlídat HA, bude ti dělat dynamické horizontální škálování podle zatížení (= když výkon nebude stačit, spustí ti další pod s dalšími zdroji) atd.
5) Autor dokáže díky dockeru dostat svojí aplikaci všude (nemusí řešit balíčkování ani kompatibilitu s jinými verzemi knihoven).

Ptát se na rozdíl mezi balíčkem a dockerem je tedy spíše jen otázka při prvním pohledu na docker. Ve skutečnosti toho nabízí hodně. To, že ho někdo využívá jen pro své zjednodušení (= neřešit balíčkovací systémy apod.) je jeden z těch méně důležitých způsobů využití, který zbytečně přenáší overhead ze strany dodavatele na hw spotřebitele.

Jinak to vypadá, že všechno postupně směřuje ke kontejnerizaci. Dokonce to vypadá, že RedHat částečně zahodí svůj RHEV a vše do budoucna pojede na dockeru, včetně virtualizace. Tj. OpenShift Virtualization (Container Platform), kde je první vrstvou kontejnerizace a v rámci ní až virtualizace. Využívají projektu KubeVirt.
Zdar Max