Dan

Зачем тогда он хочет мне выпилить виртуалбокс?

Anonymous

потому что гиперв не совместим с другими гипервизорами

Slach

всем привет, можно нубский вопрос в docker swarm overlay network секурная сеть? или это делается другими средствами? какой нибудь p2p vpn ? из документации я этого как то не понял

Anonymous

несекурная, опций для шифрования не нашёл. может weave какой можно прикрутить к swarm mode

Anonymous

Докер кладет болт на логирование в сислог после рестарта сислога.

Ну по факту он продолжает отправлять данные, только в дескриптор старого сислога

Anonymous

Этой "проблеме" лет столько же сколько самому сислогу

Anonymous

Этой "проблеме" лет столько же сколько самому сислогу

Столько докер не живет. А проблема с файловыми дескрипторами существует столько же, сколько они существуют. Это же фишка, не бага

Anonymous

То, что докер не умеет это отслеживать, - проблема докера.

Anonymous

Причину-то я знаю. Как починить? Прокидывать /dev/log, чтобы положение писало в сислог - костыльно

Anonymous

а если перезапустить докер демона, все будет ок? при условии что контейнеры live-restore?

Anonymous

а если перезапустить докер демона, все будет ок? при условии что контейнеры live-restore?

Хз. Контейнер если - ок

Anonymous

ну контейнер- понятно

Anonymous

наверное поможет, лог драйвер же демону настраивается

Anonymous

а не рантайму

Anonymous

Экспериментальные функции в продакшне включать? Не вариант

Anonymous

Да и всё равно костыльно. Докер должен сам следить за тем, куда он пишет. Самое интересное, эти упыри сделали как-то так, что далее по сети перестает идти. Словно они не переоткрывают соединение с сислог сервером. Хуйня какая-то, короче. Поэтому согласен с предыдущими ораторами, что докер писали хипстеры.

Anonymous

Надо бы бы ещё попробовать по UDP слать, но как-то не сложилось.

Vir

Докер и Windows 10. Как? Буттудокер?

у меня товарищь ставил, без прооблем почти )))

Vir

главное дать нужные права, винда блокировала что-то там

Slach

и еще раз на тему секурной сети. я добрался в документации до вот этого ;) https://docs.docker.com/engine/userguide/networking/overlay-security-model/ опция --opt encrypted это вроде бы оно? IPSEC тунели между всеми нодами swarm'а оно разве не секурно?

Roman

Причину-то я знаю. Как починить? Прокидывать /dev/log, чтобы положение писало в сислог - костыльно

Решение простое - надо прокидывать каталог с сислог-сокетом

Roman

Да и всё равно костыльно. Докер должен сам следить за тем, куда он пишет. Самое интересное, эти упыри сделали как-то так, что далее по сети перестает идти. Словно они не переоткрывают соединение с сислог сервером. Хуйня какая-то, короче. Поэтому согласен с предыдущими ораторами, что докер писали хипстеры.

Докер писали сраные хипстеры и дальше своего макбука они не видят. И сеть они не умеют.

Roman

и еще раз на тему секурной сети. я добрался в документации до вот этого ;) https://docs.docker.com/engine/userguide/networking/overlay-security-model/ опция --opt encrypted это вроде бы оно? IPSEC тунели между всеми нодами swarm'а оно разве не секурно?

Надо смотреть что именно там за ipsec

Slach

а вот еще такой момент непонятный, допустим у меня есть контейнер с консулом и контейнер с моим процессом, как мой процесс должен сообщить консулу "вот он я новый сервис"??? и как консул сообщает остальным сервисам "эй братцы, тут новый чувак есть", ну то есть consul-template он переписывает конфиг так? а как теперь этот конфиг подключить к другому контейнеру? или надо во все контейнеры экземпляр консула совать?

Anonymous

а вот еще такой момент непонятный, допустим у меня есть контейнер с консулом и контейнер с моим процессом, как мой процесс должен сообщить консулу "вот он я новый сервис"??? и как консул сообщает остальным сервисам "эй братцы, тут новый чувак есть", ну то есть consul-template он переписывает конфиг так? а как теперь этот конфиг подключить к другому контейнеру? или надо во все контейнеры экземпляр консула совать?

