Скорее всего он перетерает цепочки докера

у меня был конфликт на centos между firewalld и iptables, пока полностью не выпилил firewalld - все работало крайне не стабильно

Скорее всего он перетерает цепочки докера

В логах iptables должны фиксироваться эти изменения?

А существуют логи iptables?

А существуют логи iptables?

tcpdump 😢

tcpdump это сниффер

логов маршрутизации быть не может )) поэтому и есть tcpdump

маршрутизация и iptables совершенно разные сущности, не путайте людей

ok, просто у меня проблема была с тем, что при создании правил в iptables пропадали в цепочкам дестинейшены и из-за этого трафик отдавался из контейнеров к таком хаотичном порядке

В логах iptables должны фиксироваться эти изменения?

Посмотрите в сторону того как вы инициализируете фаервол и каким образом вносите в него изменения. Если это самописный скрипт или же какой то инструмент с вероятностью 99% он не учитывает тех изменений которые вносит докер в iptables при старте

Посмотрите в сторону того как вы инициализируете фаервол и каким образом вносите в него изменения. Если это самописный скрипт или же какой то инструмент с вероятностью 99% он не учитывает тех изменений которые вносит докер в iptables при старте

ок, спасибо, буду ковырять

Посмотрите в сторону того как вы инициализируете фаервол и каким образом вносите в него изменения. Если это самописный скрипт или же какой то инструмент с вероятностью 99% он не учитывает тех изменений которые вносит докер в iptables при старте

csf может быть причиной?

csf может быть причиной?

почти наверняка, ибо он перезаписывает правила под себя при запуске

почти наверняка, ибо он перезаписывает правила под себя при запуске

ясно, спасибо

есть проекты, которые вроде как пытаются решить эту проблему: https://github.com/juliengk/csf-post-docker

Привет. В чем реальное преимущество использования Rancher + Kubernetes по сравнению с чистым Kubernetes? Load balancing и там и там, UI тоже. Разве что настройка Kubernetes значительно проще через Rancher, и добавление/сетап нод. Есть какие-то ещё весомые плюсы?

,,,,,,... Наверное лучше спросить в чатике про Кубернетес https://t.me/kubernetes_ru

,,,,,,... Наверное лучше спросить в чатике про Кубернетес https://t.me/kubernetes_ru

о, отлично, спасибо.

вполне себе пулит

спасибо. доккер спулился, а как передать параметры и запустить его через ансибл? например, он у меня запускается так docker run --privileged --name pexporter -d -v /proc:/host/proc -p 127.0.0.1:9256:9256 process-exporter:master -procfs /host/proc -procnames postgres,chromium-browse,bash,prometheus,gvim,upstart:-user -namemapping "upstart,(-user)" как это в ансибл завернуть?

https://t.me/vr_news

господа, поясните, пожалуйста, зачем нужен a data volume container, в чем его преимущество перед монтированием host-директории опцией -v ?

господа, поясните, пожалуйста, зачем нужен a data volume container, в чем его преимущество перед монтированием host-директории опцией -v ?

Я для себя нашёл два преимущества: - можно удобно шарить между контейнерами; - маунтится раздел с данными полученными в процессе билда(например ты в хомяке юзеров уже создал при билде и хочешь чтобы они хранились на машине вне зависимости от удаления/апдейта образа/контейнера)

Есть в докере возможность вызывать ONBUILD триггеры всех/определённого предка? Например у меня есть onbuild образ, поверх него ещё один и я хочу положить ещё один сверху и при этом выполнить ONBUILD директивы первого

Я для себя нашёл два преимущества: - можно удобно шарить между контейнерами; - маунтится раздел с данными полученными в процессе билда(например ты в хомяке юзеров уже создал при билде и хочешь чтобы они хранились на машине вне зависимости от удаления/апдейта образа/контейнера)

По поводу п.1. В чем удобство по сравнению с обычным монтированием каталога внутрь контейнера? Или могут возникнуть проблемы при монтировании одного каталога в несколько контейнеров? п.2: насколько я понимаю, данные в data volumes не удаляются при удалении/обновлении образов/контейнеров. поправьте меня, если я в чем-то не прав

По поводу п.1. В чем удобство по сравнению с обычным монтированием каталога внутрь контейнера? Или могут возникнуть проблемы при монтировании одного каталога в несколько контейнеров? п.2: насколько я понимаю, данные в data volumes не удаляются при удалении/обновлении образов/контейнеров. поправьте меня, если я в чем-то не прав

Использование data volume container-ов - это устаревший способ шаринга данных между контейнерами. никаких преимуществ нет. В настоящий момент времени рекомендуется использовать исключительно volumes, хоть возможность использования data volume container-ов все еще остается.

Спасибо за ответ.

не за что!

Подскажите, пожалуйста. Каким образом можно передать параматры доккеру, через плэйбук (ansible) ? например -procnames postgres,chromium-browse,bash,prometheus,gvim,upstart:-user -namemapping "upstart,(-user)"

Переменная окружения например

Но это какой-то докер для бедных

Проще один раз собрать образ и пушнуть

Смысл билдить внутри

Смысл билдить внутри

Для разных сервачков- параметры отличаются, по этой причине

сижу-читаю про приватные репозитории докера какая-то боль с самоподписанными сертификатами ((

https://letsencrypt.org/ ?

