此前, 我做了一场题为 "从系统管理员角度看 Docker" 的分享, 缘起于我们经常可以看到这样的场景: 一位系统管理员正坐在他的办公桌处理自己手上的事情, 此时一名开发人员走进来说:"这是新的应用, 它在 Docker 镜像中. 请尽快部署." 此次分享意在给系统管理员提供一些帮助, 指导他们如何考虑在生产环境中管理容器化的应用.
由于时间关系, 我可能无法逐一回答所有提问. 以下只列出一些常见的问题及解答:
问: 我正在计划部署一个应用, 并希望使用 Docker. 您目前推荐使用什么云服务? 我可以选择 GCP,Azure,AWS.1) 总体成本 2) 性能如何?
答: 如果要准确回答这个问题, 需要相当深入地了解您的应用. 所以, 我可能无法提供一个非常具体的回答. 我想说, 如果您今天选择一个云服务提供商, 并意识到将来可能会发生改变, 那么 Docker 将使其变得非常容易, 因为容器化的负载可以在不同的云服务提供商之间轻松地移动. 因此, 先明确您的技术和业务出发点, 据此选择最好的供应商. 如果日后需要调整, 则可以从容应对.
问: 容器的最大大小是多少?
答: 没有所谓的最大大小. 如果需要, 容器可以使用给定节点的所有物理或虚拟资源. 不过, 如果不希望这样做, 则可以为 CPU 和内存设置最小值和最大值.
问: 是否可以在运行 Docker 引擎的 Windows 主机中运行 Ubuntu 容器?
答: 原生是不可以的. 不过, 您总是可以在 Windows 主机上运行一个 Linux 虚拟机来运行基于 Linux 容器. 在 DockerCon 大会上, 微软宣布他们将来会在 Windows 中包含原生的 Linux 容器. 敬请关注相关的信息.
问: DDC 现在可以同时运行 Linux 和 Windows 工作负载吗? 如果还没有, 那么是否已经在规划相关的功能?
答: Docker 的 swarm 模式目前可以在同一个群集中管理 Linux 和 Windows 工作负载. 此功能将很快出现在 Docker 企业版 / Docker Data Center 中.
问: Docker 是否有类似于 Black Duck 的镜像扫描工具?
答: 有. Docker 企业版高级版包括 Docker 安全扫描功能. 通过此功能, 可以设置 Docker Trusted Registry 扫描镜像是否存在已知的漏洞和攻击.
问: 是否仍推荐使用 Hypervisor 以允许群集主机? 还是真的不需要了? 我可以使用 Docker 原生的工具进行群集吗? 或许可以用 Swarm?
答: 到底是在物理机还是在虚拟机上运行容器, 需要考虑多个因素. 这并没有现成的答案. 您需要考虑诸如成本, 性能, 利旧, 灾难恢复等多个因素, 然后决定什么才是最合适的. 无论如何, 您可以构建同时包括物理机和虚拟机的 swarm 模式群集.
问: 主机之间的安全通信是什么? 是 TLS 1.2?
答: 是的, 是 TLS 1.2.
问: 我想开始尝试 DDC. 是否有测试版本? Docker for Azure / AWS 是使用 DDC 作为底层吗?
答: 是的, 您可以从 Docker Store 中获得 Docker 企业版 30 天试用版本. Docker for Azure 和 Docker for AWS 可以部署 DDC (并不是真正的底层, 因为 DDC 安装在 AWS 或 Azure 基础设施上).
问: 当节点停止并移动工作负载时, 存储是否随之移动?
答: 这种情况下, 容器在迁移时, 存储卷不随之移动. 但是, 有许多第三方插件, 可以帮助解决这种情况.
问: 是否有方法更新用于构建应用程序的基本镜像?
答: 一旦更新了基本镜像, 就需要重新构建这些应用程序.
问: 如果客户希望在其数据中心进行安装, 但是没有连接, 应如何设置 DDC?DTR 如何获取镜像的更新? 我们如何安装 DDC?
答: 对于在不联网情况下的安装, 请按照以下说明操作 ( https://docs.docker.com/datacenter/ucp/2.0/guides/installation/install-offline/) . 此外, 还可以从一个文件中加载 Docker Trusted Registry 的安全扫描数据库.
问: 如何在 Docker 中使用 Chef/Puppet 来管理镜像?
答: 实际上, 我主张将 Dockerfiles 集成到您现有的源代码管理实践中, 而不是使用某些配置管理工具来管理镜像.
来源: https://yq.aliyun.com/articles/593559