« Rev
@docker_ru   675
Fwd »


Grigorii
а network:host выставить тоже нет?
где выставить? можно пример?
I
подписывает чем
В этом то и вопрос )) какие практики? Как убедиться в том что имедж который ты выложил на докер хаб и потом запулил у себя на сервере один и тот же, что его не подменили
Sergey
где выставить? можно пример?
version: '3' services: elasticsearch: container_name: elasticsearch-centos build: ./elastic-image ports: - "9300:9300" - "9200:9200" network_mode: host volumes: - /mnt/services/elasticsearch:/usr/share/elasticsearch/data restart: always
Sergey
вообще докер не особо секурен, поэтому проду все пилят на собственноручно собранных билдах в локальных репах
Grigorii
version: '3' services: elasticsearch: container_name: elasticsearch-centos build: ./elastic-image ports: - "9300:9300" - "9200:9200" network_mode: host volumes: - /mnt/services/elasticsearch:/usr/share/elasticsearch/data restart: always
работает, но это не выход. каждый контейнер должен иметь уникальный ip, из будет много
Sergey
работает, но это не выход. каждый контейнер должен иметь уникальный ip, из будет много
не, это то понятно, я просто исключил бриджу из цепочки значит там дело
I
как вариант я нашел в доках выставлять DOCKER_CONTENT_TRUST=1 И таким образом подписывать sha256....но не знаю что еще можно ? у кого какой опыт?
Sergey
можно в крайняк свою репу приватную в хабе взять
I
ну а как? все тот же амазон )) как без него
Sergey
ну а как? все тот же амазон )) как без него
причем тут амазон? или вы не про хаб говорите
I
ну мы так и так private registry юзаем
Sergey
так а в чем вопрос тогда?
Sergey
тонель подняли туда
Sergey
и не паритесь
Sergey
никто у вас по пути его не перехватит
I
прод на серверах амазона, имеджы в докерхабе в приватном, просто заказчик еще хочет больше секьюрности. подписывать имеджы сертификатами или как то еще. Вопрос - какие практики есть на текущий момент.
Sergey
никаких
Sergey
строить канал и собирать только свое
Sergey
вы все равно пушите\пуллите по ssh
Sergey
с ключами от сервера и обратно
Sergey
куда еще то секурнее
Sergey
даже докер образы))0
I
да - очень большое желание обезопасить себя везде и во всем
Sergey
можете 4096 ключами защищаться)))
Sergey
строить канал и собирать только свое
Sergey
вы все равно пушите\пуллите по ssh
Sergey
с ключами от сервера и обратно
Sergey
просто с теории иб, вот у вас тонель шифрованый вот у вас обмен по ssh 4096 как вам изменят на лету образ?
I
ну может не на лету, могут приватный репо взломать и поменят имедж
Sergey
тогда это безопасность репы а не имеджа
Sergey
а безопасность репы = бизопасность инфры а если у инфры нет безопасности, о чем вообще речь)))
I
об облачном решении )) идет речь - когда сервера поднимаются на AWS, а имеджы кладутся в dockerhub private registry
Sergey
так у вас ssh же есть
Sergey
ну стройте свой гитлаб, там реджистри есть
Sergey
у вас в лобом случае корявый билд не пройдет в проду, если он через предыдущие среды и тесты проходит перед деплоем
Sergey
вы на предыдущих этапах уже убедились что билд секурный и все у него ок
Sergey
есть люди старой закалки, которые в этих делах параноики) можете для таких товарищей письменный учет вести(а вдруг кто ваши письма подделает)😂
Sergey
с печатью через юристов за каждую смену😂😂
Mentat
ну может не на лету, могут приватный репо взломать и поменят имедж
sha2 спасет отцов русской демократии. Ну и вообще безопасность обычно пляшет от того, что мы садимся, пишем что мы считаем угрозами, пишем почем их закрыть, бизнес потом читает, материться и отмечает галочками то, что реально ему угрозы.
Sergey
большей угрозой будет когда админ репы обидится на зп
Sergey
и куёв в билд нарисует, на проду выкатит, клиенты обрадуються
Sergey
да так обрадуются что бизнес весь на колени упадет
akamit
привет, подскажите пожалуйста, можно ли из существующего контейнера получить доступ к env на хосте?
