Poster une réponse 
 
Note de cette discussion :
  • Moyenne : 5 (2 vote(s))
  • 1
  • 2
  • 3
  • 4
  • 5
[Application] "Docker" pour se passer des VM
24-06-2015, 11:44:50
Message : #11
RE: [Application] "Docker" pour se passer des VM
Je soutiens l'idée de docker sur nos NAS !!!

VHS-4 i5VX
Firmware: 6.0.0
RAM : 16 Go
HDD: 4 x 2To Raid5
Etat de satisfaction actuel pour le produit : Big Grin sauf gestion camera : Angry
Trouver tous les messages de cet utilisateur
Citer ce message dans une réponse
24-06-2015, 16:27:14 (Ce message a été modifié le : 24-06-2015 16:27:54 par grimy55.)
Message : #12
RE: [Application] "Docker" pour se passer des VM
Oui, j'ai essayé. Je n'ai pas pris le temps de faire sauter les derniers verrous qui me barraient la route, mais je pense qu'en y travaillant un peu c'est possible. Je vous donne ma démarche, peut-être que quelqu'un arrivera à régler le dernier problème que je rencontre.

L'installation de Docker se fait sans problème, mais je souhaite aussi délocaliser sur le compte admin le répertoire par défaut qui stocke les images dockers. Ceci pour un soucis de sauvegarde (tout le compte admin est sauvegardé chez moi), et de préservation sur le long terme (je crains qu'a chaque màj majeure le contenu du firmware VHS soit en partie réinitialisé).

Voilà ma démarche (a effectuer en SSH bien sûr):
Code :
# Install Docker
sudo wget -qO- https://get.docker.com/ | sh

# Set Docker image folder
DOCKER_FOLDER=/mnt/data/data/users/admin/prive/docker
mkdir -p ${DOCKER_FOLDER}
sudo sed -i '8i DOCKER_OPTS="-g '${DOCKER_FOLDER}'"' /etc/default/docker
sudo chmod -R g+rw ${DOCKER_FOLDER}

# Add admin as docker user
sudo usermod -aG docker admin

# Restart docker
sudo restart docker

# Test docker
sudo docker run hello-world

Tout ce passe bien jusqu'à ce que je test docker avec l'image hello-world:
Code :
permission denied
Error response from daemon: Cannot start container 94978251dd4a8c90348ae9fefe9b1923fcde5f68d3a1c11aa48305169babee2e: [8] System error: permission denied

Je n'ai toujours pas trouvé où ca bloque au niveau des permissions.

VHS-4 Xtreme II AMD Athlon X4 610e | 8Go RAM | 3 x 2To en Raid 5 | v6.x (màj auto)
Visiter le site internet de cet utilisateur Trouver tous les messages de cet utilisateur
Citer ce message dans une réponse
24-06-2015, 21:59:55
Message : #13
RE: [Application] "Docker" pour se passer des VM
bonsoir

"Je soutiens l'idée de docker sur nos NAS !!!"
c'est aussi mon avis AngelTongue

"grimy55"
c'est trop compliqué pour moi, dommage Blush

.

VHS-4 Xtreme II AMD Athlon II X4 610e 2,4GHz, 2*4Go, clef USB 4Go
HDMI
Raid 5: 4*2To WD20EARX
OS: 6.1.4 Heart
Kodi
VM Win 10 connexion RDP
Tuner DVB-T2 + clés USB Dual Tuners TNT HD

VHS-4 Home 1 Intel Atom D525 Dual Core 1,8GHz, 4Go, SSD 4Go
Pas de sortie vidéo
Raid 5: 4*6To WD60EFRX
OS: 6.1.4 Heart
Plex SRV (utilisation occasionnel)
Trouver tous les messages de cet utilisateur
Citer ce message dans une réponse
26-10-2015, 01:45:48
Message : #14
RE: [Application] "Docker" pour se passer des VM
Bonsoir,

Oups, c'est tardif mais je découvre ce sujet...Rolleyes

Cà m'a l'air en effet pas mal pour s'affranchir des VM.

A-t-il avancé ?

Pour info, il y a un article intéressant sur Docker avec un exemple dans Linux Pratique N°91 (Sept/Oct 2015).
Je l'ai pas tenté...
Dedans, il y a "sudo addgroup <votre_login> docker", au lieu de la commande "sudo usermod -aG docker admin" que tu utilises grimy55.
Je suis pas assez pointu en linux pour voir si çà revient au même ou pas ...

@+

VHS-4 VX "sesame"
* Intel® Core i7 4770s Haswell @ 3.9 GHz | 16 Go DDR3
* 4x4To WD40EFRX - RAID 5 | OS VHT v 6.1.4

VHS-4 VX "wasabi" > Test ub-2-deb
* Intel® Core i5 2405s @ 2.5 GHz | 16 Go DDR3
Trouver tous les messages de cet utilisateur
Citer ce message dans une réponse
26-10-2015, 09:55:16
Message : #15
RE: [Application] "Docker" pour se passer des VM
Je découvre ce sujet également.
Effectivement, je comprends votre enthousiasme mais malheureusement ne le partage pas.

