« Rev
@docker_ru   792
Fwd »


Boris
А в чем вопрос-то был?
Boris
В последнее время тут кроме swarm и traefik ничего не спрашивают
Boris
Скука
Konstantin
развели кукареканье тут
Да мы просто не знаем.
EaZy
Ребята подскажите плиз. CentOS 7. SELinux enabled. На хосте вижу порт 5432 bash-4.2$ telnet 172.17.0.1 5432 Trying 172.17.0.1... Connected to 172.17.0.1. Escape character is '^]'. С контейнера НЕ вижу хост по 5432 порту. / # telnet backend-db 5432 telnet: can't connect to remote host (172.17.0.1): Host is unreachable Это что надо на SELinux 5432 порт открывать на сеть docker0???
EaZy
P.s. До хоста с контейнера доступ по 22 есть / # telnet backend-db 22 SSH-2.0-OpenSSH_7.4
Дмитрий
Конфиг в студию
EaZy
EaZy
EaZy
listen_addresses = 'localhost,172.17.0.1'
EaZy
host process-engine camunda 172.17.0.0/16 md5
Дмитрий
не постгреса, а докера
🅰️rkadiy
https://docs.docker.com/network/
EaZy
storage: image: someImage extra_hosts: - backend-db:172.17.0.1
🅰️rkadiy
ну тогда backend-db должен быть в режиме --network=host
🅰️rkadiy
или лучше все контейнеры в одной сети, типа bridge или overlay
🅰️rkadiy
тогда никаких извратов
EaZy
Просто у меня PostgreSQL стоит на хосте. А приклад в контейнере.
EaZy
Не могу понять кто 5432 порт закрывает на 172.17.0.1
Sergey
Не могу понять кто 5432 порт закрывает на 172.17.0.1
убедись что у тебя постгрес принимает соединения с внешних хостов (типа по умолчанию он только на лупбэк интерфейс смотрит)
EaZy
bash-4.2$ telnet 172.17.0.1 5432 Trying 172.17.0.1... Connected to 172.17.0.1. Escape character is '^]'.
EaZy
Попробую SELinux вырубить и проверить.
Konstantin
Это не selinux, он трафик не ограничивает
EaZy
22 порт работает без проблем с контейнера на хост telnet 172.17.0.1 22 SSH-2.0-OpenSSH_7.4
Konstantin
Потому что ssh слушает на всех интерфейсах
Konstantin
Дай ПГ тоже 0.0.0.0, проверь
Konstantin
А лучше подключайся не к docker0, а к lan интерфейсу
EaZy
Дай ПГ тоже 0.0.0.0, проверь
А как по security лучше сделать? Не хотелось бы чтобы по lan 5432 был доступен
EaZy
А понял. Типо слушай на всех интерфейсах 0.0.0.0 но по паролю md5 только от 172.17.0.0/16 подсети
EaZy
Спасибо понял!
EaZy
Ребята сорри за офтоп в теме Dockerа. Надеюсь админы не забанят.
Mentat
А понял. Типо слушай на всех интерфейсах 0.0.0.0 но по паролю md5 только от 172.17.0.0/16 подсети
и причем желательно с конкретными юзерами, а не все сразу и через ssl)
EaZy
Короче я в шоке. sudo netstat -tulpn tcp 0 0 0.0.0.0:5432 0.0.0.0:* LISTEN 3304/postmaster /// С хоста telnet 10.224.32.90 5432 Trying 10.224.32.90... Connected to 10.224.32.90. Escape character is '^]'. /// С контейнера ping 10.224.32.90 PING 10.224.32.90 (10.224.32.90): 56 data bytes 64 bytes from 10.224.32.90: seq=0 ttl=64 time=0.079 ms 64 bytes from 10.224.32.90: seq=1 ttl=64 time=0.179 ms telnet 10.224.32.90 5432 telnet: can't connect to remote host (10.224.32.90): Host is unreachable
EaZy
Maksim
firewall?
