коллеги я вижу в конфиге /var/run/docker/containerd/containerd.toml
[metrics]
address = ""
grpc_histogram = false
как их можно задать ?
там такие метрики что я расстроился. по большому счету той доки хватило чтоб настроить, но я ожидал другого
Gleb
Gleb
у меня все мечта есть избавить от телеграфа\cadvisor’а, но походу не в ближашее время
Lexx
вот так заработало на клаудфлейре не все порты разрешены, но вопрос тогда как не писать 2053
/mailu/overrides/nginx - в эту папку конфиг для laradock добавь. и в docker-compose networks не забудь
Roman
Navern
просто смысл что бы сохранить байт в субд нужно много приседаний для докера избыточных так как он вируализирует файловую систему
а как докер виртуализирует файловую систему?
Костяныч
а как докер виртуализирует файловую систему?
точно пока не знаю но как то делает что к материской разметке не обратится где линукс крутся так как и юзер виртуальный в докере
Костяныч
я пока новичок в докерах
Navern
точно пока не знаю но как то делает что к материской разметке не обратится где линукс крутся так как и юзер виртуальный в докере
А chroot виртуализирует файловую систему?
Navern
да чо ты. скинь свой доклад. у тя был хороший
Лан. Тока не помню в спблуге тогда записывали или нет.
https://www.youtube.com/watch?v=BigLK7g88Ng
хотя он не совсем отвечает на вопрос "докер и базы данных"
Aleksey
про луг не уверен
Navern
ну есть такая запись
Navern
в луге чуть по другому рассказвыал вроде
Костяныч
думаю как и вируал бокс в файле образ состояния на хост машине
Aleksey
а доклад хороши и съекномит вам два десятка боязней и три десятка измышлений
Navern
George
думаю как и вируал бокс в файле образ состояния на хост машине
🤦♂это неверно чуть более, чем полностью
George
Касательно докера и файловой системы - все не так страшно, но до недавнего времени докер под виндой работал через виртуалку, а под маком - и сейчас тоже
George
Докер - " не виртуализирует " ФС. Он работает поверх того же ядра линукса, что и на хосте.
Костяныч
ок буду изучать глубже тему
George
Вот это может немного помочь
https://habr.com/ru/post/458462/
Ну, и далее разбираться с namespaces / cgroups, а параллельно с overlay fs
Костяныч
Костяныч
Вот это может немного помочь
https://habr.com/ru/post/458462/
Ну, и далее разбираться с namespaces / cgroups, а параллельно с overlay fs
почему багов много у докера если идея проста в клонировании и в изоляции от основкой ос namespace?
Gleb
а много багов это какие например? что жить мешает?
George
почему багов много у докера если идея проста в клонировании и в изоляции от основкой ос namespace?
Потому что, очевидно, там вылезает много неочевидных со стороны моментов. Недостаточно просто написать скрипт isolate на 10 строчек. Кодовая база docker - сколько kloc кода ? Со сколькими подсистема линукса приходится докеру взаимодействовать? Вот и ответ, почему все так плохо (
Gleb
реальных проблем после 1.12 занесите
Gleb
у меня есть контейнеры с аптаймом в 400+ дней
George
А я сталкивался с багами. Типа docker-py + docker-compose и у нас не работает docker login из-за пакета golang-cred-helper (или типа того)
Gleb
А я сталкивался с багами. Типа docker-py + docker-compose и у нас не работает docker login из-за пакета golang-cred-helper (или типа того)
там смена была утилит по-сути не баг
Костяныч
реальных проблем после 1.12 занесите
я только начал изучать но видел типа измениения к резлизу на 5 экранов багов с фиксами. как понял в основном дыры по ит безопасности и уязвимостям что типа не достаточно порты закрыты и т.п
Костяныч
но дам список багов позднее
Gleb
я только начал изучать но видел типа измениения к резлизу на 5 экранов багов с фиксами. как понял в основном дыры по ит безопасности и уязвимостям что типа не достаточно порты закрыты и т.п
а он вообще не про безопасность, ее там архитектурно нет, чуваки из редхата уже переписали как раз - podman называется.
Gleb
это ты наверное еще не видел сколько у них было ишью на гитхабе пока они их не скрыли
Gleb
впрочем ансибл с их 4к вряд ли кто-то догонит
George
Хады!
