George
выглядит примерно так
George
https://gist.github.com/orita/9168282
George
нюанс в том, что весь yum install нужно делать в один слой. И потом сразу клин там же.
Vadim
нюанс в том, что весь yum install нужно делать в один слой. И потом сразу клин там же.
yum -y install mercurial wget unzip lsof openssh-clients epel-release \
&& yum -y update \
... pip install x10
George
тут нету yum clean
George
без него у тебя yum насасывает файлов и кэшей, которые потом лежат и могут хоть 40ГиБ съесть
Vadim
без него у тебя yum насасывает файлов и кэшей, которые потом лежат и могут хоть 40ГиБ съесть
Ого. Спасибо . Сейчас внимательно прочитаю
Andrey
Здравствуйте :)
Sergey
Denis
Всем привет!
Sergey
Lev
http://neprivet.ru/
Sergey
Lev
как-то по вахтерски что-ли)
Denis
Кто как закрывает порты контейнеров из вне?
Т.е. сейчас доступ к DB есть через ip:port. А нужно закрыть такую возможность. Через ufw и правилами iptables не получается...
Lev
а вопрос классный. тоже интересно стало
Mikhail
Denis
т.как доступ при правилах не запрещают доступ
Denis
скорее всего из-за самого Докера, который сам вносит правила в iptables
Denis
sudo iptables -A INPUT -p tcp --dport 3306 -j DROP
Denis
но достучаться все так же могу до mysql
Denis
sudo ufw deny 3306
Denis
аналогично
George
у тебя есть отдельная цепочка DOCKER-USER
George
либо ты на этапе прероутинга отшибаешь левые пакеты
Oleg
-A INPUT -s 192.168.3.x -i eth0 -p tcp -m tcp --dport 3306 -m comment --comment "" -j DROP
-A INPUT -s 192.168.3.x -i eth0 -p tcp -m tcp --sport 3306 -m comment --comment "" -j DROP
George
а еще можешь полностью взять на себя менеджмент правилами файрволла, чтобы докер не подгаживал
George
-A INPUT -s 192.168.3.x -i eth0 -p tcp -m tcp --dport 3306 -m comment --comment "" -j DROP
-A INPUT -s 192.168.3.x -i eth0 -p tcp -m tcp --sport 3306 -m comment --comment "" -j DROP
но это прям затаскивает целый кусок инфраструктуры
Oleg
cм сам как у тебя
George
я прероутингом отшибал
Denis
сам прописывать правила для докера это конено хорошо) но думал что есть промежуточный вариант, а именно дописывать правила для тех контейнеров, которые хочешь отсечь
Vadim
тут нету yum clean
Не подскажешь ? Монтирую директорию из нее беру файл с этим всё ок. Но нужно туда тоже копировать несколько файлов что бы получить их на хосте
George
сам прописывать правила для докера это конено хорошо) но думал что есть промежуточный вариант, а именно дописывать правила для тех контейнеров, которые хочешь отсечь
Вообще этим должна инфраструктура заниматьмя
Vadim
Не подскажешь ? Монтирую директорию из нее беру файл с этим всё ок. Но нужно туда тоже копировать несколько файлов что бы получить их на хосте
Я думал не хватает прав и дал группе докер права на директорию . Не помогло
Старый
Старый Хрыч, [15.01.19 16:47]
version: '3.6'
services:
nginx-proxy:
image: jwilder/nginx-proxy
ports:
- "14623:80"
volumes:
- /var/run/docker.sock:/tmp/docker.sock:ro
whoami:
image: proxynode
expose:
- "80"
deploy:
replicas: 100
вдохновлялся вот этим
version: '2'
services:
nginx-proxy:
image: jwilder/nginx-proxy
ports:
- "80:80"
volumes:
- /var/run/docker.sock:/tmp/docker.sock:ro
whoami:
image: jwilder/whoami
environment:
- VIRTUAL_HOST=whoami.local
но решил заменить на один из примеров где было expose:
- "80"
Старый
по сути есть контейнер proxynode, оно клиенту выдаёт проксю, от jwilder/nginx-proxy требуется тупо передать клиента одной из 100 реплик прокс
Старый
по итогу контейнер с jwilder/nginx-proxy недоступен из вне
Старый
нет, более того, если зайти на контейнер с jwilder/nginx-proxy netstat скажет
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 127.0.0.11:37676 0.0.0.0:* LISTEN -
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 36/nginx: master pr
udp 0 0 127.0.0.11:49078 0.0.0.0:* -
Active UNIX domain sockets (only servers)
Proto RefCnt Flags Type State I-Node PID/Program name Path
Старый
tcp6 0 0 :::14623 :::* LISTEN 91095/dockerd а вот так это в netstat
Старый
но 101 контейнер созданы
George
Создай 1 контейнер
George
Скейлить будешь потом
Старый
ну разница в 1 парметре
Старый
и вряд ли оно в нём дело
Старый
да, docker stack deploy proxy.yml proxy
Старый
мне не нужно уйму виртуалхостов, мне нужен минимальный балансинг и чтобы 100-1000 контейнеров были доступны с 1 порта и адреса
Старый
😕вот куда деваются вечно люди, которые говорят что на мои вопросы любой ответить может
Старый
ну как бы а у нас 98(по нашему) в принципе нет
Старый
такого уровня
Кирилл
У нас бы он стоил все 250
Sergey
Оффтоп
Старый
контейнер с тором
Sergey
Хрыч сделай сначала без скейла
Старый
Хрыч сделай сначала без скейла
Старый Хрыч, [15.01.19 18:28]
Старый Хрыч, [15.01.19 16:47]
version: '3.6'
services:
nginx-proxy:
image: jwilder/nginx-proxy
ports:
- "14623:80"
volumes:
- /var/run/docker.sock:/tmp/docker.sock:ro
whoami:
image: proxynode
expose:
- "80"
вот без скейла, разницы нет
Старый
ip:порт, при наличии серта клиентского выдаётся соединение
Sergey
А зачем там сокет торчит
Sergey
В томах
Sergey
А ты знаешь зачем?
Sergey
Или опять взял не глядя и возмущаешься
Sergey
Убери сокет
Залепи страничку тудыть
Проверь что у тебя хоть проброс работает
Или логи глянь
Sergey
А то в угадайку играть будем
Старый
Убери сокет
Залепи страничку тудыть
Проверь что у тебя хоть проброс работает
Или логи глянь
без волюма не стартует jwilder/nginx-proxy
George
Ты половину истории опускаешь )
George
Я повторюсь, что я у себя запустил с твоим конфигом, ну, другим клиентским образом (у меня такого нет, очевидно)
George
Вывод - проблема в окружении.
Старый
docker run -d --rm -p 9593:80 --ulimit nofile=40000:40000 --ulimit nproc=40000:40000 proxynode ну вот так же запускаетсяч
George
docker run -d --rm -p 9593:80 --ulimit nofile=40000:40000 --ulimit nproc=40000:40000 proxynode ну вот так же запускаетсяч
А в докер-компоузе у тебя ведь улимиты не поставлены ?!
George
Но это если докапываться
Старый
поставлю позже
George
И пользуйся апострофом
George
this is code
George
this
Is multiline code
Старый
мне бы понять почему
nginx ports:
- "14623:80"
Старый
не применяет на вывод во внещний мир
Andrey
У тебя swarm?