Fazendo recipientes dentro de uma máquina virtual?

Compreendo que os recipientes são muito mais leves do que as máquinas virtuais, porque não virtualizam o hairdwaire, mas isolam o softwaire que os está executando a pairtir do softwaire que está sendo executado em outros contêineres do sistema.

Minha situação é tal que não consigo comprair serveres adicionais, e os serveres que eu tenho são todos gerentes de hipervisores. Preciso provisionair pelo less 6 "serveres" paira hospedair instâncias de aplicativo web relativamente pequeno (cada instância é paira um cliente diferente). Seria um desperdício fornecer uma nova VM paira cada um desses serveres, então eu planejo configurair 2 VMs e fazer um dos seguintes procedimentos:

  1. Execute várias instâncias do aplicativo em cada VM usando hosts virtuais (apache). ou
  2. Configure os recipientes nas máquinas virtuais, o que me permitiria isolair os ambientes.

Considerando isso, existe uma sobrecairga não negligenciável associada a sistemas de contêineres que tornairia uma má idéia paira usá-los dentro de uma VM, ou há alguma outra razão técnica pela qual eu não gostairia de usair contêineres?

  • Determinando a pairtição de boot do ESXi
  • Projeto de cluster do VMwaire vSphere paira redundância do site
  • Uso do disco VMwaire e provisionamento fino: os numbers não se summ?
  • VMwaire vSwitch e etiquetagem dupla (QinQ)
  • Como fazer um instantâneo de um Datastore no esxi vmwaire - instantâneo do airmazenamento de dados como um backup de recuperação rápido
  • Host ESXi perdendo connection com o vCenter
  • 2 Solutions collect form web for “Fazendo recipientes dentro de uma máquina virtual?”

    O Docker é MUITO leve em compairação com uma VM e um sistema de VM deve funcionair apenas com recipientes finos. Cada recipiente essencialmente funciona como um sistema isolado, por isso é muito bom paira o isolamento a pairtir de uma perspectiva de estabilidade do sistema. Com base na sua descrição, pairece ser o caso de uso ideal paira o Docker. Se você experimentair com o Docker, certifique-se de usair a viewsão mais recente possível, alguns dos mais velhos têm algumas vulnerabilidades bastante desagradáveis ​​neles. Há algumas considerações de security ao executair o Docker.

    SELinux – O SELinux é consciente de contêiner e criairá automaticamente uma etiqueta MCS com nome random paira cada recipiente. Isso ajuda a gairantir o isolamento, já que os recipientes LXC não são considerados viewdadeiramente "contêm" por si mesmos, embora isso esteja melhorando.

    Diretiva do USUÁRIO – Em cada Dockerfile é recomendável a prática recomendada paira usair a diretriz USER e ter o user executado como uma conta diferente da raiz, o padrão. A captura aqui é que o user deve existir no sistema. Também pode ser frustrante chowning / chmodding files e diretórios paira este novo user, mas ajuda a reduzir seu risco. Normalmente, eu recomendo que você crie um "user do container" ou algo assim em seus sistemas paira ajudair a gairantir que um user comum esteja disponível em todos os sistemas que não se sobrepõem com nenhuma outra pairte do sistema.

    Caso contrário, a pairte mais difícil é gerenciair os contêineres e atualizá-los quando necessário.

    Existe uma sobrecairga não negligenciável associada a sistemas de contêineres que tornairia uma má idéia paira usá-los dentro de uma VM

    O Docker Containers Performance no VMwaire vSphere o ajuda?

    ou há algum outro motivo técnico porque eu não gostairia de usair contêineres?

    Não conheço Docker em geral porque ainda não trabalhei com isso. Eu acho que o softwaire de gerenciamento ainda não possui maturidade em compairação com o softwaire de gerenciamento de VM … mas eu sou um administrador do vSphere e, portanto, provavelmente tendencioso.

    Considerando Docker em VMs, o CoreOS agora é oficialmente suportado no vSphere 5.5 . Então, pelo less, a VMwaire pensa que o Docker / containers em VMs está OK.