консул никому ничего не сообщает, либо твое приложение ходит в апи/днс консула, либо рядом стоит консул темплейт в контейнере и, например, в энтрипойнт ты его вызываешь до запуска приложения

Anonymous

контейнер так же регистрировать или в энтрипойнт, или поставить контейнер с регистратором

Anonymous

Да и всё равно костыльно. Докер должен сам следить за тем, куда он пишет. Самое интересное, эти упыри сделали как-то так, что далее по сети перестает идти. Словно они не переоткрывают соединение с сислог сервером. Хуйня какая-то, короче. Поэтому согласен с предыдущими ораторами, что докер писали хипстеры.

ну, конечно было бы неплохо, но раз это не так) udp вариант, да. может тогда и логи сразу в отдельное хранилище типа graylog/logstash

Anonymous

Решение простое - надо прокидывать каталог с сислог-сокетом

Уже так и делаем. Но это же ад

banuchka

Уже так и делаем. Но это же ад

Чтоб приложение в сислог писало или докер-демон stdout?

Anonymous

Чтоб приложение в сислог писало или докер-демон stdout?

Приложение в сислог пишет

banuchka

Не стоит прокидывать с хоста тогда

Anonymous

Чойто

banuchka

Ну мы такое решение приняли, потом отказались. Я пару раз про это рассказывал ранее.

banuchka

А так - дело ваше

Anonymous

Ну мы такое решение приняли, потом отказались. Я пару раз про это рассказывал ранее.

Альтернативы?

Anonymous

Задача - писать в сислог.

banuchka

В контейнере поднять простенький сислог с форварод на хост систему например

banuchka

С форвардом

Roman

Не стоит прокидывать с хоста тогда

Почему?

Anonymous

В контейнере поднять простенький сислог с форварод на хост систему например

Тоже выглядит велосипедно.

banuchka

Да, но работает. В отличии от...

Anonymous

Да, но работает. В отличии от...

Так прокидывать /dev/log тоже работает :)

banuchka

Почему?

Если вам не сложно - гляньте запись доклада с хайлода. Я там говорил почему.

Anonymous

Симлинк

Anonymous

Если вам не сложно - гляньте запись доклада с хайлода. Я там говорил почему.

Ссылко?

banuchka

Момент

Roman

https://github.com/systemd/systemd/commit/03ee5c38cb0da193dd08733fb4c0c2809cee6a99

Roman

Я вот взял этот коммит и просто перенес не в /run/systemd/journal

banuchka

https://tech.badoo.com/ru/author/Anton_Turetskii/

Roman

А в отдельный каталог

banuchka

С хл 2015 по идее.

Roman

Который прокидываю в контейнер

banuchka

Я вот взял этот коммит и просто перенес не в /run/systemd/journal

Вполне себе. Почему нет...

banuchka

Я "прокидываний" вообще стараюсь избегать, если можно. Про обоснования не нужно спрашивать ;)

Roman

С хл 2015 по идее.

Я читал на хабре текстовый вариант. Про все озвученные грабли знаю

banuchka

И на момент доклада знали?

banuchka

Я от текстового варианта только комменты читал ;)

Anonymous

Ну вот мы решили закостылить симлинком

Anonymous

То есть, не весь /dev прокидывать, конечно.

Anonymous

Пойду почитаю/послушаю чо умные дядьки говорят

Roman

И на момент доклада знали?

Да. Это ж известное поведение bind mount

Roman

То есть, не весь /dev прокидывать, конечно.

Я выше писал.

banuchka

Да. Это ж известное поведение bind mount

Я много на что из известного почти каждый день наступаю

banuchka

"А вдруг" оно такое ;)

Anonymous

Я выше писал.

Я выше читал)

Roman

Я много на что из известного почти каждый день наступаю

Жизнь - боль.

Roman

Особенно, i/o

banuchka

Жизнь прекрасна! ;)

banuchka

Особенно, i/o

Особенно когда все осознали, что ssd всех проблем не решает

Anonymous

Особенно когда все осознали, что ssd всех проблем не решает

Научились сжирать все iops ssd? =D

banuchka

Они умели, но стеснялись

Vladimir

кто нить юзал вот этот имадж https://github.com/olberger/baseimage-docker ? Расписано довольно красиво. Убунта, допиленная для работы в докере. syslog-ng в комплекте

Anonymous

Это подрывает идею контейнера как изолированного процесса

Oleg

Нет

Oleg

Не стоит утрировать Контейнер = процесс

Oleg

Логичнее Контейнер = сущность / сервис

Oleg

Сислог в контейнере - норм практика.

🏳️ Phil

Не стоит утрировать Контейнер = процесс

стоит. сисдлг в контейнере не норм абсолютно

Oleg

Баду - прод

Oleg

Из публичных