{"id":2685,"date":"2021-01-04T08:00:00","date_gmt":"2021-01-04T07:00:00","guid":{"rendered":"https:\/\/www.my-it-brain.de\/wordpress\/?p=2685"},"modified":"2021-08-01T21:03:04","modified_gmt":"2021-08-01T19:03:04","slug":"kanboard-im-container","status":"publish","type":"post","link":"https:\/\/www.my-it-brain.de\/wordpress\/kanboard-im-container\/","title":{"rendered":"Kanboard im Container…"},"content":{"rendered":"\n

… aber das sind ja gleich zwei Dinge auf einmal. Richtig. Denn hier versuche ich, etwas n\u00fctzliches (Kanboard<\/a>) mit der M\u00f6glichkeit, etwas zu lernen (Container), zu kombinieren.<\/p>\n\n\n\n

Inspiriert durch Dirks Artikel<\/a> und einem darauf folgenden, regen E-Mail-Verkehr, widme ich mich mal wieder dem Thema Linux-Container. Zuletzt hatte ich mich ca. 2016\/2017 damit befasst und es mit der Erkenntnis zu den Akten gelegt, dass es noch ein Hype und f\u00fcr den produktiven Einsatz wenig geeignet war. Mittlerweile hat sich die Lage etwas ge\u00e4ndert. Einige Unternehmen haben sich des Themas angenommen und arbeiten daran, Linux-Container Enterprise-Ready<\/em> zu gestalten. So nehme ich wahr, dass in meinem beruflichen Netzwerk seit ca. Anfang 2019 OpenShift-Cluster wie Pilze aus dem Boden schie\u00dfen. Man k\u00f6nnte den Eindruck gewinnen, dass Red Hat diese Subskriptionen wie geschnitten Brot verkauft. Andere Hersteller scheinen den relativ jungen Markt nicht allein den roten H\u00fcten \u00fcberlassen zu wollen. So hat VMware mit vSphere 7 und Tanzu hier ebenfalls eine L\u00f6sung im Portfolio und auch SUSE scheint sich mit dem Kauf von Rancher in diesem Segment st\u00e4rker zu engagieren.<\/p>\n\n\n\n

Ich selbst m\u00f6chte mein Wissen rund um dieses Thema auffrischen und habe mir daher folgendes Wochenendprojekt \u00fcberlegt. Um Projekte, Aufgaben oder schlicht den Alltag besser zu organisieren, m\u00f6chte ich zuk\u00fcnftig die Anwendung Kanboard nutzen. Diese Anwendung unterst\u00fctzt die Aufgaben- bzw. Projekt-Organisation nach der Kanban-Methode<\/a>. Sie macht einen minimalistischen Eindruck, kommt ohne viel Schnick-Schnack daher und scheint daher gut zu mir zu passen. Um gleichzeitig praktische Erfahrungen im Umgang mit Linux-Containern zu sammeln, werde ich Kanboard mit einer Postgresql-Datenbank mit Hilfe von zwei Containern betreiben.<\/p>\n\n\n\n

In meinen Augen wird Docker in den n\u00e4chsten Jahren sowohl als Firma wie auch als Werkzeug stetig an Bedeutung verlieren. Daher setze ich bei der Umsetzung meines Wochenend-Projekts auf die Werkzeuge podman<\/code>, skopeo<\/code> und buildah<\/code>.<\/p>\n\n\n\n

Ich gehe in diesem Text nicht<\/strong> auf die Konzepte, die Architektur, sowie die Vor- und Nachteile von Linux-Containern ein. Hierzu wurde in den letzten Jahren bereits genug an anderer Stelle geschrieben. Informationen zu diesen Themen finden sich in der — im Aufbau befindlichen — Linksammlung<\/a> und am Ende dieses Artikels<\/a>.<\/p>\n\n\n\n

