Gordon
Alexander 🌨
Вечер добрый, объясните мне как происходит процесс обновления докер контейнера в случае когда меняются конфиги, например у меня есть контейнер, у этого контейнера смонтирован конфиг файл, в файле 10 строк с настройками. И вот разработчик решает добавить 11-ю строку в новом обновлении, а те 10 были настроены руками (например указаны пути, true/false и т.д.) Как обновить или хотя бы узнать что есть изменения в конфиге и не сидеть на старом (в лучшем случае)? Гуглеж выдает примеры обычного обновления контейнера и соответственно образа.
central
Как без докера вы бы писали ручками новую строчку в конфиг так и с ним будете
Dmitriy
Evgen
Всем привет
Пытаюсь запустить докер композ файл с django и postgres.
Postgres подтягивается дефолтный образ.
При попытке запуска ругается на дефолтный логин и пароль: postgres.
Dockerfile: https://dpaste.org/yAhCC
Docker-compose: https://dpaste.org/D7Trb
Django.databases: https://dpaste.org/b8yAp
.env: https://dpaste.org/vpgrL#L4
Ошибка:
app-1 | django.db.utils.OperationalError: connection to server at "db" (172.25.0.2), port 5432 failed: FATAL: password authentication failed for user "postgres"
A
Всем привет
Пытаюсь запустить докер композ файл с django и postgres.
Postgres подтягивается дефолтный образ.
При попытке запуска ругается на дефолтный логин и пароль: postgres.
Dockerfile: https://dpaste.org/yAhCC
Docker-compose: https://dpaste.org/D7Trb
Django.databases: https://dpaste.org/b8yAp
.env: https://dpaste.org/vpgrL#L4
Ошибка:
app-1 | django.db.utils.OperationalError: connection to server at "db" (172.25.0.2), port 5432 failed: FATAL: password authentication failed for user "postgres"
Возьмите отсюда https://github.com/mukulkkumar/docker-django-postgres и read прочитайте
Evgen
IT's me.
А у тебя её и нет дописать надо
Поглядел статью которую Вы скинули. Хоть убей не нашел в ней системного порта ) Блин, там есть отличия, но как я понимаю касаемые летсенкрипта. Скиньте плиз строчку из статьи отвечающую за системный порт. Пасиб ) И доброе утро!
Aleksey
Поглядел статью которую Вы скинули. Хоть убей не нашел в ней системного порта ) Блин, там есть отличия, но как я понимаю касаемые летсенкрипта. Скиньте плиз строчку из статьи отвечающую за системный порт. Пасиб ) И доброе утро!
traefik.http.services.traefik-traefik.loadbalancer.server.port=888
Vladimir
Всем привет, а если произошел взлом и проникновение в БД, есть вероятность что могли заразить файловую систему сервера? Стоит ли переустанавливать ОС, или достаточно контейнер с БД только?
Владимир
Всем привет, а если произошел взлом и проникновение в БД, есть вероятность что могли заразить файловую систему сервера? Стоит ли переустанавливать ОС, или достаточно контейнер с БД только?
Есть атаки направленные на проникновение в файловую систему хостовой машине, лучше снести всю машину если не уверены до куда рученки дотянулись злоумышленников
Evgen
Всем привет
Прошу прощение за оффтоп.
Запускаю через докер компоуз апку с джанго и постгрес.
Нюанс в том что иногда бд не успевает включиться до того как запустится апка.
В итоге при —build запускается с 1-го раза через раз.
Подскажите, пожалуйста, как можно сделать так чтобы всегда отрабатывало правильно ?
Dockerfile: https://dpaste.org/59Wxg
Docker-compose: https://dpaste.org/tjodk
Виталий
Всем привет
Прошу прощение за оффтоп.
Запускаю через докер компоуз апку с джанго и постгрес.
Нюанс в том что иногда бд не успевает включиться до того как запустится апка.
В итоге при —build запускается с 1-го раза через раз.
Подскажите, пожалуйста, как можно сделать так чтобы всегда отрабатывало правильно ?
