сеть. :)

Ща посмотрю

не могу сказать прав тут докер или нет.

тут он мудак

тут он мудак

цена за быстрый старт

Вернемся тогда к первому вопросу ) как рулить фаерволом?

добавлять правила в середину вместо "а не ебануть ли нам напалмом по парижу по нашему и не построить ли его заново"

добавлять правила в середину вместо "а не ебануть ли нам напалмом по парижу по нашему и не построить ли его заново"

в середину?

-i N или как там около того

там были какието интеллектуальные менеджеры фаервола.

гавно на момент год назад. я с тех пор в эту сторону не смотрю.

-i N или как там около того

и как это поможет, что в /etc/sysconfig/iptables одни правила, а в iptables-save другие (из-за докера)?

альтернатива, как написал выше, запретить докеру вольности, ну или как правильно говорят, внешний фаервол

решение агонь! Iptables-save > 1; vim 1; iptables-restore < 1;

рекомендую немедленно в продакшон

ой да ладно, я вот такого кадавра пробовал http://www.labouisse.com/hack/2016/06/23/docker-and-public-interface :)

но глупости всё это

можно еще через diff

так главная проблема, когда это всё делать, она рашаема, но в итоге ничем не лучше, чем таки отучить совсем туда докер лазить или внешнего

там же одно не ловкое движение, и оно либо совсем упало и всё закрылось, либо наоборот, ходи кто хош, твори что хош, а ты типа такой думаешь, ну всё же работает

эй. докер он для ci. :)

нет

нет

да да. докер он для хостинга :)

да да. докер он для хостинга :)

он для пакетизации. а там уже детали

ну если не хотите, чтобы докер писать в iptables, запускайте свое говно с net: host

проблема решена, но появится новая проблема

ну если не хотите, чтобы докер писать в iptables, запускайте свое говно с net: host

ну зачем же так уж себя не любить, слава богу это отламывается куда как более безболезненно

да в общем-то ничего плохого в net: host нет

правда, после того, как из докера удалили userland proxy, и надобности особой тоже нет в этом

да ладно, это же практически, как там —priveleged что ли, в общем тогда уж проще вообще забить на докер

никакой связи с --privileged

хоссди, сконфигурируйте бридж вручную и внесите нат-правила в /etc/sysconfig/iptables, выключите iptables у докера и дышите нормально.

хоссди, сконфигурируйте бридж вручную и внесите нат-правила в /etc/sysconfig/iptables, выключите iptables у докера и дышите нормально.

ради чего все эти движения?

это на это ответ.

братцы, а человеческого способа рулить iptables на хосте, на котором крутится докер, не появилось? до сих пор после изменения /etc/sysconfig/iptables надо рестартовать и iptables и докер?

докеру нужно всего лишь сказать —iptables=false и добавить одно правило iptables -t nat -A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE

и всё будет работать

>-s 172.17.0.0/16 ! мимо

докеру нужно всего лишь сказать —iptables=false и добавить одно правило iptables -t nat -A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE

ну не одно, но в общем терпимо

если пропишешь в параметры докера, то не мимо)

а вообще согласен, надо учитывать нюансы

ну я и говорю - сконфигурируйте бридж (:

кстати, господа, не появилось ли способа использовать ovs-бриджи, чтобы в них напрямую подтыкать контейнеры?

--fixed-cidr IPv4 subnet for fixed IPs

кстати, господа, не появилось ли способа использовать ovs-бриджи, чтобы в них напрямую подтыкать контейнеры?

чё это за зверь?

openvswitch

я так понимаю, должно заработать. Ну или сконфигурируйте бридж)

openvswitch

я не нашел вообще вменяемой информации, как это вместе заводится

вручную через ip netns можно. но это не то, что я хотел (:

http://containertutorials.com/network/ovs_docker.html оно?

вручную как раз: ovs-docker add-port ovs-br1 eth1 container2 —ipaddress=173.16.1.3/24

а вообще зачем, если они там вон с вланами и около того мутят или это привычнее

linux bridge медленный

https://github.com/gopher-net/docker-ovs-plugin - о, гуглится внезапно.

