Evgeny
--net=host
Vitalii
о, почитаю про этот параметр. Спасибо!
Denis
Оверхеда на вольюмы нет, не выдумывайте
Vitalii
Оверхеда на вольюмы нет, не выдумывайте
маунт волюма и работа через манут с файлами внутри контейнера совсем бесплатная операция?
Denis
Ну как бы да, просто шарим маунт нс и всё
Denis
Мне кажется это всё от привычки думать что докер "это типа виртуалки"
Sergei
маунт волюма и работа через манут с файлами внутри контейнера совсем бесплатная операция?
это mount —bind фактически.
Vladimir
Мне кажется это всё от привычки думать что докер "это типа виртуалки"
и с этим так сложно бороться.. Народ прочитает пол статьи на хабре и начинает думать что в докере другую ОС запускают..
Denis
Нуууу
Denis
Ос то другая ! А ядро тоже )))
Evgeny
А разве нет?
Vladimir
ну ос вообще то это то что работает с железом
Vladimir
а не набор бинарников формирующих тебе другой баш
Denis
Ключевое слово 'дистрибьютящих' другой баш)
Evgeny
Ненене! Вон же - даже докер под виндоус есть, значит в нем можно и винду запустить. Вы просто дно и ничего не знаете.
Vladimir
ну ну)
Vladimir
дно и раки
Vladimir
или раки на дне
Denis
Vladimir
ещё
Sander
опять много мнений и версий, и непонятно как делать все токи правильно
Sander
😕
Alf 🙀
самое правильное не делать никак. только так нне испортишь свою карму.
Sander
если не делать, ничего и не будет
Denis
Не было помоему разных мнений
invariance
Народ, а как сделать ребилд в docker-compose?
invariance
у меня в Dockerfile установка зависимостей, и чет я docker-compose down роняю контейнеры, потом поднимаю...
invariance
И по-моему не ребилдится нифига
invariance
это не помогло) А помогло напрямую docker-compose build
invariance
invariance
Alf 🙀
install -my это что?
Dan
y - это принудительный утвердительный ответ на вопрос: вы уверены?
Dan
А m - muted
Dan
Или любое другое слово на m
Alf 🙀
-m Attempt to continue if archives are unlocatable
Alf 🙀
окей.
invariance
Alf 🙀
invariance
в смысле у меня эти же репы прописаны
invariance
на убунте .deb пакеты можно устанавливать
Alf 🙀
из дебиановских реп?
Alf 🙀
я смотрю вы любитель
Alf 🙀
хорошего время препровождения
Andrey
да уж, вкусы некоторых, мало объяснимы :)
invariance
хотя да, туплю
invariance
все же докер свой файл подтягивает с репами
invariance
https://apt.dockerproject.org/repo/
invariance
отсюда
invariance
и я хз если честно, почему он берет дебиан, когда в docker.list прописано deb https://apt.dockerproject.org/repo ubuntu-xenial main
Denis
А есть какие то варианты, запретить запускать контейнеры под рутом ?
Denis
типа чтобы обязателоно было --user
Anonymous
А есть какие то варианты, запретить запускать контейнеры под рутом ?
А это имеет значение?
Anonymous
Докер все равно suidный
Denis
просто все эти идеи "дай вебморду, пусть он запускает аппы через нее" лишены смысла если можно запустить контейнер под рутом и примаунтить туда чо хочешь
Denis
а тут хоть если и примаунтишь то права будут в соотвествии с пользователем контейнера
Denis
нэ ?
Aleksey
вопрос ведь не в защите по секурити
Aleksey
вопрос в том что бы не допустить ошибку
Evgeny
Поднимай на каждого инстанс вмвари, внутри - докер
Aleksey
если вопрос в безопасности то да... photonos
Denis
вопрос скорее в том чтобы не "сделали по своему и вроде работает"
Aleksey
они всё равно сделают
Kirill
+1
Alf 🙀
+1
Aleksey
так себе идея решать административные проблемы через технические средства
Denis
конечно так себе
Aleksey
ибо на выходе будет ERP
Denis
но и пытаться "административно" ограничить рута всем подряд тоже так себе в рамках отсуствия технических средств на это
Aleksey
но у тя есть средства. просто они не приятные. поднимай по воркеру на команду. туши воркер при окончании процесса.
Anonymous
а тут хоть если и примаунтишь то права будут в соотвествии с пользователем контейнера
нет, права все равно будут рутовые
Anonymous
можно упороться по SELinux или GRSEC
Aleksey
это тоже так се
Anonymous
под SElinux есть готовые правила на офсайте
Anonymous
но не очень богатые
Aleksey
выделенная виртуалка на команду. потом на репу. потом на бранч.
Aleksey
в зависимости от непотребства со стороны разарбов
Denis
нет, права все равно будут рутовые
хм. так процесс запущеный внутри же будет уже в неймспейсах и капабилити применены будут в соотвествии с пользователем которого указали при старте контейнера