Mentat
большей угрозой будет когда админ репы обидится на зп
Админа отдельно, выкат у других людей, тут как всегда, разделяй и властвуй
akamit
Прокидывай ему что нужно при старте
для docker run есть параметр -e, но для start такого нет
Mentat
для docker run есть параметр -e, но для start такого нет
Может быть потому что start не есть первичный запуск?)
bebebe
Прокидывай ему что нужно при старте
в этом случае, в докер контейнере окажутся переменные только на тот мемент, когда контейнер запустился если переменная в хосте поменяется, то внутри докера она останется прежней
Mentat
в этом случае, в докер контейнере окажутся переменные только на тот мемент, когда контейнер запустился если переменная в хосте поменяется, то внутри докера она останется прежней
да, так и есть. Если переменные меняются динамически - это уже другое состояние, другой контейнер или как минимум консул
akamit
Может быть потому что start не есть первичный запуск?)
да, поэтому. мне в разное время суток надо запускать в контейнере одну и ту же программу, но с разными параметрами(всего 8-10 параметров), советуете сделать 10 контейнеров для этого?
akamit
или каждый раз создавать новый контейнер через run?
Mentat
да, поэтому. мне в разное время суток надо запускать в контейнере одну и ту же программу, но с разными параметрами(всего 8-10 параметров), советуете сделать 10 контейнеров для этого?
Если у тебя типичная счетная задача, которая получила на вход - отработала - умерла с результатом - тебе надо просто каждый раз run -d -rm делать и все. Ну и пути там замапить для результата
bebebe
или каждый раз создавать новый контейнер через run?
я вообще их практически всегда запускаю docker run --rm
Andrey
или каждый раз создавать новый контейнер через run?
А что такого... контейнер это ведь просто процесс.
Mentat
Докер он на то и докер, что тебе плевать в целом на контейнер, главное чтобы он либо работал, либо отработал( если это разовая таска). Молиться на него, беречь и держать нет смысла
akamit
мм.. у меня щас так и работает, но столкнулся с тем, что со временем переполняется /var/lib/docker/devicemapper/devicemapper
akamit
так и должно быть) docker system prune либо руками, либо в крон
спасибо, видимо в докере из реп центос 6 такого еще нет :( попробую поставить поновее
Sergey
services: minio1: image: minio/minio:RELEASE.2018-06-09T03-43-35Z volumes: - data1:/data ports: - "9001:9000" environment: MINIO_ACCESS_KEY: minio MINIO_SECRET_KEY: minio123 # command: server http://minio1/data http://minio2/data http://minio3/data http://minio4/data command: server http://minio1/data volumes: data1: driver: host driver_opts: source: /home/sat/minio-test/volumes/data1 Ребят как правильно ссылки на тома описывать? Дока в подробности не сильна
Sergey
я объявил проброс томов для сервиса и хочу в конце композа указать где том лежит
Sergey
это все один композ сразу начинает орать ERROR: In file './docker-compose.yaml', volume 'data1' must be a mapping not an array.
akamit
CentOS 6 and RHEL 6 are no longer supported, and the last build for them is docker 1.7.1
akamit
печаль
Sergey
давно пора
vitaliy
Добрый день. Подскажите способ в docker swarm создать volumе, который будет распределен между всеми нодами. Например один сервис закидывает данные находясь на одной ноде, а их видно на другой.
vitaliy
тут уже видимо, судя по постам выше, решал проблему распреленного файлового хранилища
Roman
Очень странно в доках описан entrypoint.
Roman
Если в композе его применить говорит что отменит CMD в Dockerfile
Roman
как мне pre-exec зделать
vitaliy
посмотри какая команда выполняется и напиши свой сценарий в котором выполняется эта команда
artem
Всем привет 😊 возможно тупой вопрос, как снести докер с локальной машины под ноль? Уже гуглил но что то не нашел. Убунту 18.04
Sergey
сча
artem
И докер компоуз если что
Sergey
так там ж один файл, не?
artem
Я за сервисы, чтобы не грузились и не мусолили глаза
« Rev
@docker_ru   675
Fwd »