LXC vs Docker - overstappen nuttig?

Hoi,

Sinds een paar maanden heb ik met veel plezier een homeserver opgezet met Proxmox en unprivileged LXC containers. De containers zijn allemaal voor een afzonderlijke toepassing (PiHole, CUPS, Sonarr, Radarr, Transmission, SMTP, TimeMachine etc)

Op de homeserver draait daarnaast 1 VM voor pfSense waar een DHCP server draait die de individuele hosts voorziet van een IP. Iedere host heeft dus een eigen IP / domeinnaam en met behulp van o.a. Caddy hoef ik geen portnummers te onthouden omdat alle hosts op 'normale' poorten, zoals 80 (http) en 443 (https) bereikbaar zijn waar mogelijk. Iedere hosts kan normale poorten gebruiken per host (zoals bijv. 53 bij Pihole). Dit omdat ik afzonderlijke hostnames wil (pihole.mdbraber.net) ipv iets als (homeserver:5353).

Qua resources wordt er op verschillende punten verwezen naar het feit dat Docker mogelijk minder resources gebruikt. Daarnaast is het (afhankelijk van hoe je het bekijkt) beter te managen door een single config file. Ik heb besloten me daarom eens te verdiepen of een 'overgang' naar Docker ipv LXC nuttig is.

Waar ik tegen aanloop is de networking stack van Docker die vooral lijkt te werken met een soort interne netwerken met bridged modus, dus als je niet macvlan wilt gebruiken). Het effect dat ik zie:

- Geen DHCP voor het uitdelen van IP adressen (maar gaat via Docker)
- Docker hosts zijn niet direct bereikbaar onder een eigen IP
- Omdat hosts geen eigen IP hebben niet makkelijk te integreren met interne DNS zodat ook externe clients ze kunnen bereiken.

Het lijkt dat alle problemen met verschillende scripts / hacks op te lossen zijn. Een andere optie is om Traefik te gebruiken voor de HTTP(S) routing - maar het nadeel is dat je dan in de problemen komt als je voor dezelfde hostname ook *niet* HTTP(S) verkeer wilt routen en het A record in de DNS verwijst naar Traefik... maar wellicht zie ik hier iets over het hoofd?

Kortom - het enige qua oplossing is Docker containers met de macvlan interface, waarbij het grotendeels lijkt op LXC containers met een andere manier van onderhoud (Dockerfile ipv via de shell). Bij LXC is het noodzakelijk het onderhoud goed te regelen met bijv. unattended-upgrades bij Debian wat meer werk kan zijn dan Docker.

Zijn er andere voordelen van Docker waarom dit te verkiezen kan zijn boven LXC? Iemand ervaringen met de overstap van de een naar de ander? So far kom ik tot de volgende afwegingen:

Docker
+ Manageable met Dockerfile
+ Lichter qua resources dan LXC
- Complexer om op te zetten (maken Dockerfile ipv installeren via shell)
- Complexere networking stack, tenzij gebruik van macvlan

LXC
+ Makkelijk / dynamisch te onderhouden via shell
+ Direct netwerk (gebruik DHCP, hostnames)
+ Beter isolatie host/container
- Iets zwaarder in resources dan Docker
- Meer onderhoud nodig (upgrades, Caddy)

Benieuwd naar jullie ervaringen!

P.S. ik tag @FireDrunk hier even omdat die volgens mij ooit aangaf in een ander topic veel met Docker te doen.

Dank @FireDrunk en @Yarisken voor jullie antwoorden. Ik heb afgelopen weekend een heleboel documentatie gelezen over LXC, Docker, Proxmox, VM en netwerken :-) Een interessante resource om bijv. met Docker een HA omgeving te creeeren kan je hier vinden: https://geek-cookbook.funkypenguin.co.nz

Ik heb op dit moment geen Ansible of andere DSCM tool voor het inrichten van mijn containers. Ik doe het meest eenmalig en handmatig. Dat betekent echter wel dat je een redelijke technical debt opbouwt over de tijd als je meerdere LXC containers moet onderhouden, SSH keys, upgrades - etc. Hoewel het prima mogelijk is voor een overzichtelijke setup, is het ook weer niet ideaal.

