Docker Verständnisfragen!

[HarryMalaria]

Ich hab mir mal spontan Docker auf Opensuse 15.2 aus neugier installiert. Das lief alles problemlos ab. Ich hab mir dann vom hub ein ubuntu image geladen und mit run gestartet, wie es aussieht läuft das auch, wird mir zumindest in der konsole angezeigt. ich wollte es aber auch ausprobieren, finde aber keinen weg, es grafisch zu starten. mit dem execute befehl kann ich zwar die verzeichnisse anzeigen lassen, aber es startet nicht grafisch, so wie z.b in einer virtuellen maschine

 

[honky-tonk]

docker kenne ich auch nur per kosole. soweit ich weiß gibt's da keine gui.

docker ist auch nicht das gleiche wie ne VM...ähnlich ja, aber für ne GUI solltest du da wohl ne ubuntu VM aufsetzen.

 

[burglar225]

Fang doch erstmal bei den Grundlagen an. Docker ist mehr als ausreichend gut dokumentiert:
https://docs.docker.com/get-started/

Wenn du eine Software mit GUI in Docker laufen lassen willst, brauchst du X-Forwarding.

 

[efcoyote]

Docker ist nicht als Ersatz für eine VM zu sehen. Die Aufgabe von Containern ist eher Prozesse oder Anwendungen zu kapseln und bereitzustellen. Das können z.B. klassische Webanwendungen (Wordpress, phpmyadmin, NextCloud), Datenbanken (MariaDB, PostgreSQL) oder andere Sachen, die für gewöhnlich über ein oder mehrere Ports etwas bereitstellen, sein.

Der große Vorteil besteht darin, dass man das Hostsystem nicht vollmüllt. Ein Wordpress benötigt z.B. mindestens einen WebServer, eine PHP-Installation und eine Datenbank. Das ist alles fertig konfiguriert im Container und vereinfach sowohl Installation als auch Updates enorm.

 

[Yuuri]

Dann installier nen X server darin und verbinde dich darauf. Es ist aber wie gesagt kein Ubuntu, was du vom Desktop kennst. Das sieht man bereits daran, dass das ubuntu:latest Image lediglich 73 MB groß ist.

 

[Raijin]

docker kenne ich auch nur per kosole. soweit ich weiß gibt's da keine gui.

Jein. Es gibt Container Manager. Man kann beispielsweise Portainer installieren - selbst ein Docker-Container - und darüber alle Container verwalten, hinzufügen, löschen, starten, beenden, etc. Bedienung via Browser.

Das ändert aber natürlich nichts daran, wenn das Hostsystem selbst als Konsolen-Version daherkommt, das muss weiterhin per Terminal bzw ssh bedient werden, wenn man dort keine GUI installiert wie zB Desktops (KDE, Gnome, etc) oder ebenfalls browserbasiert wie zB webmin und dergleichen.

 

[HarryMalaria]

Danke, jetzt wird mir einiges klar. Ich dachte, man könnte es als Ersatz zu KVM verwenden. Und es wäre einfacher zu handhaben ohne groß zu installieren wie bei einer VM. In dem Verzeichnis sind auch eher Spezialanwendungen vorhanden.

 

[snaxilian]

Docker kann ein wunderbarer Ersatz für KVM sein, muss es aber nicht da auch Docker gewisse Einschränkungen hat bzw. nicht jede Anwendung für eine "Virtualisierung" per Docker geeignet ist.

 

[Yogi7777]

Stöbere dich mal durch https://hub.docker.com/ Da gibt es viele gute Images Aber wie meine Vorredner schon erwähnten, kein Desktop Interface

Vorsicht: Docker umgeht die lokale Firewall. Hängst du deine Docker Instanzen ins Netz, musst du dir das wissen von IPTables aneignen.

 

[snaxilian]

Docker umgeht die lokale Firewall.

Das sind aber schon harte Worte für "wenn man einen Container per expose/port nach außen hin frei gibt, legt der Docker-Daemon die notwendigen Firewallregeln an".
Ja, Docker verändert die Firewallregeln damit das möglich wird, was der Admin beim Deployment explizit angefordert hat und man muss nicht extra die entsprechenden Regeln einpflegen.
Man kann dieses Verhalten aber auch abstellen wenn man sich selbst darum kümmern will/möchte: https://docs.docker.com/network/iptables/

 

[Yogi7777]

Ja, Docker verändert die Firewallregeln damit das möglich wird, was der Admin beim Deployment explizit angefordert hat und man muss nicht extra die entsprechenden Regeln einpflegen.

Ich verwende Docker auf Root Server direkt im Internet (Bungeecord und Lobby für meine Minecraft Servers). Da brauchst du halt sämtliche Ports nach aussen. Da ich aber viele Ports, vor allem für das Administrieren brauche, (MySQL, Netdata usw.) musste ich diese wiederum mit IPTables anfangen einzuschränken. Denn auf Root Server wirst du innherlab der ersten 10 min. nach dem online gehen, mit Bruteforce Attacken (meist mit russischer IP) versucht zu gehackt zu werden^^.

Intern für Entwicklerumgebungen natürlich ein Traum. Container laden, läuft

 

[Raijin]

Docker umgeht keine Firewall-Regeln im eigentlichen Sinne. Die Container werden in einem virtuellen Subnetz angelegt und das Problem dabei ist, dass dadurch in der Firewall nicht mehr die INPUT Chain für die Absicherung zuständig ist, sondern die FORWARD Chain.

Wenn man also zB pihole erst nativ installiert und in der Firewall reglementiert, dann passiert das in der INPUT Chain, weil der Dienst pihole ja direkt auf dem Host läuft. Wechselt man nun auf pihole via Docker, bringen die bisherigen Regeln in der INPUT Chain nichts mehr, weil der Dienst eben nicht nativ auf dem Host läuft, sondern in ein anderes Subnetz geFORWARDed wird.

 

[beercarrier]

Man kann schon eine GUI und dann xrdp nachinstallieren und sich dann remote einloggen. Mit LXC habe ich das schon gemacht weil ich so die AMD A10 igp durchreichen kann was bei einer VM nie stabil lief.