Vitalii
согласен, и на том спасибо :)
yopp
сам ранчер достаточно простой и удобный
denis
А как скейлить мультиконтейнерное приложение на несколько серверов?
Igor
используй что-то как kubernetes
Anonymous
или на каждом запускать compose со своими контейнерами
denis
@NordLuf Со swarm-ом то понятно, но docker-compose работает в режиме swarm только в експерементальной векте
Evgeny
Да :(
Roman
А как скейлить мультиконтейнерное приложение на несколько серверов?
ну и ранчер, который выше обсуждали, тоже для этого подходит
mono
Ребят, вкратце можете подсказать как мне из контейнера слушать локальный порт на маке?
mono
разобрался)
Seva
хорошая фамилия
Gregory is typing...
Если вдруг кто-то пропустил http://seclists.org/fulldisclosure/2017/Jan/21
Lex
а кто где берет пакет для docker-compose для ubuntu?
Aleksey
pip install
denis
или
sudo curl -L "https://github.com/docker/compose/releases/download/1.9.0/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose
sudo chmod +x /usr/local/bin/docker-compose
Lex
Andrey
а чего ты ждал от хипстеров :)
nvkv
Sergei
нет же
denis
хм, и вправду питон, тогда однозначно pip
Aleksey
там к нему зависимостей по дефолту тянет просто ад сколько
Aleksey
так что вот этот вот вариант с курлом думаю нифига не рабоатет на истой системе
Roman
кажется это способ из офф мануала. и норм работает на чистой системе
Владимир
работает, проверенно на centos 7 в минимальной установке и rhel 7
nvkv
паскуда
Aleksey
да. это бляцтово
Vladimir
в питоне ж можно какие то типа пространства создавать, с разными версиями зависимостей, если чо
nvkv
заколебешься venv на каждый чих делать
Vladimir
согласен
Aleksey
тем более тулза то системная
Aleksey
можно PATH переписать
Aleksey
так наверное правильнее будет
Aleksey
но всё равно криво
Vladimir
один шаг до lxc а там и докер уже рядом))))
Roman
граждане, а что правильнее использовать: ENTRYPOINT или CMD?
Denis
энтипойнт реврайтится только через аргумент командлайна. CMD это всё то что в ране после имени имиджа запускаемого
Sergei
ENTRYPOINT - это грубо говоря "то, что всегда будет запускаться при старте контейнера".
а CMD - то, что ты передаешь ENTRYPOINT'у для запуска контейнера.
дефолтный ENTRYPOINT - это /bin/sh -c
Sergei
например, посмотри на ENTRYPOINT в мариадб-образе: https://github.com/docker-library/mariadb/blob/b558f64b736650b94df9a90e68ff9e3bc03d4bdb/10.1/docker-entrypoint.sh
Sergei
даже если ты сделаешь
docker run -it mariadb:latest /bin/bash, все равно сначала выполнится ENTRYPOINT, а потом только твой баш.
Roman
Aleksey
Sergei
спасибо. вкурил.
юзабельно, когда контейнер перед стартом надо подготовить, но в билдтайме это нельзя сделать :)
Aleksey
обычно перед задавание вопроса
Ilya
Приветствую. У меня вопрос по безопастности. Правильно ли я понимаю что добавления пользователя в группу docker - прямой путь до root'а? Помогите понять есть ли безопасный способ запуска контейнеров от непривилигировоннаго пользователя.
Dan
это прямой путь до root'а в контейнере. но не в системе
Ilya
Если замонтировать локальную папку, то можно из контейнера писать в нее с правами рута.
Ilya
Фактически ничто не запрещает замонтировать /etc и там подправить что захочется. Вопрос как раз в том, как этого не допустить.
Aleksey
да проще же. не надо ничо маунтить etc
Aleksey
просто суидный бинарь же
Ilya
Да, этот вариант попроще
Ilya
Как с этим жить?)
Aleksey
uidmapping ?
Ilya
userns-remap?
Ilya
Данный флажок для dockerd позволяет замапить uid'ы. Но в docker run можно передать --userns=host. И все вернется.
Ilya
Или ошибаюсь?
Anonymous
Как с этим жить?)
First of all, only trusted users should be allowed to control your Docker daemon. This is a direct consequence of some powerful Docker features.
Anonymous
https://docs.docker.com/engine/security/security/
Anonymous
собственно "...powerful Docker features. Specifically, Docker allows you to share a directory between the Docker host and a guest container; and it allows you to do so without limiting the access rights ..." — твой пример.
Anonymous
я думаю, можно упороться по политикам GRSEC
если хочется разрешить запускать docker от недоверенного пользователя
но вряд ли поможет, докеру требуется множество разнообразных привелегий
Anonymous
не в том смысле что по ссылке выше, а написать детализированные разрешения для группы
Anonymous
https://docs.docker.com/engine/security/apparmor/ ну или вот готовые профили
Ilya
@Prefiguring спасибо за инфу про apparmor. Но после беглого просмотра, тут тоже надо параметры в docker run передавать. Настройки на каждый контейнер а не на весь dockerd. Соответственно таже проблема.
Ilya
First of all, only trusted users should be allowed to control your Docker daemon. This is a direct consequence of some powerful Docker features.
Да, с этим похоже ничего не поделаешь
Anonymous
Да, с этим похоже ничего не поделаешь
Виртуализация требует в общем случае полных прав Root
Ilya
Я много docker for mac пользовался. Он как раз меня в заблуждение ввел. Он же монтирует папочки из macOs в docker host. И там при записи в монтированную папку права текущего пользователя всегда выставляются.
nvkv
docker for mac работает не напрямую ведь, а через виртуалку
Ilya
Да, да.
Anonymous
docker for mac работает не напрямую ведь, а через виртуалку
разве это связано с uid-mapping ом
Roman
docker for mac работает не напрямую ведь, а через виртуалку
чуть ли не с октября месяца, правда в бете
http://take.ms/KGE7N
Ilya
разве это связано с uid-mapping ом
Это никак с мапингом не связано. Просто ежиденевная практика использования Docker на mac'е завела меня в заблуждение, что нормальное поведение это когда в монтированную папку контейнер пишет с правами запустившего пользователя. Прошляпил.
nvkv
чуть ли не с октября месяца, правда в бете
http://take.ms/KGE7N
И чего, он не в виртуалке работает?
nvkv
типа если гипервизор на уровне оси, то вроде как бы и не виртуалка уже?
Ilya
виртуалка виртуалка
Vladislav
sonatype nexus кто нибудь использовал для кэширования образов?