Umfeld<\/h2>\n\n\n\n

Als Basis f\u00fcr dieses Projekt dient mir eine virtuelle Maschine in meinem heimischen Labor. Als Betriebssystem nutze ich ein aktuelles RHEL 8 mit der kostenlosen Developer-Subskription<\/a>. Diese VM dient mir als Host zum Ausf\u00fchren diverser Linux-Container. Um die Container aus dem Netzwerk erreichbar zu machen, installiere ich NGINX aus den Paketquellen von RHEL 8. Dieser k\u00fcmmert sich als Reverse-Proxy<\/a> um die Portweiterleitung zu den Containern. <\/p>\n\n\n\n

Ziele<\/h2>\n\n\n\n

Mit diesem Wochenendprojekt m\u00f6chte ich folgende Ziele erreichen:<\/p>\n\n\n\n

  1. Bereitstellung der Anwendung Kanboard mittels Linux-Container<\/li>
  2. Nutzung von Postgresql mittels Container als Kanboard-Datenbank-Backend<\/li>
  3. Persistente Speicherung der Kanboard-Inhalte im Dateisystem des Hosts<\/li>
  4. Erreichbarkeit und Nutzbarkeit von Kanboard \u00fcber den NGINX-Reverse-Proxy<\/a><\/li>
  5. Einrichtung Backup und Restore<\/a><\/li>
  6. Updates<\/a><\/li><\/ol>\n\n\n\n

    Schritt 1: rootless-Container-Umgebung einrichten<\/h2>\n\n\n\n

    W\u00e4hrend Entwickler viel Schwei\u00df und Tr\u00e4nen investiert haben, damit Dienste wie Apache oder NGINX nach ihrem Start die root-Rechte ablegen k\u00f6nnen, liefen die ersten Linux-Container durchg\u00e4ngig mit root-Rechten. Dies ist aus Sicht der IT-Sicherheit nicht w\u00fcnschenswert. Daher ist es in meinen Augen erfreulich, dass es mittlerweile auch ohne root-Rechte geht; Kernel User Namespaces<\/em> sei Dank.<\/p>\n\n\n\n

    Ich folge der Red Hat Dokumentation (Kapitel 1.4, [1<\/a>]), um den User Alice<\/em> f\u00fcr die Nutzung von rootless-Containern einzurichten.<\/p>\n\n\n\n