En effet, ce serait génial de pouvoir installer tout un tas d'applis qui "augmenteraient" le VHS. Ce que vous avez l'air d'oublier, c'est que Ve-Hotech se donne beaucoup de mal pour protéger notre sécurité. Je ne suis pas un as de la sécurité, mais j'ai compris que plus il y a de possibilités dans un système, plus il y a de trous possibles.
En effet, la plupart d'entre nous on fait 2 choses :
1- mettre tout un tas de données personnelles et sensibles sur le ve-hotech
2- mettre le Ve_hotech dans la DMZ

Dans ces conditions, je ne vois pas comment un module qui serait libre d'application pourrait voir le jour avec une sécurité toujours aussi OP.

Je passe donc sur celui-ci, même si l'idée est très intéressante.

VHS 4-VX 2x3Go en RAID1
Trouver tous les messages de cet utilisateur
Citer ce message dans une réponse
31-10-2015, 19:20:13 (Ce message a été modifié le : 31-10-2015 19:22:06 par Cram28.)
Message : #16
RE: [Application] "Docker" pour se passer des VM
Bonjour,

Je ne veux surtout pas (re) allumer une éventuelle polémique: il me semble en effet avoir déjà croisé des échanges sur le sujet, ici et ailleurs.

Les termes "sécurité" et "DMZ" me semblent incompatibles.
En tout cas selon ce que je comprends: "Spécifier un serveur DMZ par défaut vous permet d'installer un ordinateur ou un serveur que quiconque pourra utiliser sur Internet pour obtenir des services que vous n'avez pas définis. Installer un serveur DMZ génère des problèmes de sécurité. Ne le faites donc que si vous désirez vraiment un accès ouvert. Si vous ne spécifiez pas de serveur DMZ par défaut, le routeur bloque toute demande de service entrante non définie."

C'est l'aide de mon tout nouveau routeur qui le dit ...Tongue

Je ne connais pas encore assez le VHS pour mesurer son degré de sécurité, je pense qu'il doit en embarquer un certain nombre en tant que serveur, mais il ne faut sans doute pas compter que sur lui.
S'agissant des données (personnelles, privées, voire confidentielles), et en particulier de leur accès depuis l'extérieur, je trouve que les ouvertures de flux doivent être maîtriser "ailleurs" (routeur en l'occurrence avec NAT ouverture de port dédié à ce rôle).

Bon, c'est sans doute un peu théorique tout çà: Je conçois parfaitement qu'en pratique c'est plus souple d'installer les choses en trois clics et de ne plus avoir à y penser.

Pour en revenir au Docker, il me semble bien que tu doives faire des sortes d' "ouverture" de port sur le container pour autoriser les accès réseau... Moi çà continue de m'intéresser ...Idea

@+

VHS-4 VX "sesame"
* Intel® Core i7 4770s Haswell @ 3.9 GHz | 16 Go DDR3
* 4x4To WD40EFRX - RAID 5 | OS VHT v 6.1.4

VHS-4 VX "wasabi" > Test ub-2-deb
* Intel® Core i5 2405s @ 2.5 GHz | 16 Go DDR3
Trouver tous les messages de cet utilisateur
Citer ce message dans une réponse
01-11-2015, 05:39:18
Message : #17
RE: [Application] "Docker" pour se passer des VM
Bonjour

J’avais déjà fait un post sur le sujet "Docker', mais cela n'avait pas passionné le forum !
Implémenter "Docker'" sur notre nas avec une interface graphique pour la gestion des applications n'est pas simple
Peut-on mettre sur le même nas (KVM+Qmenu)= nos VM et en plus "Docker' ?
Aucune idée, mais la puissance du cpu et la ram n'est pas infinie !
Sans compter, PLEX, KODI, le Tuner, les serveurs Web, etc.

Dans un autre sujet:
Mettre un PC/NAS/etc. en DMZ est un non-sens à mon avis, il n'y a aucune sécurité
C’est le logiciel le plus faible qui donne accès au nas !
Il y a toujours un petit malin qui scan les ports ouverts sur le réseau de son FAI "pour voir" et plus si affinité
Notre nas a déjà beaucoup de service (PLEX, KODI, le Tuner, les serveurs Web) qui sont mis à notre disposition, cela entraine bien sur des ouvertures de port (voir post ancien pour la liste)
Notre OS étant sur la version Ubuntu serveur 14.04 et LTS, il est donc "sécurisé",
Mais les applications qui tournent sur nos VM ne le sont pas : Windows x
Les serveurs Web aussi
D'ailleurs, si vous n'utilisé pas un service sur votre nas, je vous conseil de l'arrêter ou de le mettre en marche quand vous en avez besoin: il y aura moins de trous de sécurité et il chauffera moins

Si vous faite confiance au DMZ, mettez votre adresse IP externe sur le forum -)
Big Grin
.

