Docker auf Synology

[Don-DCH]

Guten Mittag zusammen,

ich würde mich gerne mit Docker beschäftigen und dieses auf meinem Synology NAS installieren. Nun Frage ich mich, ob es sinnvoller ist, Docker direkt auf dem NAS zu installieren oder in einer virtuellen DSM Instanz?

Vorteil von der direkten Variante wäre, dass man nicht noch extra ein DSM pflegen müsste. Docker wird bzw. Die Container sind ja soweit ich weiß isoliert. Wenn also eine Anwendung im Container eine Sicherheitslücke hat wäre das nicht schlimm oder doch, da ja der Linux Kernel verwendet wird?

Viele Grüsse und einen schönen Tag euch

 

[duAffentier]

Kannst du direkt installieren. Es heist ja seit dem Update auch anders.
Je nach dem welche Sachen du dort verwendest, aber das wäre wohl ein Einzelfall dann. Alles was Freigegeben ist, wäre dann nur betroffen.

 

[TechX]

"Produktiv" würde ich Docker, wenn schon Syno-NAS, direkt laufen lassen - ausser Du hast da ohnehin einen Boliden am Start.

Zum reinen "Beschäftigen" würde ich auf einem anderen Rechner in einer VM erstmal rumspielen.

 

[Creeping.Death]

Inzwischen nennt sich das Teil "Container Manager" und funktioniert richtig gut. Ich würde es direkt als Paket installieren.

 

[Sturmwind80]

Wie schaut es mit dem Stromverbraucht der NAS aus? Ich habe Mal gehört, dass die NAS dafür nicht mehr in den Ruhestand gehen kann und dann durchgehend mehr verbraucht? Ansonsten hatte ich auch mal überlegt Pi-Hole zu installieren.

 

[duAffentier]

Das ist eine Grundlage, wenn "Arbeit" ansteht, kann kein IDLE sein.
Wenn z.B. PiHole läuft, geht kein StandBy mehr! Da es ja immer An ist.
Aber der Stromverbrauch ist minimal. Je nach Anwendung dann.
Was heist "mehr verbrauch"?

 

[snaxilian]

Ich habe Mal gehört

Ja, nein, vielleicht und hörensagen.

Sobald irgendwelche Dienste auf einem Server laufen (und auch ein NAS ist ein Server) und diese Dienste Ressourcen der CPU benötigen bzw. Ressourcen der Laufwerke benötigen, können diese natürlich nicht in irgendeine Art des Ruhemodus wechseln. Wie denn auch?
Dabei ist es aber völlig unerheblich ob das irgendwas per Docker ist oder andere "Apps" die auf der Synology laufen bzw. installiert werden.
Wird nur die NAS Funktionalität verwendet, kann man prüfen ob noch Zugriffe auf Freigaben erfolgen und falls nicht, die Platten schlafen legen und auch das OS in Teilen schlafen legen und muss nur auf die notwendigen Ports lauschen ob wieder Anfragen kommen. Falls ja, wird OS und Platten eben wieder geweckt. Das ist etwas, das Synology implementiert hat aber eben nur für klassische Freigaben und nicht jeden Firlefanz an Zusatzsoftware, Containern und VMs, die die Anwender eben noch so installieren und betreiben.

Wenn also eine Anwendung im Container eine Sicherheitslücke hat wäre das nicht schlimm oder doch, da ja der Linux Kernel verwendet wird?

Die reine Verwendung des Linux Kernels und die reine Verwendung von Docker macht nichts sicherer. Es gibt viele Möglichkeiten den potentiellen Schaden einzugrenzen. Man kann man auch problemlos Docker Container so betreiben, dass ein Ausbruch und Übernahme des Hostsystems möglich ist, das kommt auf die einzelne Konfiguration und Anwendung drauf an und lässt sich nicht pauschal sagen.

Docker direkt auf dem NAS zu installieren oder in einer virtuellen DSM Instanz?

Das kommt darauf an: Willst du irgendetwas bzgl. Container betreiben/konfigurieren, dass ggf. durch Limitierungen der Container Station nicht ohne weiteres geht, dann solltest du ggf. auf eine eigene VM ausweichen. Wenn nicht, spricht nichts gegen die Container Station.
Eine eigene virtuelle DSM Instanz brauchst du dafür nicht, hier reicht eine ganz normale Linux VM deiner Wahl in der du dann Docker installierst.

 

[Don-DCH]

Vielen herzlichen Dank euch für die zahlreichen Antworten!
Leider hatte ich die letzten Tage nicht allzuviel Zeit, mich damit zu beschäftigen, daher melde ich mich auch jetzt erst, leider sehr spät.

Ich habe den Container Manager Installiert auf meinem NAS direkt ohne virtuelle zwischeninstanz.
Jetzt habe ich mir verschiedene Sachen rausgeschaut die ich ebenfalls übernehmen wollte auf mein Docker. Grundsätzlich klappte das recht gut. Bei komplizierteren Sachen oder aufwendig zu konfigurierenden Paketen wird oft Portainer genommen.

Das hatte ich über den Container Manager installiert, leider hatte er nie meine COntainer bzw. Docker instanz gefunden.
Sämtliche Installationsanleitungen im Netz setzen auf die Installation via SSH.
Einen anderen Weg gibt es anscheind nicht, zumindest habe ich keinen gefunden.
Ungern würde ich etwas per SSH ich nenn es mal "rumfummeln/rumexperimentieren" ohne, dass ich nachher weiß wie ich den Portainer beispielsweise entfernen kann.
Ohne Portainer ist die verwaltung über die GUI tatsächlich recht arbeitsintensiv, gerade beim testen mit Parametern mitgeben und Ports, immer wieder alles durchzuklickern.
Bei Portainer kann man ja passende skripte anlegen, was ich überaus praktisch finde.
Jetzt überlege ich ob ich SSH freischalte und Portainer installieren soll, was denkt Ihr?

Viele Grüße

 

[Creeping.Death]

Jetzt überlege ich ob ich SSH freischalte und Portainer installieren soll, was denkt Ihr?

Portainer würde ich nicht "installieren", sondern ebenfalls als Docker Container betreiben.
Aber SSH würde ich auf jeden Fall freischalten.