Docker à toute les
sauces ... ce n'est pas adapté à la quasi majorité des
productions IT des entreprises.
Pour la simple et bonne
raison c'est qu'on voit des clients utiliser des images docker
comme des VM, ils n'intègrent pas le côté éphémère d'une image
docker. Il faut en créer une nouvelle, migrer et détruire
l'ancienne pour faire les maj et ça leur passe des km au dessus
de la tête.
En audit sécurité on
arrive à des cas d'école croustillants, un gros serveur dédié
avec tout en docker dessus, la prod, prep, rec, dev du site de
prod, la compta, le crm, le partage de fichier, le mattermost,
... en ayant accès à un docker on a réussit à se connecter à
tous les autres, quand on leur a sorti des infos de leur partage
de fichier ils étaient choqués.
Docker en production
c'est fait pour ceux qui font du vrai déploiement continu avec
test unitaires obligatoires, où les images sont reconstruites
tous les 3 à 5 jours max, mieux c'est quand on maintient ses
propres images car l'image d'un dev tout seul qui part en
vacances ou se plante en moto et est arrêté 6 mois ou laisse
tomber le projet car pas le temps et tout le monde l'utilise en
prod en pensant que c'est à jour c'est du déjà vu.
Docker les seuls
personnes qui font cela sérieusement c'est ceux qui font des
clusters par env et par type d'instances. Une DMZ = un cluster
de prod pour tel service (DB ou web ou ...). Là oui c'est
sérieux et arriver à entrer sur un docker est déjà fortement
improbable par la configuration réseau autour.
Bref Docker c'est
génial sur son poste ou sur une dev / rec collective mais en
prod vu le manque de temps / moyens de la quasi globalité des
pros, autant mettre une VM ou un dédié géré avec Ansible ou à la
main pour les plus artisants, ils ont plus de supervision et de
remontée et savent faire un upgrade de l'os de temps en temps.
Le 14/12/2018 à 01:56, Florian Blanc a
écrit :
Bonjour
Olivier,
TL;DR: Si TFTP est un problème parce que le WAN est très
morcelé
et cloisonné, alors peut-être que preseed sera plus adapté à
votre environnement. Mais n'ayant pas travaillé avec
preseed,
je ne me rend pas compte de la charge de travail qu'il
représente, en terme de déploiement et maintenance.
Olivier, au 2018-12-11 :
> 1. Je trouve preseed extrêmement difficile à maîtriser.
FAI
> simplifie-t-il les choses à cet égard ?
Étant tombé dans FAI étant petit, je n'ai pas pris le temps de
m'intéresser à preseed et aurai du mal à répondre. N'ayant
que
survolé la page de Wiki, je serais à côté de la plaque si je
me
risquait à répondre :
https://wiki.debian.org/DebianInstaller/Preseed
Le déploiement initial de FAI demande beaucoup de travail
avant
d'arriver à la première installation selon le modèle voulu.
Une
fois que le système roule, l'ajout de nouvelles configurations
se fait sans trop de difficultés, pour peu que le résultat
voulu
soit bien défini par le demandeur, et l'ajout de nouvelles
machines au parc existant est trivial.
Il est éventuellement possible de maintenir la configuration
des
machines avec fai-update, mais ça sous-entend de respecter le
caractère idempotent des scripts (si c'est déjà fait, le
résultat doit être le même), ce qui peut rapidement ne plus
être
le cas, au fur et à mesure que le temps passe. Une solution
comme Ansible serait préférable pour maintenir la
configuration
après installation.
> 2. Est-il exact de penser que FAI est adapté une
installation
> sur un réseau local, pas sur un WAN, à cause de
l'utilisation
> de TFTP ou bien est-ce inexact ?
S'il n'y a que deux ou trois réseaux à gérer, il y a moyen de
se
rattraper avec des relais. Mais si le WAN est très morcelé,
cette configuration devient ingérable. En effet il faudra
prévoir un serveur TFTP local par réseau, pour distribuer les
noyaux, initrd et options de démarrage adéquates. L'export du
NFS root aura peut-être besoin d'être revus, ainsi que les
règles de pare feux. Avoir un réseau dédié à l'administration
peut aider dans ce cas.
Sinon, il est aussi possible de se rattraper avec fai-cd, pour
produire une ISO à partir de la configuration existante, à
coller sur une clé USB sur laquelle démarrer, et qui va
configurer la machine proprement, sans avoir besoin du moindre
réseau. L'ajout de nouvelles configurations au serveur FAI va
nécessiter de régénérer les clés, ce qui rend la solution
moins
souple. Peut-être qu'à ce stade preseed sera plus simple que
de
gérer la quasi-totalité du parc avec fai-cd.
Si à cause de la limitation inhérente à TFTP, vous
considéreriez
fai-cd pour l'essentiel de votre parc, alors /peut-être/ que
votre temps serait mieux investit à l'étude de preseed.
Si toutefois FAI vous intéresse toujours, la liste de
diffusion
peut être d'un grand secours, quand vous allez buter sur des
écueils lors du déploiement :
http://fai-project.org/mailinglist/
https://lists.uni-koeln.de/pipermail/linux-fai/
> PS: Désolé pour le temps mis pour réagir aux messages
mais
> j'ai été happé par d'autres priorités.
Ce n'est pas bien grave, on a tout notre temps sur la liste
des
utilisateurs de Debian. :^)
Amicalement,
--
Étienne Mollier <etienne.mollier@mailoo.org>
|