Dockerfile: https://dpaste.org/59Wxg
Docker-compose: https://dpaste.org/tjodk
это решается добавление к базе хелсчека, а в деппенс_он у приложения добавления кондишен, например:
healthcheck:
test: [ "CMD-SHELL","sh -c 'pg_isready -U ${DB_USERNAME}'" ]
interval: 10s
timeout: 3s
retries: 10
depends_on:
db:
condition: service_healthy
S
ребята подскажите как реализовать запуск docker-контейнеров kafka после того как три узла zookeeper будут запущены?
В кластере три хоста на каждом из хостов свой docker-compose и в нем конфиг запуска сначала zookeeper, затем Kafka. Но kafka успешно не запускается, пока не будут запущены и синхронизированы все три контейнера zookeeper.
пример docker-compose:
version: "3.3"
services:
zk1:
container_name: zk1
hostname: zk1
image: zookeeper:3.9.2
restart: always
environment:
- ZOO_MY_ID=1
- ZOO_SERVERS=server.1=zk1:2888:3888;2181 server.2=zk2:2888:3888;2181 server.3=zk3:2888:3888;2181
- QOURUM_LISTEN_ON_AllIPS=true
- ZOO_STANDALONE_ENABLED=false
- ALLOW_ANONYMOUS_LOGIN=yes
# - ZOO_CLIENT_PORT=2181
- ZOO_TICK_TIME=2000
ports:
- 2181:2181
- 2888:2888
- 3888:3888
extra_hosts:
- zk1:192.168.2.108
- zk2:192.168.9.65
- zk3:192.168.19.124
networks:
- network-gate
volumes:
- zookeeper_1_data:/data
kafka-1:
image: bitnami/kafka:latest
container_name: kafka-1
ports:
- "19092:19092"
extra_hosts:
- kafka-1:192.168.2.108
- kafka-2:192.168.9.65
- kafka-3:192.168.19.124
environment:
- ALLOW_PLAINTEXT_LISTENER=yes
- KAFKA_CFG_ZOOKEEPER_CONNECT=zk1:2181,zk2:2181,zk3:2181
- KAFKA_CFG_BROKER_ID=1
- KAFKA_CFG_LISTENER_SECURITY_PROTOCOL_MAP=INTERNAL:PLAINTEXT,EXTERNAL:PLAINTEXT,CONTROLLER:PLAINTEXT
- KAFKA_CFG_LISTENERS=INTERNAL://:9092,EXTERNAL://:19092
- KAFKA_CFG_ADVERTISED_LISTENERS=INTERNAL://kafka-1:9092,EXTERNAL://:19092
- KAFKA_CFG_INTER_BROKER_LISTENER_NAME=INTERNAL
- KAFKA_CFG_DEFAULT_REPLICATION_FACTOR=3
- KAFKA_CFG_NUM_PARTITIONS=1
volumes:
- kafka_1_data:/bitnami/kafka
depends_on:
- zk1
- zk2
- zk3
networks:
# - kafkanet
- network-gate
volumes:
zookeeper_1_data:
external: true
name: zookeeper_1_data
kafka_1_data:
external: true
name: kafka_1_data
networks:
network-gate:
external: true
Vladimir
Есть атаки направленные на проникновение в файловую систему хостовой машине, лучше снести всю машину если не уверены до куда рученки дотянулись злоумышленников
А можно где-то об этом почитать? Просто интересно, как выбраться на хост из контейнера, в который ничего не проброшено, кроме нескольких директорий с конфигами.
Владимир
А можно где-то об этом почитать? Просто интересно, как выбраться на хост из контейнера, в который ничего не проброшено, кроме нескольких директорий с конфигами.
Из первого что попалось на глаза https://habr.com/ru/companies/first/articles/650553/
Vladimir
Из первого что попалось на глаза https://habr.com/ru/companies/first/articles/650553/
хм, ну с priveleged конечно не часто запускают
Владимир
хм, ну с priveleged конечно не часто запускают
Ничего страшного, для повышения привилегий тоже есть уязвимости
Vladimir
Ничего страшного, для повышения привилегий тоже есть уязвимости
а есть статьи на эту тему? Вот реально интересно стало, можно ли из сломанной БД пробраться в хост
Владимир
а есть статьи на эту тему? Вот реально интересно стало, можно ли из сломанной БД пробраться в хост
https://google-poisk-vmesto-tebya.ru/?q=docker%20privilege%20escalation%20exploit
Hopquins
Hopquins
A
Andrey
Andrey
Andrey
Максим
Максим
И docker-compose.yml тоже
Andrey
Andrey
прост уже 3 дня сижу над этой проблемой))
W3
Доброго времени суток, подскажите пожалуйста, заббикс развернут на докере, версия докера уже устарела да и сам заббикс, докер- 20.10.6 и Zabbix 5.2.6., такой вопрос, перед тем как обновить заббикс до последней версии, я могу обновить докер? Такое возможно или же стоит сразу мигрануть на новую ОС где последняя версия заббикс и докера?
