Názory k článku
Jak vytvořit kontejner pro Docker pomocí Dockerfiles

Nástroj pro správu kontejnerů je jenom malá část infrastruktury, kterou tvoří Docker.

Pokud uživatel čeká, až autor zaktualizuje Docker kontejner, používá Docker divně.

Neaktulizuje se. Prostě se smaže a místo něj se vytvoří jiný z novějšího obrazu. Stejně jako neaktualizujete nainstalovanou aplikace, ale odinstalujete příslušný balíček a místo něj nainstalujete novější verzi balíčku.

Psal jsem, že Docker se nejvíc podobá balíčkovacím systémům na linuxu. Co jste dělal s balíčky, když se objevila chyba v GnuPG? Hledal jste novější verzi balíčku, kde je chyba opravená? Nebo jste prostě počkal, až vyjde aktualizace příslušného balíčku?

Znovu nastavovat všechny konfiguráky - to jako každý týden nové instalace - čistý reinstall?
Ano omylem. Takhle byste postupoval, pokud byste vytvářel nový VPS. S Dockerem máte ty konfiguráky zabalené v obrazu, který používáte, nebo je máte na samostatném souborovém systému, který jenom připojíte ke zvolenému kontejneru. To je právě část té infrastruktury, kterou má Docker navíc oproti čisté kontejnerové virtualizaci.

Jak se to řeší v produkci, u několika desítek nebo stovek Dockerů?
Pokud by se použil Docker na produkci, vyřeší se to triviálně - zkopíruje se tam image, který prošel testováním.

Problém bude v tom, že nevíte, o čem píšete. Docker kontejner je nainstalovaný případně běžící obraz v Docker enginu. V přirovnání k distribučním balíčkům si to můžete představit jako nainstalovaný balíček spolu s jeho konfigurací, případně jako běžící aplikaci z toho balíčku. Aktualizuje vám snad autor balíčku binárky, které máte nainstalované na svém počítači, nebo dokonce běžící aplikaci? Neaktualizuje, autor balíčku vám pouze dá k dispozici nový balíček, a vy si jej můžete do systému nainstalovat. Stejně tak vám autor Docker obrazu dá k dispozici nový obraz, který si vy můžete „nainstalovat“ do svého Dockeru. A nebo – podobně jako u balíčků – bývá k dispozici zdrojový soubor popisující vznik Docker image (Dockerfile), který můžete vzít, zaktualizovat ho na aktuální verzi software a image si vytvořit sám.

Docker navíc přidává tu výše uváděnou infrastrukturu. Je to stejný rozdíl, jako mezi tím, když si ručně budete kompilovat jádro, knihovny a aplikace a takhle si sestavíte linuxový systém, nebo když použijete už hotovou distribuci. Ta má takové „drobnosti“ jako správce balíčků a repository s balíčky, takže když chcete nainstalovat nějaký software, napíšete akorát apt-get install. Ano, ve výsledku budete mít na disku binárku, kterou si klidně můžete vyrobit sám tak, že si ji a všechny její závislosti zkompilujete ze zdrojáků. Ale s tou infrastrukturou distribuce je to podstatně jednodušší. Stejně je to s Dockerem. Taky si můžete vytvořit OpenVZ kontejner ručně od prázdného kontejneru. Docker vám „jenom“ to vytváření a správu kontejnerů podstatně usnadní.

Docker je určený pro případy, kdybyste si v nějaké distribuci vytvářel vlastní balíčky. Záviset na nějakých veřejných balíčcích můžete a nemusíte. Přičemž u Dockeru mezi těmi veřejnými obrazy máte často i obrazy autorů daného programu, které mohou vznikat přímo v rámci vydání nové verze. Takový obraz bude k dispozici zaktualizovaný dříve, než se balíček dostane do distribucí.

Když vyjde nová verze třeba OpenSSL, nainstaluju si ho do Dockeru hned. Docker není mezistupeň, Docker je alternativa k linuxovým balíčkům. Balíčkovací systémy linuxových distribucí jsou vhodné pro pracovní stanice, kde mám nainstalovanou spoustu softwaru, je tam spousta závislostí a chci vše průběžně automaticky aktualizovat. Na serveru je jiná situace, tam je typicky aplikací jenom pár, a není potřeba řešit závislosti nebo automatické aktualizace, naopak chci, abych měl identické prostředí pro vývoj, pro testování i pro produkci. Některé distribuce tohle řeší pomocí různých LTS verzí, kam se backportují jenom opravy, ale to není úplně ono – stejně tak nedocílíte toho, abyste měl všude identické prostředí. (Navíc si myslím, že backportování oprav je kontraproduktivní, protože pak se na pár LTS instalacích provozuje software, který se neprovozuje nikde jinde – takže celá ta šaráda vede jenom k tomu, že v produkčním prostředí provozujete prakticky netestovaný software.)

To, že se současné Docker image většinou vyrábějí z klasických distribucí, je podle mne pouze dočasný stav. Doufám, že postupem času se ještě oddělí obrazy pro sestavování a obrazy pro běh. Ideální by bylo spojit svět Dockeru a svět Gentoo – měl byste obraz, ve kterém se budou programy buildovat, a sestavený výsledek, který se vám normálně nainstaluje do systému, se místo toho zabalí do Docker image. Takový Docker image by byl skutečně minimální (pro běh webového serveru nepotřebujete mít v systému přítomný správce balíčků, kompilátor atd.), navíc by to umožnilo využít výhodu Gentoo buildů na míru (sestavím si web server přesně s těmi volbami, které potřebuju).

Dnes vám samozřejmě nic nebrání zkompilovat si ten software do Docker image ručně, ale je to práce navíc. Gentoo se svými ebuildy už má tuhle práci hezky zautomatizovanou.

Přesně tak. Aktualizace je mutace stavu a tedy nejspíš špatný nápad.

Udělat to znovu z nových verzí je obvykle rozumnější.