VHS-4 Xtreme II AMD Athlon II X4 610e 2,4GHz, 2*4Go, clef USB 4Go
HDMI
Raid 5: 4*2To WD20EARX
OS: 6.1.4 Heart
Kodi
VM Win 10 connexion RDP
Tuner DVB-T2 + clés USB Dual Tuners TNT HD

VHS-4 Home 1 Intel Atom D525 Dual Core 1,8GHz, 4Go, SSD 4Go
Pas de sortie vidéo
Raid 5: 4*6To WD60EFRX
OS: 6.1.4 Heart
Plex SRV (utilisation occasionnel)
Trouver tous les messages de cet utilisateur
Citer ce message dans une réponse
02-11-2015, 08:25:59
Message : #18
RE: [Application] "Docker" pour se passer des VM
Je n'utilise pas, non plus la DMZ, mais nos NAS n'ont d'ouvert que les ports utiles. On a indiqué sur ce forum lesquels...
Et donc la personne qui utilise tous les services du NAS sans DMZ, n'est pas plus protégé car il a ouvert les ports (à la main) dans sa Box.

En conclusion, comme l'écrit BPE, au cas ou on aurait pas confiance aux services qu'on n'utilise pas sur le NAS (des failles, on en trouve tous les jours), pas de DMZ, ne lancer que les services utiles, et ouvrir que les ports correspondants.

VHS-4 Home 1 - Intel Atom D525 Dual core à 1,8GHz - SSD 4Go
Firmware: 6.1.3
Dram: 4Go
HDD: 4 x 1To Raid5 - Western Digital WD40EFRX

VHS-4 Xtreme 3 - i7 3770S à 3,1GHz - clef USB 4Go
Firmware: 6.1.4
Dram: 2 x 8Go
HDD: 4 x 6To Raid 5 - WD60EFRX
1 VM Ubuntu Server 14.04 avec rsync pour backup sur DNS-323 de 2 x 1To
2 VM Windows 7, 1HD et 1 Virtio, 1 VM W10
Trouver tous les messages de cet utilisateur
Citer ce message dans une réponse
02-11-2015, 12:56:11
Message : #19
RE: [Application] "Docker" pour se passer des VM
Pour moi y'a quand même deux gros avantages de ne pas avoir mis son VHS dans la DMZ :
- pouvoir choisir au cas par cas quels services sont exposés sur Internet
- pouvoir avoir des numéros de ports exposés différents du numéro de port interne. (ex : exposer le port 32568 pour le port 80 en interne)

ça permet de limiter les services exposés & d'éviter certains "bot" qui scan les vulnérabilités sur les ports "legacy".

VHS-4 VX - i3 - 8Go RAM
Version du micrologiciel : 6.1.0
Trouver tous les messages de cet utilisateur
Citer ce message dans une réponse
02-11-2015, 19:13:50
Message : #20
RE: [Application] "Docker" pour se passer des VM
(26-10-2015 09:55:16)Vince a écrit :  Je découvre ce sujet également.
Effectivement, je comprends votre enthousiasme mais malheureusement ne le partage pas.

En effet, ce serait génial de pouvoir installer tout un tas d'applis qui "augmenteraient" le VHS. Ce que vous avez l'air d'oublier, c'est que Ve-Hotech se donne beaucoup de mal pour protéger notre sécurité. Je ne suis pas un as de la sécurité, mais j'ai compris que plus il y a de possibilités dans un système, plus il y a de trous possibles.
En effet, la plupart d'entre nous on fait 2 choses :
1- mettre tout un tas de données personnelles et sensibles sur le ve-hotech
2- mettre le Ve_hotech dans la DMZ

Dans ces conditions, je ne vois pas comment un module qui serait libre d'application pourrait voir le jour avec une sécurité toujours aussi OP.

Je passe donc sur celui-ci, même si l'idée est très intéressante.

Oui, c'est tout à fait vrai. Installer Docker par nous-même sur le firmware de Ve-Hotech peut créer des failles de sécurité. C'est à réserver à ceux qui veulent s'amuser.

C'est pour cette raison que je préfererais un module Docker developpé par
Ve-Hotech et qui nous garanti ainsi une certaine sécurité. Il existe des logiciels open-source pour gérer Docker via une interface web, pas besoin de ré-inventer la roue.

A noter que Docker est implémenté sur les NAS Synology depuis le DSM 5.2 (https://www.synology.com/en-us/dsm/app_p...s/Docker).

VHS-4 Xtreme II AMD Athlon X4 610e | 8Go RAM | 3 x 2To en Raid 5 | v6.x (màj auto)
Visiter le site internet de cet utilisateur Trouver tous les messages de cet utilisateur
Citer ce message dans une réponse
Poster une réponse 


Aller à :




Contact | Ve-hotech | Retourner en haut | Retourner au contenu | Version bas-débit (Archivé) | Syndication RSS