    # echo \"alice:165537:65536\" >> \/etc\/subuid\n[root@podhost-r8-1 ~]# echo \"alice:165537:65536\" >> \/etc\/subgid\n[root@podhost-r8-1 ~]# echo \"user.max_user_namespaces=65636\" > \/etc\/sysctl.d\/userns.conf\n[root@podhost-r8-1 ~]# sysctl -p \/etc\/sysctl.d\/userns.conf\nuser.max_user_namespaces = 65636<\/code><\/pre>\n\n\n\n
    Anschlie\u00dfend installiere ich wie in Kap. 1.3 [1<\/a>] beschrieben die Container-Tools.<\/p>\n\n\n\n
    # yum module install -y container-tools<\/code><\/pre>\n\n\n\n
    $ podman --version\npodman version 2.0.5<\/code><\/pre>\n\n\n\n
    Der Werkzeugkasten ist best\u00fcckt. Weiter zu Schritt 2.<\/p>\n\n\n\n
    Schritt 2: Container-Images suchen, inspizieren und herunterladen<\/h2>\n\n\n\n
    Mit dem Kommando podman<\/code> mache ich mich auf die Suche nach Containern f\u00fcr Kanboard.<\/p>\n\n\n\n
    $ podman search kanboard\nINDEX       NAME                                            DESCRIPTION                                       STARS   OFFICIAL   AUTOMATED\ndocker.io   docker.io\/kanboard\/kanboard                     Official Docker image for Kanboard                34\ndocker.io   docker.io\/webhippie\/kanboard                    Docker images for Kanboard                        2                  [OK]\ndocker.io   docker.io\/larueli\/kanboard-nonroot              Safe image for Kanboard as Non Root \/ Suitab...   0\ndocker.io   docker.io\/masker\/kanboard                       use alpine linux build kanboard server            0\ndocker.io   docker.io\/xoxys\/kanboard                        Deprecated                                        0\ndocker.io   docker.io\/dotriver\/kanboard                     Kanboard on Alpine Linux + S6 Overlay             0\ndocker.io   docker.io\/thegeeklab\/kanboard                   Custom image for Kanboard Kanban project man...   0\ndocker.io   docker.io\/jonats\/kanboard-pi                    Raspberry Pi image for Kanboard                   0\ndocker.io   docker.io\/bastilian\/kanboard                                                                      0\ndocker.io   docker.io\/oriaks\/kanboard                       Kanboard                                          0                  [OK]\ndocker.io   docker.io\/kanboard\/tests                                                                          0\ndocker.io   docker.io\/blufor\/kanboard                       Kanboard with Postgres, SMTP and GitLab inte...   0                  [OK]\ndocker.io   docker.io\/boomer\/kanboard                       Kanboard is a simple visual task board web a...   0\ndocker.io   docker.io\/joshuacox\/kanboard-redmine            kanboard redmine importer                         0                  [OK]\ndocker.io   docker.io\/janost\/kanboard-unit                  Kanboard + nginx unit, running rootless with...   0\ndocker.io   docker.io\/benoit\/kanboard                                                                         0                  [OK]\ndocker.io   docker.io\/lidstah\/kanboard                      Kanboard armv71 debian (nginx\/php7-fpm) base...   0\ndocker.io   docker.io\/doc75\/kanboard                                                                          0\ndocker.io   docker.io\/witsec\/kanboard                       Kanboard, with the option to filter (hide) s...   0                  [OK]\ndocker.io   docker.io\/ionutalexandru97\/kanboard-openshift   Kanboard ready to be deployed on OpenShift        0\ndocker.io   docker.io\/hihouhou\/kanboard                     simple kanboard                                   0                  [OK]\ndocker.io   docker.io\/alxsdhm\/kanboard                      kanboard image                                    0\ndocker.io   docker.io\/papango\/kanboard                                                                        0\ndocker.io   docker.io\/mrtheduke\/kanboard                    kanboard                                          0\ndocker.io   docker.io\/kvorobyev\/kanboard_app<\/code><\/pre>\n\n\n\n