Владимир
и проверить их
Kenya-West
Всем привет!
Есть два стула контейнера:
1. Сервер caddy, который торчит исключительно на 80 и 443 и редиректит куда надо запросы:
version: "3.8"
services:
caddy:
image: lucaslorentz/caddy-docker-proxy:ci-alpine
container_name: caddy
ports:
- 80:80
- 443:443
- "443:443/udp"
environment:
- CADDY_INGRESS_NETWORKS=caddy
- CADDY_DOCKER_CADDYFILE_PATH=/config/Caddyfile
networks:
- caddy
2. Сервер frp, который запускается уже прямо в хосте и может в нём занимать какие угодно порты:
version: '3.8'
services:
frps:
image: snowdreamtech/frps
container_name: frps
restart: unless-stopped
volumes:
- ./config-frps:/etc/frp
network_mode: host
Вопрос: как мне, обращаясь к Caddy по адресу, например, http://somedomain/frp, получать контент с frp, который торчит на хосте с http://0.0.0.0:7500?
Простейший Caddyfile с содержимым от ChatGPT:
reverse_proxy /frp/* http://host.docker.internal:7500
- не помог. Он не видит host.docker.internal ни из контейнера с Caddy, ни с сети хоста, я проверял. А мне нужно, чтобы они увидели друг друга, пусть они и в разных сетях.
—————
Ну, либо, нужен вариант, когда наружу торчит лишь Caddy по 80 и 443, frp уже не на хосте, а вместе с Caddy в одной сети, но чтобы любой порт в пределах 22001-22100, открытый в frp, автоматом пробрасывался в хост наружу.
Спс, родимые, что помогли с этим разобраться... почти до конца @dolfinus @VladlenKrupskiy. Поместил всё в network_mode: host
ИП адрес хоста пропиши
Не люблю ИП адрес хоста, это штука зыбкая. localhost, 127.0.0.1, 0.0.0.0 не канают. Caddy выдаёт 502 Gayway Not Found вместо норм контента для натуралов. Есть другие варианты @centralhardware?
$kenyawest: ~/caddy ❯ docker exec 7.44% 1/3GB
/ # curl http://localhost:1488
curl: (7) Failed to connect to localhost port 1488 after 0 ms: Couldn't connect to server
/ # curl http://0.0.0.0:1488
curl: (7) Failed to connect to 0.0.0.0 port 1488 after 0 ms: Couldn't connect to server
/ # curl http://127.0.0.1:1488
curl: (7) Failed to connect to 127.0.0.1 port 1488 after 0 ms: Couldn't connect to server
Это из-под контейнера Caddy.
Владлен
Спс, родимые, что помогли с этим разобраться... почти до конца @dolfinus @VladlenKrupskiy. Поместил всё в network_mode: host
ИП адрес хоста пропиши
Не люблю ИП адрес хоста, это штука зыбкая. localhost, 127.0.0.1, 0.0.0.0 не канают. Caddy выдаёт 502 Gayway Not Found вместо норм контента для натуралов. Есть другие варианты @centralhardware?
$kenyawest: ~/caddy ❯ docker exec 7.44% 1/3GB
/ # curl http://localhost:1488
curl: (7) Failed to connect to localhost port 1488 after 0 ms: Couldn't connect to server
/ # curl http://0.0.0.0:1488
curl: (7) Failed to connect to 0.0.0.0 port 1488 after 0 ms: Couldn't connect to server
/ # curl http://127.0.0.1:1488
curl: (7) Failed to connect to 127.0.0.1 port 1488 after 0 ms: Couldn't connect to server
Это из-под контейнера Caddy.