EaZy
sudo firewall-cmd --zone=public --add-port=5432/tcp sudo firewall-cmd --reload telnet 10.224.32.90 5432 telnet: can't connect to remote host (10.224.32.90): Host is unreachable
EaZy
Konstantin
Как у тебя докерд поднят? Реально на firewall похоже
Konstantin
А что есть --public?
EaZy
Всем спасибо! Действительно был firewall
EaZy
Решил так
EaZy
sudo firewall-cmd --permanent --zone=public --add-source=172.23.0.0/16 sudo firewall-cmd --permanent --zone=public --add-port=5432/tcp sudo firewall-cmd --reload
EaZy
Хотя это лишнее sudo firewall-cmd --permanent --zone=public --add-source=172.23.0.0/16
Konstantin
--zone=public --add-source=172.23.0.0/16 меня смущает приватная сеть в зоне public
EaZy
А что есть --public?
Я вот тоже не пойму. Почему public? Сейчас погуглю 172 сеть это к какой зоне относится
Konstantin
приватная же 172.16
Konstantin
я с firewalld не на ты, не скажу
Konstantin
https://fedoraproject.org/wiki/FirewallD/ru#.D0.9A.D0.B0.D0.BA.D0.B8.D0.B5_.D0.B4.D0.BE.D1.81.D1.82.D1.83.D0.BF.D0.BD.D1.8B_.D0.B7.D0.BE.D0.BD.D1.8B.3F
EaZy
https://fedoraproject.org/wiki/FirewallD/ru#.D0.9A.D0.B0.D0.BA.D0.B8.D0.B5_.D0.B4.D0.BE.D1.81.D1.82.D1.83.D0.BF.D0.BD.D1.8B_.D0.B7.D0.BE.D0.BD.D1.8B.3F
Спасибо! Почитал. Там получается долгая история если супер тонко делать настройку. А так и в public пойдет 🙂
Konstantin
ну так и пойдёт если просто iptables -F )
Danila
Всем привет. Курю GitlabCI, cобираю контейнер для сборки проекта помощью gradle на базе образа alpine. В связи с тем что запись о Гитлабе не существует в днс - есть необходимость прописать строку соответствия IP и доменного имени в файл hosts в контейнер (иначе ошибка при клонировании репы, типа не могу зарезолвить). Как это сделать ? Пробовал ENTRYPOINT ["/bin/sh", "-c" , "echo ххх.ххх.ххх.ххх gitlab.ххх.ru >> /etc/hosts”], но при старте контейнера ошибка /bin/sh: line 1: can't create /etc/hosts: Permission denied…
Danila
чет прям приуныл
Anonymous
А по твоей теме - это нужно добавить в конфиг раннера
Danila
спасибо, пойду дальше копать
Anonymous
https://gist.github.com/RenderQwerty/f7e043b104c75ce4e798f9ab7bd09b64
Anonymous
Вот пример
Alexey
Всем привет. Подскажите пожалуйста, как назначить имя образу при docker-compose up ? yml: version: '3' services: oracle-jdk: build: context: ../ dockerfile: ./oracle/jdk/Dockerfile container_name: oracle-jdk Вызываю команду docker-compose up например из папки oracle. При этом, название папки приписывается в название создаваемого образа : oracle_oracle-jdk . Как это исправить? Заранее благодарен.
twwlf
ну алло
Konstantin
Alexey
ну алло
Как-то не прояснилось =
Boris
Кидаться доками докера, при очевидном отношении комьюнити к ним, ну я даже не знаю
Kirill
Всем привет
Kirill
Подскажите как передать в nginx контейнер, сертификаты, они лежат в переменной
Kirill
Тоесть без томов
Konstantin
а что с доками не так?
их читать нужно
🅰️rkadiy
RTFM же
Boris
У них очень плохой рейтинг в комьюнити, камон. https://i.imgur.com/gkGEHyQ.png
twwlf
что с ними не так?
« Rev
@docker_ru   792
Fwd »