    Herzlichen Gl\u00fcckwunsch. Die Trefferliste stellt f\u00fcr mich als SysAdmin einen Alptraum dar. S\u00e4mtliche Treffer stammen vom Docker-Hub, einem riesigen Misthaufen f\u00fcr Software (welcher durchaus ein paar Perlen enthalten kann). Von den 26 Treffern ist keiner als OFFICIAL<\/em> markiert, lediglich die Anzahl STARS<\/em> bietet einen Anhaltspunkt, welcher Container den meisten Zuspruch findet. In einer Produktiv-Umgebung sollte man sich jedoch nicht allein auf diese Sterne verlassen. Ich inspiziere das Container-Image mit den meisten Sternen mit skopeo<\/code>:<\/p>\n\n\n\n
    $ skopeo inspect docker:\/\/docker.io\/kanboard\/kanboard | less<\/code><\/pre>\n\n\n\n
    Die vollst\u00e4ndige Ausgabe spare ich hier aus. Sie ist wenig hilfreich. Mit ein wenig Internet-Recherche ([2<\/a>], [3<\/a>] und [4<\/a>]) bin ich hinreichend sicher, das „offizielle“ Container-Image des Projekts gefunden zu haben.<\/p>\n\n\n\n
    Als n\u00e4chstes mache ich mich auf die Suche nach Postgresql:<\/p>\n\n\n\n
    $ podman search postgresql | wc -l\n64<\/code><\/pre>\n\n\n\n
    Naja, zumindest an Auswahl scheint es auch diesmal nicht zu mangeln. Hier komme ich so jedoch nicht weiter. Also nehme ich einen Webbrowser zur Hand und recherchiere ein geeignetes Container-Image unter der URL: https:\/\/catalog.redhat.com\/software\/containers\/explore<\/a><\/p>\n\n\n\n
    Da ich Red Hat bereits zutraue, eine stabile und hinreichend sichere Enterprise Linux Distribution zu bauen, traue ich ihnen auch zu, ordentliche Container-Images f\u00fcr Postgresql zu bauen. Daher fasse ich folgende drei Kandidaten ins Auge:<\/p>\n\n\n\n
    1. rhel8\/postgresql-96<\/a><\/li>
    2. rhel8\/postgresql-10<\/a><\/li>
    3. rhel8\/postgresql-12<\/a><\/li><\/ol>\n\n\n\n
      Zu diesem Zeitpunkt (2020-12-27) fehlt Nr. 3 eine ordentliche Beschreibung. Daf\u00fcr kommt dieses Image mit 6 offenen Sicherheitsl\u00fccken daher. Nr. 2 besitzt nur 3 Schwachstellen und eine deutliche bessere Dokumentation zu dessen Verwendung. Und Nr. 1 ist zwar das \u00c4lteste, jedoch auch das mit einer guten Dokumentation und ohne Schwachstellen.<\/p>\n\n\n\n
      Kanboard erfordert Postgresql >= 9.4. Damit ist Nummer 1 mein Gewinner. Mit den beiden folgenden Kommandos hole ich mir die Kanboard- und Postgresql-Container-Images auf meinen Host.<\/p>\n\n\n\n
      $ podman pull docker.io\/kanboard\/kanboard\nTrying to pull docker.io\/kanboard\/kanboard...\nGetting image source signatures\nCopying blob df20fa9351a1 done  \nCopying blob 3108c8300796 done  \nCopying blob b190b4dd9bb5 done  \nCopying blob bb1f52abd628 done  \nCopying blob e37ffd2cbe7b done  \nCopying config c355188e0c done  \nWriting manifest to image destination\nStoring signatures\nc355188e0c187bc891826d282cc850cbe0907ccd7df28d4487d024d831c4f9af\n\n$ podman login --username=Joerg-Dev registry.redhat.io\nPassword: \nLogin Succeeded!\n$ podman pull registry.redhat.io\/rhel8\/postgresql-96\nTrying to pull registry.redhat.io\/rhel8\/postgresql-96...\nGetting image source signatures\nCopying blob cca21acb641a done  \nCopying blob 620696f92fec done  \nCopying blob fca753c96be9 done  \nCopying blob d9e72d058dc5 done  \nCopying config f7266b012d done  \nWriting manifest to image destination\nStoring signatures\nf7266b012db03478b858eba6af4264829b99ce9ac67d6bc8a7c273b5fc5c8e9a<\/code><\/pre>\n\n\n\n
      Damit ist dieser Schritt abgeschlossen. In Schritt drei erstelle ich sogenannte Volumes<\/em>, um Daten au\u00dferhalb der Container persistent im Dateisystem des Hosts speichern zu k\u00f6nnen.<\/p>\n\n\n\n
      Schritt 3: Persistenten Speicher f\u00fcr Container erzeugen<\/h2>\n\n\n\n
      Nach dem Container-Mantra haben diese zustandslos zu sein. Dies bedeutet, dass in ihnen gespeicherte Daten verloren gehen, wenn der Container entfernt wird. Nun hat es die Elektronische Datenverarbeitung (EDV) so an sich, dass das Ergebnis der Verarbeitung h\u00e4ufig persistent zu speichern ist. Dies kann im Container-Universum mit sogenannten Volumes<\/em> erledigt werden. Hierbei wird ein Verzeichnis vom Host in den Container eingeh\u00e4ngt.<\/p>\n\n\n\n
      F\u00fcr mein Projekt erstelle ich nach Kapitel 3.4 [1<\/a>] folgende Volumes:<\/p>\n\n\n\n