Tegelijker tijd heb ik geen HA / failover nodig voor mijn homelab, dus een Docker Swarm voor HA is niet direct nodig. Ik wil wel Proxmox houden omdat ik ook andere VMs draai (oa macOS en pfSense) en het een prettig idee is dat ik mijn containers / VMs makkelijk kan porteren naar andere systemen of kan backupen.

In de uitgebreidere setups heb je een boel extra lagen, o.a. voor shared storage (bijv. Ceph) en failover IP (bijv. keepalived) etc. die ik niet direct nodig heb.

Zoals ik het nu zie is het voor mij het efficiëntst om LXC containers (weinig overhead, directe I/O, meest flexibele resources) gebruiken waarbij ik op een LXC instance een (of meerdere) Docker Swarms kan draaien die vervolgens met een overlay netwerk verbonden worden. Docker is dus vnml. een tool om 'easy config' te bereiken waarbij ik de persistent data kan scheiden van de rest en makkelijk kan backup of meenemen. Daarnaast houd ik de mogelijkheid om ook evt. 'bare' LXC containers (zonder Docker) in de configuratie op te nemen.

@FireDrunk tnx voor je feedback! Wat ik niet duidelijk heb gemaakt in mijn vorige post is dat ik het vnml. heb over de voordeel van Docker op *LXC* vs Docker op *VM* - dus minder overhead, snellere I/O, meest flexibele resources). Niet het verschil tussen Docker en LXC.

Ik wil niets anders dan Proxmox op mijn base system hebben - zodat ik wel in staat ben om de resources te managen (hoeveel cores, geheugen en opslag ik toe ken aan een container of VM). So far zie ik dat het gewoon mogelijk is om Docker in een unprivileged LXC te draaien, maar ik nog een keer kijken of dat klopt en wat de netwerk overhead is.

FireDrunk schreef op maandag 20 mei 2019 @ 14:21:
[...]

Unprivileged LXC is natuurlijk best vies. Dat is gewoon alle rechten aan Docker geven.
Het enige voordeel dat je dan hebt is dat je geen 'package' verwatering hebt van je host OS.

Kan het zijn dat je unprivileged en privileged door elkaar haalt? Unprivileged betekent juist dat je de rechten beperkt, terwijl het met privileged zo is dat je alle rechten hebt die je op de host ook zou hebben.

Aan de andere kant is de hoeveelheid dependencies van Docker echt wel te behappen.
Ik zou me persoonlijk niet zo druk maken over die paar packages, maar dat is subjectief.

Package 'verwatering' is niet echt een concern - wel het kunnen toekennen van resources, zou kan ik zorgen dat ik bijv. altijd een stuk geheugen vrij houd voor mjn andere VMs in plaats van dat Docker daar zonder limiet toegang toe heeft omdat het op de host draait.

@FireDrunk tnx voor de tip over limieten. Je hebt helemaal gelijk - het is gewoon gelijk aan LXC containers qua CPU / memory resources. Dat maakt ook dat ik nog eens heroverweeg of het niet gewoon goed is qua performance en energy management om Docker op de (Proxmox) host te draaien - waar Docker in principe een serie van containers is (zoals ik dat nu heb met LXC).

Het vergrote risico dat ik zie is het concept van Docker daemon als root: https://docs.docker.com/e...ker-daemon-attack-surface - dat voornamelijk te maken heeft met de eigen hygiene (geen volume mounts van het root filesystem etc). Ik heb nu een test setup waar ik het in een aparte VM draai, wat op zich prima werkt, maar ik het qua energy management nog 'jammer' vind dat ik daar een extra laag voor maak, terwijl ik het idee heb dat qua security er weinig extra benefits zijn...

Helemaal ben ik er nog niet uit - maar qua efficiency ben ik er wel uit dat ik voor Docker (bare metal) naast Proxmox ga. Wat ik nog probeer te begrijpen is wat de best practices zijn qua Docker security. In LXC draaide ik alles in unprivileged containers en dat lijkt me hier ook het beste (https://docs.docker.com/engine/security/userns-remap/) - zijn er hier mensen die tips hebben voor goede security practices in het runnen van Docker (Swarm) services? @FireDrunk