expertenaustausch > linux.debian.user.german

Mechtilde Stehmann (22.02.2020, 11:10)
Hallo zusammen,

für den privaten Gebrauch möchte ich das Programm

auf einem Debian-Server (Buster) installieren.

Dieses Programm läuft zur Zeit nur unter Stretch. Wesentlich sind dafür
wohl php7.0 und nodejs 8.x

Auf dieses Programm soll auch per VPN zugegriffen werden. Für den Server
selber ist das VPN schon konfiguriert.

Ich habe dabei an eine Virtualisierungslösung gedacht. Als erstes ist
mir dazu Virtualbox eingefallen. Das hat aber einen hohen Overhead.

Daher suche ich etwas leichtgewichtigeres. Dabei bin ich auch auf LXC
gestoßen.

Gibt es vielleicht noch andere Ideen. wie habt Ihr sowas umgesetzt.

Viele Grüße
Harald Weidner (22.02.2020, 12:10)
Hallo Mechtilde,

[..]
> Daher suche ich etwas leichtgewichtigeres. Dabei bin ich auch auf LXC
> gestoßen.
> Gibt es vielleicht noch andere Ideen. wie habt Ihr sowas umgesetzt.


Wenn VirtualBox zu viel Overhead ist, sind die naheliegensten Lösungen
wohl ein LXC Container oder eine virtuelle Maschine mit KVM. Letztere
wird am einfachsten mit dem virt-manager aufgesetzt.

Noch schlanker wird es, wenn du ein Dockerfile für die Software schreibst,
das auf Debian stretch basiert, oder die Autoren der Software dazu überredest,
das zu tun.

Gruß, Harald
Andreas Weber (22.02.2020, 12:20)
Am 22.02.20 um 10:07 schrieb Mechtilde Stehmann:
>
> auf einem Debian-Server (Buster) installieren.


Ich habe mir kurz

angeschaut und das schreit danach, dass du docker nimmst und aus der
Anleitung ein Dockerfile machst.

-- Andy
Mechtilde Stehmann (22.02.2020, 13:00)
Hallo Andreas,

Am 22.02.20 um 11:12 schrieb Andreas Weber:
> Am 22.02.20 um 10:07 schrieb Mechtilde Stehmann:
> Ich habe mir kurz
>
> angeschaut und das schreit danach, dass du docker nimmst und aus der
> Anleitung ein Dockerfile machst.


Ich habe bisher noch nichts mit Docker gemacht. Hast Du eine
funktionierende Anleitung für einen Newbie?

> -- Andy


Viele Grüße
Mechtilde Stehmann (22.02.2020, 13:00)
Hallo Harald

Am 22.02.20 um 10:45 schrieb Harald Weidner:
> Hallo Mechtilde,
> Wenn VirtualBox zu viel Overhead ist, sind die naheliegensten Lösungen
> wohl ein LXC Container oder eine virtuelle Maschine mit KVM. Letztere
> wird am einfachsten mit dem virt-manager aufgesetzt.


Zu KVM kenne ich diese Anleitung:



Dort ist schon beschrieben, dass das nicht Remote geht.

Ich möchte die virtuelle Maschine eventuell auch remote aufsetzen
können. Dann komme ich wohl auch mit dem virt-manager nicht weiter

> Noch schlanker wird es, wenn du ein Dockerfile für die Software schreibst,
> das auf Debian stretch basiert, oder die Autoren der Software dazu überredest,
> das zu tun.


Gibt es ein einfaches Howto dazu?

> Gruß, Harald


Viele Grüße

Mechtilde
Harald Weidner (22.02.2020, 14:10)
Hallo Mechtilde,

> Ich möchte die virtuelle Maschine eventuell auch remote aufsetzen
> können. Dann komme ich wohl auch mit dem virt-manager nicht weiter


Doch, das geht Remote. Der virt-manager kann sich mit einem anderen System
verbinden, entweder über einen SSH Tunnel oder über einen eigens dafür
freigegebenen Port. Ich bevorzuge die SSH-Variante.

Auf dem Remote-System brauchst du dazu das Debian-Paket libvirt-bin (ggf.
noch weitere Pakete), auf dem lokalen Rechner den virt-manager. Es muss
ein SSH (mit Keys oder Passwort) zu dem Remote Rechner möglich sein. Dann
mit "New connection" eine Remote-Verbindung mit SSH konfigurieren und
verbinden. Der Remote-User muss Mitglied der Gruppe libvirtd sein.

