Я сравниваю решения полной виртуализации и контейнерной с точки зрения безопасности.

безопаснее без виртуализации

привет друзья

кто работает в связке docker-aws ?

безопаснее без виртуализации

Почему? Имеются в виду, отдельные физические сервера?

Ну да, тебе написали, что один контейнер не имеет доступа к процессам другого, такое можно получить толькл с хоста.

но если параноить про доступыы через блоки памяти и прочим последним уязвимостям, то там спасут только разные физические хосты😊

но если параноить про доступыы через блоки памяти и прочим последним уязвимостям, то там спасут только разные физические хосты😊

Или новые процессоры без дыр)

ну да, в старых то все через них просачивается)

уже лет 20 сочится😏

кто работает в связке docker-aws ? поделитесь опытом - проблемами и может быть результатами в проектах

Я, честно говоря, не понял подкола, ибо хреновый коннект. Вы же про дубляж?

Ребята, привет! Что посоветуете использовать для сборки логов в swarm?

и визуализации

ELK? Или есть какие-то модные альтернативы?

graylog

Можно ещё Prometheus

Ой сорян упустил что для логов. Тогда Prometheus не подходит

Есть люди кто использует traefik и swarm?

Есть люди кто использует traefik и swarm?

Вряд ли кто ответит, если нет вопроса

Traefik + Swarm У меня фронтенд с серверным рендерингом. Фронтенд с бэком (api) на том же хосте находятся. При серверном запросе на фронтенде на "api.backend.com" виснет или очень сильно грузит весь стак, да и запросы летят по 300 мск на одном хосте

Создал цепь в IPTables, чтобы ограничить доступ к контейнеру со сторонних IP (других контейнеров на хосте) Chain TESTP (1 references) target prot opt source destination ACCEPT tcp -- 10.41.41.38 172.17.0.2 tcp dpt:3306 DROP tcp -- 0.0.0.0/0 172.17.0.2 tcp dpt:3306

И с её добавлением возникла проблема

iptables -R DOCKER 1 -p tcp --source 0.0.0.0/0 --destination 172.17.0.2 --dport 3306 -j TESTP

всем привет! пожалуйста, подскажите как запустить контейнер с открытым nano

вот так пытаюсь это сделать docker build -t testimage . docker run -it —rm -v $(pwd):/home/user testimage

FROM ubuntu:16.04 LABEL maintainer="name" RUN apt-get update && apt-get install -y —no-install-recommends apt-utils WORKDIR /home/user RUN echo "export EDITOR=\"$EDITOR\"" » /etc/bash.bashrc RUN export TERM=nano RUN echo $EDITOR

запустить что-то с помощью echo?

из контейнера запускаю последовательно то, что ниже - все ок. Через RUN ну, никак сыплются ошибки..... apt-get update apt-get install nano nano

так нано запускается в инттерактивном режиме

а RUN ты используешь в докерфайле

какой результат ты ожидаешь?

вот так пытаюсь это сделать docker build -t testimage . docker run -it —rm -v $(pwd):/home/user testimage

добавь nano в конце

добавь nano в конце

годится, работает! Андрей, если я правильно понимаю - это аргумент как я могу этот аргумент запихнуть в Dockerfile?

через CMD

CMD ["nano"]

CMD ["nano"]

спасибо!

так нано запускается в инттерактивном режиме

ну, я и контейнер так запускаю -it. в том-то и суть, что руками все ставится. Когда пытался сделать RUN apt-get update && apt-get install nano - пишет "debconf: delaying package configuration, since apt-utils is not installed". Ставлю apt-utils - не устанавливается nano А ожидал я запуск контейнера с открытым nano через билд докерфайла ну, в общем вроде вопросов пока нет) спасибо, за помощь

Всем привет. есть тут кто-то кто может подсказать или сделать практические занятия по Docker? Только начинаю вникать в виртуализацию, но есть много вопросов очень ламерских, но все же

Читай доку друг, там все что тебе нужно для старта: поставь докер, регестри, собери пару контейнеров, включи сворм и тд

Всем привет. есть тут кто-то кто может подсказать или сделать практические занятия по Docker? Только начинаю вникать в виртуализацию, но есть много вопросов очень ламерских, но все же

https://habrahabr.ru/company/flant/blog/336654/

Читай доку друг, там все что тебе нужно для старта: поставь докер, регестри, собери пару контейнеров, включи сворм и тд

спасибо) уже вот как раз там)

парни к кому я могу обратиться в лс? вопросы позадавать, скорее всего тупые

по докеру и контейнерам

google

можно попробовать Алисе из яндекса

парни к кому я могу обратиться в лс? вопросы позадавать, скорее всего тупые

По тупым вопросам обращайтесь ко мне

можно попробовать Алисе из яндекса

С удовольствием к ним обращаюсь, но пороц мне не хватает наввков гугления

В ЛС проситься в приличном сообществе обычно моветон

В ЛС проситься в приличном сообществе обычно моветон

буду иметь ввиду

плохому танцору, что там мешает?

я не пойму логику мониторинга контейнеров в прометеусе.

на стороннем сервере я ставлю node_export и cadvisor

для мониторинга redis мне необходимо установить redis_exporter?

в итоге у меня 5 контейнеров (php, nginx,beastalk,symphiny,redis) на рабочем сервере и мне необходимо 5 экспортеров установить? чтоб с их мониторить? или это делается проще?

если приложение из коробки не поддерживает экспорт своих метрик в понятном для прометеуса виде, то безусловно надо ставить к нему экспортер

Еще вопрос в сторону прометеуса. Есть же возможность слать ему метрики самостоятельно, не поднимая постоянного соединения?

Прометей разве умеет принимать данные? Он ж вроде только сам ходит куда надо...

Можно поднять pushgateway и слать туда хоть curl'ом. А уже из pgw забирать прометеем

я не пойму логику мониторинга контейнеров в прометеусе.

сиадвизор метрики непосредственно контейнеров отдает, о метриках приложений он ничего не знает

соответственно если тебе нужны метрики приложений, ставь отдельный экспортер

я не пойму логику мониторинга контейнеров в прометеусе.

я бы дописал какой нибудь скрипт на php (аля экспортер) который отдавал нужные мне метрики и использовал его через nginx что бы не плодить лишних сущьностей)

Я вот это и имел ввиду

Лишние контейнеры/сущности

Получается 5 рабочих контейнеров и 5 экпортеров будут

Спасибо что разьяснил

Я вот это и имел ввиду

экспортеры ты можешь засунуть в рабочии контейнеры , но это вроде как не тру вей считается)

Я вот это и имел ввиду

Начни с понимания того, что именно ты хочешь отслеживать)

Снова я со своим rancher

что будет если сервер упадет ?

что будет со свармом и k8s

что будет если сервер упадет ?

если на одном сервере и панель и swarm или k8s или cattle то все офлайн, если 2 хоста, и трафик будет направлин (через балансер например) на другой серер, то все сервисы будут онлайн

ну допустим у меня 3 ноды, для примера, роль сервер выполняет только одна нода

все завист куда будет идти трафик

и где сервисы

вот теперь вопрос, по идее я как бы должен трафик раскидывать по 3м нодам ?

если принимать классический подход то я трафик допустим через nginx перенаправляю на 3 ноды

для этого служат FailOver IP

vrrp

если нода с nginx упадет, то все оф