о, то что надо низкий поклон тебе, добрый человек

котаны, есть ли готовое решение по доставке GIT -> Build Image -> Run container on remote host ? очень желательно чтобы опенсорсное

котаны, есть ли готовое решение по доставке GIT -> Build Image -> Run container on remote host ? очень желательно чтобы опенсорсное

Travis ?

котаны, есть ли готовое решение по доставке GIT -> Build Image -> Run container on remote host ? очень желательно чтобы опенсорсное

Concourse, drone.io

спасибо у меня код в битбакете, остановился пока на GoCD, почитаю и как раз есть два сервера, один мастер и один рабочий

Гитлаб умеет

И делает эт очень прозрачно

Пушнул коммит, тебе и сборка, и докер регистри

И деплой

Всем привет,

как усилить защиту в docker container, не хочу чтоб при взломе случайном, взломщики смогли лазить по всему контейенру, никто не должен попасть ниже директории /var/www/ --- может какие-нибудь еще рекоменадции по защите

о каком взломе идет речь?

взломе на уровне софта,

единственный вариант пробраться это если случайно в программе окажется дырка

создай внутри отдельного юзера и сделай chmod/chown куда нельзя ходить

но я буду рад услышать любые рекомендации

то есть на папку /var/www это сделать

и запускай софт от этого юзера

мне говорили просто что это бесмысленно, так как контейнеры все равно под рутом запускаются

докер контеинеры?

да

не знаю кто тебе такое сказал)

LPE возможно при отсутствии обновления ядра

Привет! Подскажите - есть хостовая машина в ней запускаю контейнер mysql. К нему надо подключаться другими контейнерами из других docker-composer.yml. У mysql по inspect ip: 172.19.0.2 Как правильно его пробросить в те? вв

Что лучше всего сделать?

Делать доступ по ip практика не нравится - может IP же поменяться или как?

Если кроме как links?

забиндить на хостовой машине порт на этот контейнер и цепляться к ней?

Если они находятся в одной сети, то по IP. В этом случае на хост пробрсывать ни чего не надо.

мне говорили просто что это бесмысленно, так как контейнеры все равно под рутом запускаются

По умолчанию под рутом но их можно запустить или собрать для другого пользователя

По умолчанию под рутом но их можно запустить или собрать для другого пользователя

есть же gosu или трик с USER

Привет, подкажите, почему не пробрасывается порт контейнера ? на дебиан не пробрасывается, а на centos такой же точно командой все норм.. так полагаю, что в ети надо смотреть ,

фрмард включил

root@debian64:~# sysctl -p net.ipv4.ip_forward = 1

но чтот не помогло, может еще чего-то нужно сделать

покажи докерфайл и команду для запуска

покажи докерфайл и команду для запуска

docker run --privileged --name process-exporter -d -v /proc:/host/proc -p 9256:9256 adsterra/process-exporter:master -procfs /host/proc -procnames postgres,pgbouncer,pgqd,londiste,londiste3,nginx,bash,prometheus,php5-fpm,nginx,upstart:-user -namemapping "upstart,(-user)"

такой командой скачивается и запускается образ.но на одной системе порты мапятся, на другой - нет

на centos норм [root@localhost ~]# docker ps CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES dc119ba826b2 adsterra/process-exporter:master "/go/src/github.co..." 23 minutes ago Up 23 minutes 0.0.0.0:9256->9256/tcp process-exporterа на debian нет: root@debian64:~# docker ps CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 0f798341a9fb adsterra/process-exporter:master "/go/src/github.co..." 23 minutes ago Up 23 minutes process-exporter

думаю, что дело в nfconntrack модуле.его нет в этой системе

какжется нашел проблему docker info выдает :

WARNING: No memory limit support WARNING: No swap limit support WARNING: No kernel memory limit support WARNING: No oom kill disable support WARNING: No cpu cfs quota support WARNING: No cpu cfs period support WARNING: bridge-nf-call-iptables is disabled WARNING: bridge-nf-call-ip6tables is disabledкак пофиксить, кто знает?

посоны, поясните за пересборку контейнера я пересобираю образ (build с изменениями в Dockerfile) локально и мне надо перестартовать контейнер со свежесобранного образа сейчас я отсанвливаю/дропаю контейнер и запускаю заного есть ли способ рестартить без вот этого вот? а то лень переписывать все параметры run’а

посоны, поясните за пересборку контейнера я пересобираю образ (build с изменениями в Dockerfile) локально и мне надо перестартовать контейнер со свежесобранного образа сейчас я отсанвливаю/дропаю контейнер и запускаю заного есть ли способ рестартить без вот этого вот? а то лень переписывать все параметры run’а

docker-compose pull / up -d

Добрый день, подскажите кто знает какой лучший способ для работы с томами?

нашел статью, пишут что до версии 1.10 было актуально следующее: Bind-mounts — монтирование внешних папок параметром -v /host:/container (как в статье про MySQL внутри Докера). Data-only containers — создание специального контейнера-спутника и использование его файловой системы для хранения данных (параметр —volumes-from).