А это уже как напишешь запросы так полностью инфу показывает, скрины завтра смогу скинуть примерно как выглядит, ноут влом врубать, а в выходной, вообще кадвизор мне нравится пиши себе и пиши в графану
Спасибо, покурю его.
bama^boy
Anonymous
@Zevsikk будет жить. Поприветствуем!
Anonymous
@bobmaxuzb будет жить. Поприветствуем!
Anonymous
Alex R будет жить. Поприветствуем!
Anonymous
@khandurdyiev будет жить. Поприветствуем!
Aleksey
господа, думаю все знают что докер образы надо переодически пересобирать что бы не портились базовые слои.
как вы тегаете такие образы ? они содержат обновленный базовый слой но приложение осталось без изменения.
Andrey
ну в пакетных системах на такой случай подверсии заводят .х _х и всё такое, чем докер лучше?
Aleksey
в докере нет такой практики сейчас
Aleksey
такие пироги
Anton
а что значит портится базовый слой? никогда с таким не сталкивался
Roman
а что значит портится базовый слой? никогда с таким не сталкивался
бифидобактерии переходят на сторону зла
Roman
пакеты устаревают
Aleksey
Сейчас тег как правило тегает приложение. А не инфру
Aleksei
Сейчас тег как правило тегает приложение. А не инфру
Может, как в той же убунте? Типа 1.2.3-ubuntu1(2,3,4,5)
Aleksey
Да так вполне годно. Но почему то этого нет
Navern
А для тех кто не знает, расскажи плиз как базовые слои "портятся") а то я чттто не понял про что ты)
Aleksey
А для тех кто не знает, расскажи плиз как базовые слои "портятся") а то я чттто не понял про что ты)
ну так пакетная база основного слоя устаревает. и в ней находят дыры
Aleksey
тебе всё правильно сазали про бифидобактерии
Navern
ну так пакетная база основного слоя устаревает. и в ней находят дыры
А, я понял про что ты) просто слово "портится" меня смутило сильно)
Aleksey
ну а как это назвать :) ?
Aleksey
мне показалось слово портится уместным ага
Navern
Да, сложно в слова) "протухание" вроде чуть получш)
Aleksey
видимо тег придется делать состовным. но вообще это конечно хренотень.
app_v1.1.1_alpine_v3.6
Jürgen
Я использую базовый имидж свой с тегами, когда надо обновить обновляю вначале свой имидж а потом уже накатываю что нужно
Aleksey
Я использую базовый имидж свой с тегами, когда надо обновить обновляю вначале свой имидж а потом уже накатываю что нужно
так выглядит годно в случае если FROM всегда свой. даже ркн не заставил меня пересобирать все имиджи
Aleksey
часть всё равно берется из паблика.
bama^boy
это официальный image, есть два варианта, на дебиане и на alpine
bama^boy
ну я как пример тегирования привел, ты делай, как хочешь
Jürgen
так выглядит годно в случае если FROM всегда свой. даже ркн не заставил меня пересобирать все имиджи
Берешь базовый альпайн или что угодно и собираешь свое, для приложения фром уже из приватного реджистри
Aleksey
я понимаю механику процесса. но говорю есть имиджи которые я не пересобираю
Aleksey
хотя
bama^boy
я понимаю механику процесса. но говорю есть имиджи которые я не пересобираю
мне кажется, что проблема не в докере
Aleksey
Берешь базовый альпайн или что угодно и собираешь свое, для приложения фром уже из приватного реджистри
да спасибо. это пожалуй выход
Aleksey
однако это всё равно создает не идемпотентность имиджей.
Jürgen
Если хочешь систему которая не будет зависит от внешних изменений уменьшай количество зависимостей, плюс с точки зрения безопастности лучше
Aleksey
ибо финальный тег не будет отображать содержимого и переодически пулл текущей весрии с тегом будет приводить к тому что что то качается.
bama^boy
Берешь базовый альпайн или что угодно и собираешь свое, для приложения фром уже из приватного реджистри
для такого варианта процесс пересборки длиннее, мы просто базируемся на официальных сборках, а-ля httpd:2.4.28 и обвновляем их время от времени, меньше телодвижений
Jürgen
для такого варианта процесс пересборки длиннее, мы просто базируемся на официальных сборках, а-ля httpd:2.4.28 и обвновляем их время от времени, меньше телодвижений
Пересборка длинная? Ну не замечал долгой сборку базы
bama^boy
Пересборка длинная? Ну не замечал долгой сборку базы
чтоб пересобрать конечный образ при изменении базового, тебе надо собрать несколько по цепочке
Jürgen
чтоб пересобрать конечный образ при изменении базового, тебе надо собрать несколько по цепочке
хм неа, вот смотри готовится база с нужным софтом с тегами что за базовый имидж, уже при билде софта пулится базовый имидж из приватного реджистри на него накатывается только приложение и все, в редких случаях добавляются пакеты
bama^boy
смотри, ты хочешь обновить базу в приложении, ты сначала обновляешь базовый образ, потом приложение = 2 сборки собираешь базу, потом приложение на основе базы
bama^boy
а так ты просто тег поменял в from, а база качается из docker hub
Aleksey
всё это хрень госопода. пойду базел смотреть.
