Tech

Bewertung der Auswirkungen neuer Docker-Pull-Rate-Limits in APPUiO

3. Nov 2020

Docker Inc., das Unternehmen, welches hinter Docker Hub steht, hat vor kurzem eine Beschränkungen der Image-Pull-Rate für Benutzer von Docker Hub angekündigt. Diese Änderung betrifft alle Cloud Native Installationen, die so konfiguriert sind, dass sie Container Images verbrauchen, welche in Docker Hub gespeichert sind, einer der populärsten Container Registries. Diese Massnahme hat direkte Auswirkungen auf den Einsatz vieler Kundenanwendungen, die derzeit auf APPUiO Public und privaten Clustern laufen.

Wir verfolgen die Situation aufmerksam. Nach den jüngsten Ankündigungen beginnt der Docker Hub langsam damit, eine Begrenzung der Abrufrate auf 100 Abrufe pro 6 Stunden für anonyme (nicht authentifizierte) IP-Adressen und 200 Abrufe pro 6 Stunden für authentifizierte kostenlose Benutzer durchzusetzen. Dies bedeutet, dass ein gesamter Kubernetes- oder OpenShift-Cluster ohne authentifizierung für alle seine Benutzer nur 100 Container Images in 6 Stunden von Docker Hub abrufen kann. Während Wartungsperioden werden üblicherweise die meisten Container Images eines Clusters abgerufen. Eine Reduzierung der Limite für die Abrufrate kann aus diesem Grund zu Ausfallzeiten führen.

Diese Situation sollte das heutige Wartungsfenster nicht beeinträchtigen. Obwohl die Beschränkung der Abrufrate am Montag, dem 2. Oktober 2020 angekündigt wurde, zeigt eine Analyse der „Responses“ von Docker Hub, dass die neuen Begrenzungen noch nicht angewendet wurden. Diese werden nur während eines 3-Stunden-Fensters von 18:00 bis 21:00 Uhr (MEZ) morgen durchgesetzt . Leider wissen wir zu diesem Zeitpunkt noch nicht, wann die neuen Pull-Rate-Limits vollständig durchgesetzt werden.

Bemerkenswert ist auch, dass diese Einschränkungen weder für die interne OpenShift-Registry gelten die in APPUiO Public oder Private enthalten ist und die völlig unabhängig vom Docker Hub ist, noch für Docker-Benutzer mit Pro- oder Team-Konten. Authentifizierte Benutzer mit Pro- oder Team-Konten können unbegrenzt Daten von und zum Docker Hub übertragen.

VSHN evaluiert derzeit Massnahmen, um Ausfallzeiten zu verhindern und die Auswirkungen dieser Situation für unsere Kunden zu reduzieren. Die derzeit geeignetste Lösung besteht in der Umstellung auf die oben genannten Pro- oder Team-Docker-Kontoarten. Noch einfacher ist die Verwendung eines authentifizierten Benutzerkontos als Pull Secret anstelle eines anonymen Kontos, das die Pull-Rate-Grenze verdoppelt und das Risiko von Ausfallzeiten erheblich verringern könnte. Eine andere Möglichkeit besteht darin, Container Images in ein anderes öffentliches Register zu migrieren, wie z.B. Red Hat Quay. Eine andere Möglichkeit ist die Verwendung eines privaten Registers, wie AWS ECR, GitLab Container Registry, Harbor oder andere ähnliche Technologien. Insbesondere hat AWS kürzlich die zukünftige Verfügbarkeit („innerhalb von Wochen“) eines kostenlosen öffentlichen Registers angekündigt.

Bei Fragen dürfen Sie uns gerne kontaktieren.

Gabriel Mainberger

Gabriel Mainberger ist ein DevOps-Ingenieur bei VSHN.

Kontaktiere uns

Unser Expertenteam steht für dich bereit. Im Notfall auch 24/7.

Kontakt
Interne

Willkommen im Team, Gabriel!

16. Apr 2018

Mein einstiger Berufswunsch war Netzwerk-Techniker oder Software-Entwickler, was sich jedoch bisher nicht ergab. Ich habe meine Berufslehre im Bereich System Technik und in 2012 meine Weiterbildung zum eidg. dipl. Informatiker abgeschlossen. Die letzten 13 Jahre bin ich dem Server, Storage, Backup Infrastruktur Bereich treu geblieben. Neben allerlei Applikationsbetrieb, aber hauptsächlich im Bereich Virtualisierung. Die letzten vier Jahre habe ich Architekturen für VMware Umgebungen erstellt und war als Consultant mit Requirements-Engineering beschäftigt. Insgesamt aber immer im klassischen IT Umfeld. Die Komplexität und Herausforderung dieser Aufgaben wäre immer noch hoch spannend, aber aufgrund der Entwicklung der Dynamisierung der IT und dem immer grösserem Volumen, ist eine manuelle Bereitstellung und Betrieb immer weniger sinnvoll, qualitativ nicht tragbar und kaum mehr wirtschaftlich.
In meiner neuen Funktion werde ich für die Infrastruktur von OpenShift-Umgebungen zuständig sein und meine Erfahrung einsetzen, um bisher klassisch betriebene Anwendungen in ein hochdynamisches Umfeld mit OpenShift überführen. Ich freue mich von einer klassischen IT in eine Agile IT zu wechseln und viele neue Technologien und Prozesse im Umfeld der VSHN erlernen zu dürfen. DevOps wird mein Arbeitsalltag. Meine Aufgabe wird es, alle Prozesse möglichst durchgängig skalierbar zu automatisieren. Automatisierungs- bzw. Configuration Management-Werkzeuge wie Ansible, Puppet, etc. bilden dazu die Grundlage und es gibt in dieser Hinsicht noch viel Entwicklungspotential, diese Werkzeuge und die eigenen Fähigkeiten darin zu optimieren. Der Traum wäre es die Prozesse soweit zu automatisieren, dass ein Onboarding von Applikationen nur noch eine Kleinigkeit wäre. VSHN ist in dieser Hinsicht sehr offen und arbeitet viel mit und für Open Source, was in einem Geben und Nehmen zu besseren Lösungen führt. Und nebenbei kann ich damit vielleicht meinem ursprünglichem Berufswunsch ein wenig näher kommen… 

Gabriel Mainberger

Gabriel Mainberger ist ein DevOps-Ingenieur bei VSHN.

Kontaktiere uns

Unser Expertenteam steht für dich bereit. Im Notfall auch 24/7.

Kontakt