Le 22/09/2017 à 08:35, Stéphane Cottin a écrit : > Bonjour Gaël, > > Je peux te faire un retour d'expérience sur du docker en prod, ça > fonctionne très bien ... si tu n'utilises pas docker ( ça c pour > trolldi ) > > J'ai monté plusieurs archis avec Apache Mesos, qui te permet > d'instancier des containers à partir d'images docker sans avoir a > installer aucun outil docker. > Par rapport à la génération précédente (Mesos < 1.0) qui utilisait le > daemon docker, cela n'a plus rien à voir en terme de stabilité / > fluidité (plus de GC, tout est en c++) / consommation CPU "à vide" / > heures de support. > > ArangoDB dispose d'un framework Mesos, cela peut être une bonne > solution pour ton besoin. > > Stéphane
Ça ne solutionne pas le souci majeur de Docker et toute instance conteneur à savoir que les OS minimalistes dans les images sont - non sécurisées, c'est équivalent à un debootstrap or ceux qui mettent en prod des OS sans faire de hardening devraient changer de métier - rarement mis à jour soit par non mise à jour de l'image par les mainteneurs d'images officielles ou l'équipe de dev interne soit par non destroy / recreate d'une instance parce qu'au final ça marche et on a pas de mise à jour de code à faire dessus... Les conteneurs c'est bien pour faire des instances copies de prod pour du dev / staging / recette / préprod sans mettre les mêmes moyens d'infrastructure que la prod. On a vu plusieurs startup faire du full Docker sur quelques serveurs. Un simple audit de sécu et on passe de l'instance prod à la compta à la dev et au gitlab juste en ayant scanné les ports locaux des hôtes et en ayant mis un petit code de redirection de ports ... Je parle même pas de l'âge des instances qui pour certaines avaient presque 2 ans ... donc l'OS hôte Docker n'avait jamais été mis à jour, forcément faudrait arrêter la prod, la dev, le staging, la compta, le crm, l'erp, le partage de fichier, en gros arrêter la boite. La raison c'est trop compliqué de mettre en cluster sur des hosteurs de serveurs dédiés, sans blague. Non sérieusement en prod Docker ou tout conteneur on le conseil seulement pour faire un groupe d'hôtes qui accueilleraient le même type d'instances dans une DMZ avec un vrai firewall devant, avec une vrai politique de mise à jour et avec que des images custom avec un hardening bien fait mérite d'être en production. Mais rien que maintenir leurs propres images j'ai vu beaucoup de devops ou dev ne pas vouloir se lancer là dedans, du coup faire des VM ou baremetal avec un Ansible ou Puppet permet de concilier l'infrastructure as a code avec les bonnes pratiques systèmes en production.
signature.asc
Description: OpenPGP digital signature