Вангую: у вас в вирчул хост прописано имя, а вы лезете по ип. Вам книжку по сетям, днс и нжинксу надо, а не контент для натуралов
Inkera Инкера
_nikita
у меня есть проект, где под каждый сервис - отдельный репо, где мне в таком случае хранить docker-compose.yml?
Владимир
у меня есть проект, где под каждый сервис - отдельный репо, где мне в таком случае хранить docker-compose.yml?
Сделай репу и подключи в нее другие репы как сабмодули
_nikita
точняк, спасибо
IT's me.
Парни, такой вопрос. Вот допустим есть рокетчат. Могу я какнть вытянуть оттуда код и править его? И конфиги. Это через volumes делается?
IT's me.
Ну допустим хочу поправить немного код рокетчата
central
Парни, такой вопрос. Вот допустим есть рокетчат. Могу я какнть вытянуть оттуда код и править его? И конфиги. Это через volumes делается?
rocket.chat Это опенсор открой гитхаб и прав сколько тебе влезет
IT's me.
rocket.chat Это опенсор открой гитхаб и прав сколько тебе влезет
Нет, это я понял, а в процессе? Допустим я развернул его в докере и хочу править.
Evgen
Mihail
Подскажите пожалуйста, хороший способ примонтирования волумов к образу, который на хосте только через root читается? Что-то —privileged и -u root не работает
Ilya
всем привет, такой вопрос, точного ответа не жду, хотя бы направление). Есть такой компоуз файл, запускается всё в сварме. service-a ходит по http в service-b. Как видно, что service-b 10 штук. Есть ли в сварме функционал, чтобы service-a автоматом(раундробином) попадал в какую-нибудь из реплик?
Ilya
тестанул, вроде как сам балансит, но не понял как по умолчанию
A
Evgen
Ясно. Ну не все скачал похоже. Например докерфайл для билда или что в этом докерфайле
Сложно понять в чем именно причина, но странно что volume: . решило этот вопрос
A
Сложно понять в чем именно причина, но странно что volume: . решило этот вопрос
Ну я написал две причины как вариант
Evgen
Ну я написал две причины как вариант
Дело в том что это было тестовое, а скачивал тим лид.
По идее там норм должно было быть всё.
A
Дело в том что это было тестовое, а скачивал тим лид.
По идее там норм должно было быть всё.
Поднимите чистую vm. Там запустите и проверьте. Может какой этап пропустили. Инструкцию заодно сделайте по шагам
Κωνσταντίνου
Доброе утро, в первый запустил контейнер, запустил zabbix, подскажите а как получить доступ к конфиг файлу заббикс! Или надо через docker compose запускать?
Detalikota
Всем привет. Если контейнер юзает хостовый инет - DNS имена из хостового файла hosts получать он не будет все равно, верно?
BlackBook
подскажите пожалуйста, можно ли сделать так, чтобы я php 8.2 развернул в докере, а проект на ларе локально на машине? будет ли работать ?
BlackBook
суть проблемы не могу установить 8.2 на macos BigSur, из-за этого проект не могу собрать
central
подскажите пожалуйста, можно ли сделать так, чтобы я php 8.2 развернул в докере, а проект на ларе локально на машине? будет ли работать ?
он будет работать в докере а докер в вм
central
суть проблемы не могу установить 8.2 на macos BigSur, из-за этого проект не могу собрать
php это не компилируемый язык о какой сборке идет речь?
BlackBook
у меня проект на Ларе 10 и php 8.2, homebrew не дает мне ставить больше 7.4, пишет что типа все старое 🙁
BlackBook
установить
Магомед
Всем привет
Есть swarm кластер из менеджера и двух воркеров. В одном компоузе ipam сетка указана. Хочу поднять traefik. В компоузе указываю external network traefik с драйвером overlay. Я правильно понимаю, что траефик будет видеть контейнеры с ipam сеткой, чтобы балансировать? Ну в dns A записи указаны все ip адреса всех трёх нод, swarm сам будет будет все запросы на 80 и 443 перенаправлять на traefik, на какой бы ноде контейнер traefik в моменте не располагался?