Gleb
Это все скопом ведь, не только по сесурити ?
в ансибле вообще все, ну я к тому что весь опенсорс активно развивающийся такой, багов везде полно, вопрос в том мешают ли они тебе работать
Gleb
а вот где ишью https://github.com/moby/moby
George
а вот где ишью https://github.com/moby/moby
Ну, возможно, умысла удалять и скрывать их не было, а это попросту результат переосмысления структуры проекта ?
Gleb
Ну, возможно, умысла удалять и скрывать их не было, а это попросту результат переосмысления структуры проекта ?
да это старая тема, у них разработка в moby, докера же де юре не существует уже пару лет
George
Кто знает хотя бы одного живого юзера докер ее?
Gleb
гг, забавно, я как раз ток что сидел читал
Gleb
я думаю те люди в чатиках не сидят. во-первых там код другой, во-вторых баги чинит саппорт и на вопросы отвечает
Костяныч
а он вообще не про безопасность, ее там архитектурно нет, чуваки из редхата уже переписали как раз - podman называется.
как нет архитектурно если багов вагон тут https://www.cvedetails.com/vulnerability-list/vendor_id-13534/product_id-28125/Docker-Docker.html
Gleb
Gleb
я понял уже что ты писатель, а не читатель
Gleb
у редхата podman
Gleb
там все ок с сесурити
Gleb
и селинукс есть
Gleb
я написал что у докера в принципе не было идеи и цели делать безопасно поэтому все эти типа секьюрити фиксы это набрр подпорок и костылей - там проще переписать,. что и сделал редхат
Костяныч
у редхата podman
не суть как заваетмся все равно конкетреры не белые а красные — как не назови сути не меняет
George
George
Я не понимаю Вас, коллега. О чем речь ? Баги есть везде. Я это гарантирую. Даже в софте Боинга
George
Касательно докера - в нем вопрос секьюрити изначально проработан не был. Поэтому куча cveшек и прочего. И действительно редхат делает полезное дело, переписывая управление на podman
Gleb
не суть как заваетмся все равно конкетреры не белые а красные — как не назови сути не меняет
баги не из-за того что это контейнеры, а из-за того что у докера никогда не было задачи для того что бы сделать секьюрити. Podman сделан изначально с оглядкой на безопасность
Костяныч
docker ce , docker ee или от ред хат — если баги есть архитектурно косячат то есть все все чисто с архитерой если сложно вернули
George
Касательно багов докера и докер-компоуза - ну, я лично сталкивался с десятком. Которые бесят. Но в принципе есть воркераунды. Чем и пользуемся
Костяныч
ладно у меня нет пока экспертизы что бы слудить глубинно
Костяныч
пока вывод — баги есть и их море
Gleb
ну да, во всем ПО на планете море багов
George
Ну, это не отменяет того, что докер реально хорош для разработки. Для продакшена - можно, но с очень большой осторожностью
Костяныч
ок
tfhx8
Нарол после запускал docker-compose up --build появляются логи nginx, есть урл метод запроса итп, но нет юзерагента и реферера, как то можно добавить? Причем в настройках самого nginx вывод логов вообще отключен
Костяныч
чем отличается nginx в докере и без него? прочитай как включать логирование на сайте nginx и сам прикрути конфиг - не вижу проблем
Костяныч
как я понял так поступи подруби образ и по фикси конфиг в директерии контейнера после его заливи образа с инета так один образ файла превратиться в конфиги и в либы докером после его установки в контейнер . я прав?
Костяныч
и потом пересоререшь из конейтера в образ если нужно
Navern
реальных проблем после 1.12 занесите
У меня была смешная проблема с профилем аппармора и докером. Сигнал стоп не посылался в контейнер
George
по-моему это совсем не смешная, а очень грустная проблема
Gleb
Navern
а говорите сесурити нет
Я такого не говорил. Но ошибки с сесурити тоже были. Недавная cve с docker exec тому пример
Navern
реальных проблем после 1.12 занесите
А, еще была проблема. Кажется в 18.03 с тем что если приходил оом на тачку, то иногда контейнеры убивались, а статус оставался раннинг
Navern
После обновления до версии с containerd 1.2 стало норм