« Rev
@docker_ru   607
Fwd »


MrSmith
Что мне даст разбитие на два контейнера
Andrew
Ребят, а как разрешить доккеру шарить волюмы, которые находятся не в корне проекта?
Andrew
Делал раньше это через GUI(на локалке), но как это сделать через конфиг доккера/комманды?
Andrew
Никак не найду в инете
Andrew
Или для доккера на убунте нету никаких ограничений в шаринге директорий хоста?
Andrew
Выскакивает ошибка read-only file system, даже при попытке запустить docker-compose от sudo юзера
Andrew
Жара. Тупость. Был забытый :ro флаг для волюма
Max
а некто не наступал на косяк с docker swarm mode когда он в окружение, к примеру, продакшен, всовует рандомно контейнер из окрежения стейджтинг?
Artem
Так сварм сам по себе не организует структуру
Artem
Если такое происходит, то у тебя это с архитектурой какие то проблемы
Artem
У всех по своему реализован данный процесс
Serhii
Ку, как лечить докер контейнер с ufw и постгрес Ufw блокирует Пробовал дефолтно поставить ufw forwarding policy, но безрезультатно
Serhii
May 6 13:53:26 pechenex kernel: [923885.815638] [UFW BLOCK] IN=br-e33e3dded58a OUT= PHYSIN=veth28ef27e MAC=02:42:41:66:67:c4:02:42:ac:12:00:02:08:00 SRC=172.18.0.2 DST=172.18.0.1 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=60409 DF PROTO=TCP SPT=46608 DPT=5432 WINDOW=29200 RES=0x00 SYN URGP=0
mk
Есть книжка по докеру?
Vladislav
Есть
Petr
Есть книжка по докеру?
Я вот эту купил: https://dmkpress.com/catalog/computer/os/978-5-97060-426-7/ но не прочитал, поставил на полку, так что не могу сказать как она)
Алексей
Есть книжка по докеру?
Тут в истории глянь
Алексей
mu
^
Спасибо
mu
☺️
mk
^
Огромно е человеческое спасибо
Yevhen
https://t.co/nxQf6ctTij
Yevhen
Вот ещё книга с картинками
Fess
Всем привет!
Fess
Подскажите, Докер при запуске контейнера создает изолированную сеть, и добавляет правила в Iptables. Как можно организовать клонирование траффика из одного контейнера на внешний интерфейцс?
Fess
в идеале - на IP адрес второй машины
Sergey
клонирование? входящего или исходящего? а на втором хосте кто его будет принимать?
Sergey
может все таки реальный кейс дадите, может вы чет путаете =_=
Fess
клонирование? входящего или исходящего? а на втором хосте кто его будет принимать?
на втором хосте там софтина специальная, для анализа траффика. В идеале хотя бы просто пока слать туда, чтобы было видно tcpdump. И входящего и исходящего
Artem
как представляется клонирование трафика, безответно?)
Fess
может все таки реальный кейс дадите, может вы чет путаете =_=
Задачи примерно такая - есть файловая хранилка с веб-мордой, крутится в докер-контейнере. И нужно анализировать траффик входящий/исходящий - т.е то, что заливают и скачивают с этой хранилки
Artem
tcpdump'ом и снимай трафик
Fess
tcpdump'ом и снимай трафик
т.е с IP контейнера снимать трафф, и потом засылать его на другой хост?
Fess
ELK с packetbeat
Для анализа траффа софтина уже настроена, мне просто нужно лить данные на IP, либо вообще по L2 на мак-адрес
Sergey
может тупо с хоста на котором контейнер вертится трафик снимать?)
Sergey
wireshark фильтр ставите на хост машине и все:)
Fess
может тупо с хоста на котором контейнер вертится трафик снимать?)
проще с хоста все же думаешь, а не с определенного контейнера?
Sergey
ну явно не пулять трафик куда то на левые узлы
Fess
wireshark фильтр ставите на хост машине и все:)
да это уже костыльно, хотелось бы как-то проще. Посмотрел ebtables (по маку), но что-то не понял, как им заклонировать
Sergey
а можно заббикс поставить на хост в котором контейнер и элемент настроить на вход\выход на нужный интерфейс и все
Sergey
Sergey
на бриджу
Fess
Мне не мониторить трафф нужно, а именно дублировать на другую машину:)
Anonymous
ну значит посмотри в сторону iptables mirror
Sergey
в любом случае это на оффтоп по сетям похоже
Sergey
не уметь:С
Anonymous
в любом случае это на оффтоп по сетям похоже
сеть в любом ее виде не офтоп, т.к. это основа всего в наше время. Сеть везде обсуждают, в том числе и в схд
Sergey
а, это:)
Fess
Да изначально я спросил, как с контейнера трафф наружу дублировать, ибо докер создает изолированную сеть
Anonymous
только это докера мало касается
ну.....пусть будет так
Grigorii
что-то не найти инфу. через d-c.yml можно заставить пересобираться образ каждый раз?
Fess
Зачем??
Для последующего анализа траффика службой безопасности
Sergey
может можно ту же тулзу на том же хосте запилить, зачем на другой то дублировать:)
Fess
Эти вредители не умеют в докер?
Их решение развернуто на отдельном хосте, мне дали только мак и IP, и попросили лить:)
Fess
Опиши схему целиком, допустим, это не докер
Если не докер, то просто с исходного хоста весь входящий/исходящий трафф дублируем на хост безопасников
Artem
Так и дублируйте так же с интерфейса на котором докер висит
Fess
Думал об этом, но они просят в приоритете не на IP лить, а фреймы на mac засылать
Artem
ну просить они много че могут, пускай отрабатывают свою зп)
Fess
Это да, но т.к сервис мой, то дублирование это мне и организовывать:)
Fess
Почему исходный хост не может быть докер хост?
Дак в теории да, можно, к примеру tcpdump -i veth6fe4543 |netcat
Fess
либо iptables -j TEE
Evgenii
Вообще немного офтоп, но это их проблема должна быть как трафик снимать. Что за бред 'ты нам шли, а мы проанализируем' - ты им и шли всё что захочешь, как они узнают, что это ненастоящий трафик? Примонтируй в контейнер котиков побольше и курлом им пости на мак, ip или куда там этим вредителям хочется анализы свои запускать
E
Всем привет. Скажите, кто нибудь пользовался докером для разработки на macos ? Какие есть проблемы, и сложности с этим? Подводные камни? Мне сказали, что на macos есть серьезные проблемы, но нагуглить я этого с ходу не смог. Буду рад любым высказываниям) Повторюсь, для разработки, не для продакшена ) Спасибо!
« Rev
@docker_ru   607
Fwd »