virli/slides/containers.md

# Voyage par conteneur

## Made in Unix

### Que doit-on isoler ?

> * Matériel ?
> * Processus ?
> * Réseau ?
> * Système de fichiers ?
> * Utilisateurs et groupes ?
> * Nom et domaine de la machine !
> * IPC !
> * Horloge ?


## Made in Linux


### Pour cette mission, vous disposerez de ...

![](armory.jpg)

----

#### Namespaces

Isolation des processus (PID Namespace), interface réseau (Network
Namespace), partitions montées (Mount Namespace), utilisateurs et
groupes (User Namespace), nom de machine (UTS Namespace), IPC.

`namespaces(7)`

. . .

#### CGroups

Statistiques sur l'utilisation des ressources et limitation.

<https://www.kernel.org/doc/Documentation/cgroups/cgroups.txt>

. . .

#### Capabilities

Limitation de ce que `root` peut faire.

`capabilities(7)`


## pour les nuls

### Mais Jamy, comment ça marche ?

![](cps.jpg)


### Syscall

* `clone`
* `unshare`
* `setns`

. . .

#### Exemple

```c
int fd;

/* Get descriptor for namespace */
fd = open("/proc/PID/ns/FILE", O_RDONLY);

/* Join that namespace */
setns(fd, 0);
```

----

```
PATH                     FILESYSTEM
/                        /dev/sda1
├── dev
├── proc
├── sys
├── usr
└── var
    ├── cntrs
    │   ├── toto         /dev/sda5
    │   │   ├── dev
    │   │   ├── proc
    │   │   ├── sys
    │   │   └── usr
    │   └── virli        /dev/sda6
    │       ├── dev
    │       ├── proc
    │       ├── sys
    │       └── usr
    ├── log
    └── tmp
```

### Système de fichiers

* `pivot_root(2)`
* Thin provisioning
* Union FileSystems

### Union FileSystem

![](unionfs.png)


### Le réseau ...

![](sosreseau.jpg)


### Le réseau ...

#### Interface physique

Facile ! Mais il en faut beaucoup.

. . .

#### VLAN

Un tag par conteneur. Routage *interne* par le switch en amont.

. . .

#### MAC-VLAN

* **VEPA :** tous les paquets sortants sortent, y compris ceux à destination
  d'une autre machine locale. Le switch derrière doit rerouter les paquets vers
  la machine.
* **Bridge :** le noyau analyse les paquets avant de les transmettre.

. . .

#### Virtual Ethernet

Interfaces virtuelles connectées à un bridge.


## En résumé

### Mais ! (il y a toujours un mais)

. . .

#### LXC stable

Prêt pour la production depuis février 2014.

Attention à la configuration et aux erreur avec les `capabilities` !

. . .

#### Partage des systèmes de fichiers

Optimise l'utilisation du cache du système de fichiers :-)

. . .

N'optimise pas le travail de l'administrateur système :-(
First part wip 2015-09-28 00:23:15 +00:00			`# Voyage par conteneur`

			`## Made in Unix`

			`### Que doit-on isoler ?`

wip 2015-09-28 20:31:53 +00:00			`> * Matériel ?`
			`> * Processus ?`
			`> * Réseau ?`
			`> * Système de fichiers ?`
			`> * Utilisateurs et groupes ?`
			`> * Nom et domaine de la machine !`
			`> * IPC !`
			`> * Horloge ?`
First part wip 2015-09-28 00:23:15 +00:00

			`## Made in Linux`


			`### Pour cette mission, vous disposerez de ...`

fixup! First part wip 2015-09-30 03:05:14 +00:00			`![](armory.jpg)`
First part wip 2015-09-28 00:23:15 +00:00
			`----`

			`#### Namespaces`

			`Isolation des processus (PID Namespace), interface réseau (Network`
			`Namespace), partitions montées (Mount Namespace), utilisateurs et`
			`groupes (User Namespace), nom de machine (UTS Namespace), IPC.`

wip 2015-09-28 20:31:53 +00:00			`namespaces(7)`

Last rev 2015-10-01 02:45:48 +00:00			`. . .`

First part wip 2015-09-28 00:23:15 +00:00			`#### CGroups`

			`Statistiques sur l'utilisation des ressources et limitation.`

Last rev 2015-10-01 02:45:48 +00:00			`<https://www.kernel.org/doc/Documentation/cgroups/cgroups.txt>`

			`. . .`
First part wip 2015-09-28 00:23:15 +00:00
			`#### Capabilities`

			Limitation de ce que `root` peut faire.