плагины у них вроде кривые и они грозят их скоро переделать или это только про диск было

И вообще. Стартап без докера — смузи на ветер.

И вообще. Стартап без докера — смузи на ветер.

тупа в цитаты

Ситуация в следующем. Поставил Docker. Потребовал Hyper-V. Ставить Hyper-V а версия не та. Обновился, поставил ее, установил Docker. И то виртуалка не появляется. То не запускается сам Docker. Пишет, что Docker стартует, но так ни чего и не проиходит. А логах только подключение к порту какому-то(сейчас точно не скажу. Обновления проверяет, видимо) и все.

Если ещё не пробовал, то удали подчистую докер, убедись, что hyper-v вообще работает (напили свою любую виртуалку), поставь заново Docker for Windows. Проверь права — hyper-v управляется только из-под админа. Посмотри в консоли hyper-v, что происходит, когда ворочается docker. Создаётся ли виртуалка.

@robox я уже Windows переустановил и тут же поставил Docker. Сейчас все отлично

@robox я уже Windows переустановил и тут же поставил Docker. Сейчас все отлично

Замечательно тогда. =)

@robox ))

@robox сейчас вот ковыряюсь. думаю как поставить Phalcon на официальный контейнер php. Жалуется на Depends: phpapi-20151012 but it is not installable

@robox сейчас вот ковыряюсь. думаю как поставить Phalcon на официальный контейнер php. Жалуется на Depends: phpapi-20151012 but it is not installable

Увы, по экосистеме php ничего не могу подсказать.

@robox Спасибо

в официальных образах php очень недурная обвязка, позваляющая легко доутстанавливать в них модули (в производные контейнеры)

что то новенькое, похожее на старнеькое

[@docker-hv1 ~]# rm -rf /var/lib/docker/devicemapper/mnt/* rm: cannot remove '/var/lib/docker/devicemapper/mnt/330aa8c788eb5c28f365486ac79342623497b6c2b49f9216625fd47d4b9133b2': Device or resource busy rm: cannot remove '/var/lib/docker/devicemapper/mnt/36422cd92a6d76cd3d206fc471cf04c7987f354973564c4204b5fc91a2e65e1b': Device or resource busy rm: cannot remove '/var/lib/docker/devicemapper/mnt/99f63ce2dc0923e118f60524c58f41535f071cd85f1cbaaa456ef2ff56cdadc9': Device or resource busy rm: cannot remove '/var/lib/docker/devicemapper/mnt/c281b8e7f662ca8cb4b42e9d3a683d3aaf3003016d84732a7296edede40fb2ea': Device or resource busy [@docker-hv1 ~]# umount /var/lib/docker/devicemapper/mnt/* umount: /var/lib/docker/devicemapper/mnt/330aa8c788eb5c28f365486ac79342623497b6c2b49f9216625fd47d4b9133b2: not mounted umount: /var/lib/docker/devicemapper/mnt/36422cd92a6d76cd3d206fc471cf04c7987f354973564c4204b5fc91a2e65e1b: not mounted umount: /var/lib/docker/devicemapper/mnt/99f63ce2dc0923e118f60524c58f41535f071cd85f1cbaaa456ef2ff56cdadc9: not mounted umount: /var/lib/docker/devicemapper/mnt/c281b8e7f662ca8cb4b42e9d3a683d3aaf3003016d84732a7296edede40fb2ea: not mounted

А что нового то? Старый баг

lsof +D /var/lib/dockerпусто

раньше его всякие ntp держали и подобное

а сейчас непонятно что )

Ну у меня его никто не держал, если помнишь

не помню =\\\

как справлялся ?

всем привет, а куда попадает собранный образ после docker build ?? почему у меня после Successfully built ae802a96e3ae docker images ls -a нифига ничего не показывает?

ой я походу не понял что делает docker build ... и чем image от контейнера отличается

контейнер это инстанс имиджа

я так всем погромистам говорю, они сразу въезжают.

как справлялся ?

Раз в месяц вайпаю железку :) все думаю сделать утилиту для очистки

класс

Раз в месяц вайпаю железку :) все думаю сделать утилиту для очистки

P — Production ready бля

ну mv спасает конечно

но странненько как то

о