Jürgen
а так ты просто тег поменял в from, а база качается из docker hub
угу и по безопаски просел )))
Jürgen
какбэ https://docs.docker.com/develop/dev-best-practices/#how-to-keep-your-images-small
Jürgen
и
https://docs.docker.com/develop/develop-images/baseimages/
Aleksey
и
https://docs.docker.com/develop/develop-images/baseimages/
всё так да. просто у меня в голове есть определенная каша с тем что
* имиджи не изменяемые
* тег всегда ведет в одно место
* приложение может хотеть конкретные версии библиотек которые не обзятательно будет доступны через год.
* секурити требует что бы в имиджах было как можно меньше уязвимостей.
всё 4 момента в общем предполагают что текущий уровень тегирования не верен.
Jürgen
всё так да. просто у меня в голове есть определенная каша с тем что
* имиджи не изменяемые
* тег всегда ведет в одно место
* приложение может хотеть конкретные версии библиотек которые не обзятательно будет доступны через год.
* секурити требует что бы в имиджах было как можно меньше уязвимостей.
всё 4 момента в общем предполагают что текущий уровень тегирования не верен.
все 4 уровня это как раз базовый имидж, как не крути, чтобы приложение хотело что-то специфического надо по рукам программисту надавать чтобы не занимался самодеятельностью.
Jürgen
меньше уязвиимостей == свой образ собранный из минималки
Aleksey
все 4 уровня это как раз базовый имидж, как не крути, чтобы приложение хотело что-то специфического надо по рукам программисту надавать чтобы не занимался самодеятельностью.
госам объяснишь что gost стоит таки добить и сделать в openssl стандартом ?
Navern
Фиксируя свои версии
Aleksey
а не метатся туда сюда как мошка по ... ну сами знаете
Jürgen
госам объяснишь что gost стоит таки добить и сделать в openssl стандартом ?
я это объяснял гос компании ))) и сошлись в том что делаем свой базовый образ и поверх накатываем свои приложения
Aleksey
тогда ты понимаешь о чём я, да. таких примеров более одного. просто этот яркий.
Aleksey
в сухом остатке получается что:
* при переодической пересборке базового слоя его надо тегать
* тег пересборки надо выносить в тег имиджа.
Jürgen
тогда ты понимаешь о чём я, да. таких примеров более одного. просто этот яркий.
так вот если у тебя есть база отдаешь безопасникам они тестируют на уязвимости и все все счастливы, в РФ еще не такие суровые безопасники))) в гос
Aleksey
иначе нарушается * тег всегда ведет в одно место
Jürgen
в сухом остатке получается что:
* при переодической пересборке базового слоя его надо тегать
* тег пересборки надо выносить в тег имиджа.
любой имидж надо тегать это правило номер раз при использовании докера
Roman
иначе нарушается * тег всегда ведет в одно место
я вот как раз недели три назад тут это же обсуждал, что я привык, что тег однозначно маркирует релиз, и не может быть что сегодня этот тег на одном имедже, а завтра на другом. но в докере все не так, и это меня и удивляло
Jürgen
чтобы понять про теги достаточно прочитать офф доку по тому как лучше готовить
bama^boy
Navern
Anonymous
@freebot3550 будет жить. Поприветствуем!
Navern
а какой, философский?)
ну обычно это называют административными вопросами) или вопросами архитектуры) философскими тоже можно назвать
в гите у тебя тоже теги можно перевешивать на другие коммиты
Alexey
Всем привет.
Проблема - Mac, настроил в docker nginx-server, отдающий статику. На https ни намёка в конфиге (окружение для разработки делаю). В Safari все работает как надо. Хром пишет:
Этот сайт не может обеспечить безопасное соединение
Сайт coin-api.dev отправил недействительный ответ.
ERR_SSL_PROTOCOL_ERROR
Alexey
и редиректит на https с http сам
Roman
ну обычно это называют административными вопросами) или вопросами архитектуры) философскими тоже можно назвать
в гите у тебя тоже теги можно перевешивать на другие коммиты
согласен, можно, инструмент это не запрещает