wip 2015-09-28 20:31:53 +00:00			`capabilities(7)`

First part wip 2015-09-28 00:23:15 +00:00
			`## pour les nuls`

fixup! First part wip 2015-09-29 19:34:30 +00:00			`### Mais Jamy, comment ça marche ?`
First part wip 2015-09-28 00:23:15 +00:00
fixup! First part wip 2015-09-30 03:05:14 +00:00			`![](cps.jpg)`
fixup! First part wip 2015-09-29 19:34:30 +00:00

fixup! First part wip 2015-09-30 03:05:14 +00:00			`### Syscall`
fixup! First part wip 2015-09-29 19:34:30 +00:00
			* `clone`
			* `unshare`
			* `setns`

			`. . .`

fixup! First part wip 2015-09-30 03:05:14 +00:00			`#### Exemple`

fixup! First part wip 2015-09-29 19:34:30 +00:00			```c
			`int fd;`

			`/* Get descriptor for namespace */`
			`fd = open("/proc/PID/ns/FILE", O_RDONLY);`

			`/* Join that namespace */`
			`setns(fd, 0);`
			```
First part wip 2015-09-28 00:23:15 +00:00
			`----`

fixup! First part wip 2015-09-29 19:34:30 +00:00			```
			`PATH FILESYSTEM`
			`/ /dev/sda1`
			`├── dev`
			`├── proc`
			`├── sys`
			`├── usr`
			`└── var`
			`├── cntrs`
			`│ ├── toto /dev/sda5`
			`│ │ ├── dev`
			`│ │ ├── proc`
			`│ │ ├── sys`
			`│ │ └── usr`
			`│ └── virli /dev/sda6`
			`│ ├── dev`
			`│ ├── proc`
			`│ ├── sys`
			`│ └── usr`
			`├── log`
			`└── tmp`
			```
First part wip 2015-09-28 00:23:15 +00:00
fixup! First part wip 2015-09-30 03:05:14 +00:00			`### Système de fichiers`

			* `pivot_root(2)`
			`* Thin provisioning`
Last rev 2015-10-01 02:45:48 +00:00			`* Union FileSystems`
fixup! First part wip 2015-09-30 03:05:14 +00:00
Last rev 2015-10-01 02:45:48 +00:00			`### Union FileSystem`
fixup! First part wip 2015-09-30 03:05:14 +00:00
Last rev 2015-10-01 02:45:48 +00:00			`![](unionfs.png)`
fixup! First part wip 2015-09-30 03:05:14 +00:00

First part wip 2015-09-28 00:23:15 +00:00			`### Le réseau ...`

fixup! First part wip 2015-09-30 03:05:14 +00:00			`![](sosreseau.jpg)`
First part wip 2015-09-28 00:23:15 +00:00
fixup! First part wip 2015-09-29 19:34:30 +00:00
			`### Le réseau ...`
First part wip 2015-09-28 00:23:15 +00:00
			`#### Interface physique`

			`Facile ! Mais il en faut beaucoup.`

fixup! First part wip 2015-09-29 19:34:30 +00:00			`. . .`

			`#### VLAN`

fixup! First part wip 2015-09-30 03:05:14 +00:00			`Un tag par conteneur. Routage interne par le switch en amont.`
fixup! First part wip 2015-09-29 19:34:30 +00:00
			`. . .`

First part wip 2015-09-28 00:23:15 +00:00			`#### MAC-VLAN`

			`* VEPA : tous les paquets sortants sortent, y compris ceux à destination`
			`d'une autre machine locale. Le switch derrière doit rerouter les paquets vers`
			`la machine.`
			`* Bridge : le noyau analyse les paquets avant de les transmettre.`

fixup! First part wip 2015-09-29 19:34:30 +00:00			`. . .`

First part wip 2015-09-28 00:23:15 +00:00			`#### Virtual Ethernet`

			`Interfaces virtuelles connectées à un bridge.`


			`## En résumé`

			`### Mais ! (il y a toujours un mais)`

			`. . .`

			`#### LXC stable`

fixup! First part wip 2015-09-29 19:34:30 +00:00			`Prêt pour la production depuis février 2014.`
First part wip 2015-09-28 00:23:15 +00:00
fixup! First part wip 2015-09-29 19:34:30 +00:00			Attention à la configuration et aux erreur avec les `capabilities` !
First part wip 2015-09-28 00:23:15 +00:00
			`. . .`

			`#### Partage des systèmes de fichiers`

fixup! First part wip 2015-09-29 19:34:30 +00:00			`Optimise l'utilisation du cache du système de fichiers :-)`
First part wip 2015-09-28 00:23:15 +00:00
			`. . .`

			`N'optimise pas le travail de l'administrateur système :-(`