Zur Installation muss das ISO-Image für Debian stretch auf dem Remote-
Rechner vorhanden sein. Ich nehme immer die Netinst CD und installiere den
Rest über das Netz.

Ich finde diese Doku ganz brauchbar:

> > Noch schlanker wird es, wenn du ein Dockerfile für die Software schreibst,
> > das auf Debian stretch basiert, oder die Autoren der Software dazu überredest,
> > das zu tun.

> Gibt es ein einfaches Howto dazu?


Weiß ich nicht. Ich habe das aus dem Buch "Docker" von Adrian Mouat gelernt.
Kann ich gerne am Mittwoch mitbringen. ;-)

Die offizielle Dokumentation auf ist auch ziemlich
gut.

Gruß, Harald
007 (22.02.2020, 16:10)
Eine weitere moeglichkeit is einfach ein container.

apt install debootstrap systemd-container

Das hat kein Overhead

On Sat, 22 Feb 2020 10:07:41 +0100
Mechtilde Stehmann <mechtilde> wrote:
[..]
Harald Weidner (23.02.2020, 17:40)
Hallo,

> > Eine weitere moeglichkeit is einfach ein container.
> > apt install debootstrap systemd-container
> > Das hat kein Overhead

> Na, es hat Overhead, vermutlich nicht weniger als Docker und LXC.
> Denn ich denke, diese Namespaces gibt es nicht für umsonst.


Alle drei genannten Lösungen haben Overhead. Dabei ist der Anteil von
Namespaces und Cgroups gering; auch "normale" Systemd Service Units
machen davon Gebrauch (z.B. hat der Apache Webserver, wenn er mit
Systemd gestartet wird, ein privates /tmp).

Bei LXC und anderen Betriebssystem-Containern besteht der Overhead darin,
dass im Normalfall der Container ein vollständiges Linux ist, in dem
auch z.B. Systemd, Cron, SSHD und Rsyslogd laufen.

In einem Anwendungscontainer (Docker, RKT etc.) läuft nur die Anwendung.
Dafür haben diese Lösungen Overhead durch die Filesystem-Layer (i.d.R.
realisiert mit overlayfs2 oder aufs).

Alle genannten Lösungen benötigen eine Netzwerkabstraktion, typischerweise
mit einer eigenen Bridge und dem TAP Device.

> Ich bevorzuge für unbekannte Dinge tatsächlich Systemd-nspawn, es kommt
> mir politisch korrekter vor als Docker.


Ist Systemd inzwischen politisch korrekt? ;-)

Im Ernst, Docker ist seit buster offiziell in Debian. Ich wüsste nicht, was
daran inkorrekt sein soll.

> Gibt es eigentlich noch das RKT-Projekt? Das schien mir vergleichbar mit
> der Abstraktion, die Docker für die Container bietet, aber etwas offener
> als Docker.


Jein. RKT ist zusammen mit CoreOS an Red Hat / IBM übergegangen. Die setzen
aber mehr auf ihr eigenes Produkt Podman. RKT hat auf Github seit einem
halben Jahr keinen Commit mehr. Ich würde es für neue Projekte nicht mehr
in Betracht ziehen.


Die Docker Community Edition ist vollständig offen. Sie besteht aber im Kern
aus dem Projekt Moby, was historisch gewachsen, aber etwas verwirrend ist.



> Allerdings sei zu nspawn noch bemerkt, daß es nicht als
> Sicherheitslösung gedacht war/ist.


Das gilt für Docker, LXC etc. genauso. Wenn man eine Sandbox bauen will,
muss man selber Hand anlegen und hat mit seccomp, eBPF, Netfilter, AppArmor,
SElinux, Kata, gVisor, Wireguard u.v.a. reichlich Werkzeuge zur Verfügung.
Spätestens hier würde ich aber zu Kubernetes und Rancher übergehen, damit das
ganze noch halbwegs beherrschbar bleibt.

Gruß, Harald
Marc Haber (24.02.2020, 09:20)
On Sun, 23 Feb 2020 16:30:36 +0100, Harald Weidner
<hweidner-lists> wrote:
>Ist Systemd inzwischen politisch korrekt? ;-)


Freilich. Hier hast Du das GR-Ergebnis zum nachlesen¹.

Grüße
Marc

¹ auf eine Steinplatte gemeißelt über den Kopf gehauen
Ähnliche Themen