Aleksey
да потыкал
Aleksey
конечно я не вспомню про него когда_будет_нужно но вдруг
Anonymous
@marinintim будет жить. Поприветствуем!
Anonymous
Граф Атос будет жить. Поприветствуем!
Anonymous
@hullabaloom будет жить. Поприветствуем!
Dan
Коллеги
Dan
Почти пятничный тред есть: насколько безопасно использование docker machine
Dan
Основной вопрос: может ли злоумышленник каким-либо образом управлять сервером с докерами? В MitM атаке, например?
Dan
Понятно, что поимев доступ к локальной машине или к серверу - это уже не вопрос. А вопрос именно про открытый наружу порт, и всё вот в этом духе
AstraSerg
Порты в любом случае закрывать нужно
AstraSerg
tcp/2376 емнип
Gleb
Основной вопрос: может ли злоумышленник каким-либо образом управлять сервером с докерами? В MitM атаке, например?
https://success.docker.com/article/how-do-i-enable-the-remote-api-for-dockerd если так делаешь то через апишку да
Dmitry
если с ssl ca - безразлично
Dan
Порты в любом случае закрывать нужно
Ок, а есть ли возможность пустить траффик через ssh, например?
Gleb
если самоподписный то считай что нет
Dan
@lain0 тут говорят что лучше порт всё-таки не открывать наружу
Dan
если самоподписный то считай что нет
Меня интересуют подробности и конкретные случаи взлома при использовании самоподписанного сертификата
Dmitry
у меня даже VPN до личного VPS так
Gleb
Sergei
а как тогда вообще юзать docker-machine удалённо тока через vpn ?
Gleb
эм, у меня не продакшен, ну….
да какая разница, люди такую дичь творят, например по дефолту докер когда ставится слушает сокет, товарищ идет качает роль для ансибл с гитхаба, а там https://success.docker.com/article/how-do-i-enable-the-remote-api-for-dockerd и привет
Dmitry
ну так я про то, что если закрыть ssl + ca то норм
Dmitry
а то что люди наружу редисы, докеры и мемкэши голым задом выставляют в сеть - другая история
Dan
а то что люди наружу редисы, докеры и мемкэши голым задом выставляют в сеть - другая история
@lain0 хочет использовать docker machine. но боится наружу высовывать порт. собственно, он интересовался можно ли траффик завернуть в ssh? или следует ходить через vpn ?
Dan
Насколько я понял, если сверять данные сертификата, пусть даже самоподписанного, то можно вполне себе использовать открытый порт и ssl
Dan
Но меня скорее интересуют конкретные практики использования :)
Dan
Ну как меня... @lain0 интересуется :)
Dmitry
https://docs.docker.com/engine/security/https/#create-a-ca-server-and-client-keys-with-openssl
Dmitry
Dmitry
кстати говоря, если накатывать через docker-machine - сразу будет с ssl =)
Dan
Это да, там прямо так в документации и есть.
AstraSerg
Ок, а есть ли возможность пустить траффик через ssh, например?
Не понял, что вы имеете ввиду, но если вы про использование оверлеев, то конечно, никто вам этого запретить не может. Вообще, если вам нужно использовать докер машин для контроля хостов в интернете, то откройте доступ до ни только в доверенных хостов.
Alexey
Всем привет. Столкнулся с такой проблемой:
В docker-compose есть контейнеры с nginx и php-fpm. В nginx из env переменной подставляется server_name, а на хосте в /etc/hosts пишется 127.0.0.1 myhost.local соответственно.
Так вот, если из контейнера php-fpm долбиться на myhost.local, то его и кидает на 127.0.0.1, а должно на webserver ip. Как это можно сделать?
Aleksei
Всем привет. Столкнулся с такой проблемой:
В docker-compose есть контейнеры с nginx и php-fpm. В nginx из env переменной подставляется server_name, а на хосте в /etc/hosts пишется 127.0.0.1 myhost.local соответственно.
Так вот, если из контейнера php-fpm долбиться на myhost.local, то его и кидает на 127.0.0.1, а должно на webserver ip. Как это можно сделать?
Наверное, сначала надо задать вопрос - зачем вообще понадобилось обращаться к nginx контейнеру из php?
Alexey
Наверное, сначала надо задать вопрос - зачем вообще понадобилось обращаться к nginx контейнеру из php?
потому что два сервиса, общающиеся живут в одном контейнере. И из одного нужно обращаться к другому.
И да, я знаю, что это не правильно, но в данной конкретной ситуации это вынужденная мера
Aleksei
потому что два сервиса, общающиеся живут в одном контейнере. И из одного нужно обращаться к другому.
И да, я знаю, что это не правильно, но в данной конкретной ситуации это вынужденная мера
А нельзя обращаться по имени сервиса, а не server_name?
Aleksei
Обычно так и делают
Alexey
А нельзя обращаться по имени сервиса, а не server_name?
В общем-то, как временный костыль я и так и сделал.
Aleksei
В общем-то, как временный костыль я и так и сделал.
Не уверен, что это именно костыль. Теперь при изменении имени домена его надо менять только в одном месте, а не двух
Alexey
Не уверен, что это именно костыль. Теперь при изменении имени домена его надо менять только в одном месте, а не двух
Ну, подразумевалось, что домен меняется вообще в одном месте.
Короче, в любом случае с учетом того, что 2 сервиса находятся в одном месте это единственный рабочий вариант. Спасибо
Alex
Как можно наладить связь между двумя разными хостами, что бы контейнер с одного хоста, видел контейнер с другого хоста?
Navern
Как можно наладить связь между двумя разными хостами, что бы контейнер с одного хоста, видел контейнер с другого хоста?
что за "связь"? И что значит "видел"?
Alex
Контейнеры могут поднимать свою сеть, дабы видеть друг друга.
Navern
"Видеть" оч странное слово
Navern
Ты если пробрасываешь порты контейнера на хост, тт по хостовомц айпишнику в эти порты можнт стучаьься
Alex
"Видеть" это одминское, а вопрос прост, как контенеры на разных серваках, заставить общаться между собой? Без юзанья swarm. Нагуглил vxlan.
Navern
"Видеть" это одминское, а вопрос прост, как контенеры на разных серваках, заставить общаться между собой? Без юзанья swarm. Нагуглил vxlan.
Видеть - это гуманитарное какоето.
Есть оверлейные сети(vxlan оттуда), есть айпишник хоста и пробрасываемые порты) можно мутить самому чтото отдельное по типу macvlan с отдельными ip для каждого контейнера
Navern
И роутящейся сеткой
mr
Привет, как можно перезапустить docker контейнер внутри самого контейнера?
Ivan
докер контейнер внутри докер контейнера
Ivan
Что костыль? Зачем тебе перезагружать докер контейнер внутри самого контейнера?
mr
какэта?
Ну у меня есть бот и стоит сигнал на перезапуск, если в админке поменять токен, раньше делал перезапуск сервиса, а теперь перевел на докер
Ivan
ну так и перезапускай контейнер
Ivan
what is you problem?
Ivan
Смотри, у тебя внутри контейнера app (твой бот). твой app == контейнер. Тебе не надо перезапускать app внутри контейнера, тебе достаточно перезапустить сам контейнер
mr
Ivan
внутри контейнера
mr
restart: always, да?
Johnny
restart: always, да?
да, можно делать рестарт контейнера только при ошибке. тогда скрипт надо завершать с ошибкой
mr
Ок, спасибо
Anonymous
Влад будет жить. Поприветствуем!
Anonymous
@lawstannis будет жить. Поприветствуем!