и это вариант типа "конфиг" сервиса

о да, одной командой можно сбилдить все контейнеры. и запустить их

на сайте мануала в целом достаточно

помните только о том, что в вашем проекте имя базы данных, мать её, должно соответствовать, не побоюсь этого выражения, имени контейнера.

этого в документации не указано (или я плохо искал). но это реально попортило мне половину вечера

чо чо ?

таск был: simple machine forum перетащить в докер. он на php + mysql

в конфиге smf пока я не укзаал в конфиге $databasehost = 'eb5267a787cb' - т.е. имя контейнера mysql - ничего не заводилось.

это возможно частный случай, но это вот такое да... ))

эм

тебе надо было пойти по другому пути

надо было задавать опцию hostname

в докеркомпоуз

localhost? 😊

ну вообще да

docker-way это указывать опцию

а в контейнере с форумом хост задавать в виде того самомого hostname

у тя после того как склинкоанные контейнеры поставились либо до 1,10 будет запись в /etc/hosts

сj всеми адерсами

*со

либо dns на 1.11

1.11

dns да

и в этом днс у тя будут прописаны адреса слиноковынных контейнеров

и пинговаться они у тя будут по именам типа db php и прочуму

угу, только это работает на всех современных платформах и проектах которые я поднимаю

а вот на том - ручками, ручками

$databasehost = 'eb5267a787cb'

ну это для примера

))

выглядит оооочеь странно

уверен он это пропускает через резолв

так и есть

))

чёрт, я чёт об этом не подумал

хахаха

это как анекдот есть когда в конце какого-то интервью у одного учёного спросили, а для чего вам на двери входной в ваш дом две дырки внизу - одна меньше другой? А это говорит для собаки и для кошки, чтобы они с улицы могли в дом заходить. а почему бы не оставить одну большую дырку куда и собака и кошка прошла бы? а я, говорит учёный, об этом как-то даже и не подумал :-/

:)

> А подскажите про dockerfile, правильно ли я понимаю, что писать EXPOSE нужно только для того, чтобы потом можно было запускать контейнер с опцией publish-all? это ведь по сути просто добавляет метаинформацию о портах, которые использует приложение? Что-то мне подсказывает, что Никита спрашивал не про маны :)

@minicon ты нашёл ответ на свой вопрос?

на какой именно?

про expose разумеется

)))))

а если у тебя вопросов много это хорошо ))

а, нашел. это просто метаданные

значит я такой не один

вообще понятно для чего это можно использовать, например какая-нибудь внешняя система на эти данные может опираться, marathon какой-нибудь, например

Ого

Прямо прорвало

Все Докера хотят

Добрый день. Я меня проблема с запуском первого контейнера.

Когда выполняю команду docker run hello-world Unable to find image 'hello-world:latest' locally Консоль остаётся в током састоянии

Есть идеи почему контейнер не скачавается?

Есть - нет доступа к хабу например

Херасе. Ты прав. Немогу даже пинговать из консоли хаб. В браузере норм.

Куда копать дальше есть идеи?

проверь днс, докер хаб периодически работает как говно

Господа, тема вечера FIREWALL

Firewall это прекрасно

хоть ктото прокуривал эту тему?

я прокуривал , хочу найти наркоманов сородичей

периодически приходится курить как следует их

))

поделитесь мыслями / боевым опытом, .. а я поведаю свою идею

за прошедшие десятилетия в мире файрволов фундаментально мало что поменялось. все по-старинке действуют по правилу: "закрыть всё, открывать необходимое", и считается что этот метод правильный с точки зрения и безопасности и здоровья админа.

это ясно, но есть докер, который крутит iptables как хочет, есть приставки к докеру которые тоже крутят как хотят, при этом нужно так что бы все это не отваливалось и можно было безболезнеенно обновлять правила, что бы случайный expose порты не торчали в интернет без явного разрешения файрвола

это ясно, но есть докер, который крутит iptables как хочет, есть приставки к докеру которые тоже крутят как хотят, при этом нужно так что бы все это не отваливалось и можно было безболезнеенно обновлять правила, что бы случайный expose порты не торчали в интернет без явного разрешения файрвола

И это весьма огорчает всё. Мы так напилили портфорвардинг через haproxy и consul

@zon_orti , Тоесть у вас посути consul обновляет правила?

это ясно, но есть докер, который крутит iptables как хочет, есть приставки к докеру которые тоже крутят как хотят, при этом нужно так что бы все это не отваливалось и можно было безболезнеенно обновлять правила, что бы случайный expose порты не торчали в интернет без явного разрешения файрвола

у меня добавлен ручной костыль который с докером живет

я тоже такой костыль придумал =) причем он должен работать внутри контейнера ) , тоесть хоешь обновить правила файрвола - пересоздай контейнер

жееесть

неа.. очень даже хорошо, иначе нужно цеплятсья за systemd и следить за перезапуском докера, а так контейнер сам запускатся полсе докера

причем таким макаром, видать, работает calico которая свой чейн втыкает перед чейном докера,

в моем случае мне не нужны динамическе порты смотрящие в интернет, поэтому consul для этого не понадобится, а внутри приватных сетей разрешающие правила и полностью отключенный nfconntrack , на внешке отключен nfconntrack только для портов с трафиком, для остальных включен что бы исходящие соединения спокойно ходили в интернет

@zon_orti , Тоесть у вас посути consul обновляет правила?

Правила статичны, форвардинг на L7(haproxy)

хм, не дороговато ли? .. докер такую штуку для localhost использует - процесс docker-proxy , мне вообще не понравилось как оно работает под нагрузкой, хотя может haproxy эффективней, однако я просто решил что в localhost проще не ходить вообще

хм, не дороговато ли? .. докер такую штуку для localhost использует - процесс docker-proxy , мне вообще не понравилось как оно работает под нагрузкой, хотя может haproxy эффективней, однако я просто решил что в localhost проще не ходить вообще

Дальше форвардится не на docker-proxy а на внутренний ip контейнера. HAproxy под нагрузкой вроде вполне работает, хотя некоторые говорят, что при релоаде теряются коннекты

хм, но почему не dnat ?

iptables управляется через chef посредством shorewall. Как это красиво скрестить с докером - пока не придумали