Haproxy?
Стандартно. Патрони, пгбаунсер. Да, можно хапрокси
George
George
Ну, что там модно, что умеете
George
Если база может на какое-то время "уйти" (полежать) и объем небольшой, и нет требований по скорости - можете и в докер, в принципе, засунуть
George
Главное - понимать, почему там делать не стоит
Alexey
а почему так делать не стоит? не считая того, что ‘может на какое-то время "уйти"’
Владимир
Ну меня остановило то, что возможны проблемы со стораджами.
George
У тебя докер сворм - распределённая система
George
Со всеми ее особенностями
karser
Всем привет. Наткнулся на опцию в трафике --consul --consul.endpoint="consul-leader:8500"
Вот эта статья https://dockerswarm.rocks/traefik/
Т.е трафик хранит сертификаты в консуле.
Хотел поинтересоваться, в чем преимущество такого подхода? Только, что второй инстанс трафика не будет повторно запрашивать одни и те же сертификаты? Но можно же сделать bind-mount на одну папку.
George
karser
ну, один и тот же volume на них повесить. Но я не об этом.
George
Распределённая система подразумевает, что у тебя и сторедж подмонтирован на несколько узлов, а там спецэффекты начинаются
Лучше уж консул в качестве распред системы
karser
Есть ли какое то еще преимущество от consul?
George
Тем более, что он обеспечит атомарность обновления сертрв
Gleb
George
Ну, короче, долго рассказывать
George
это ты гениально сделал со 127.0.0.1
Мне вот интересны - такие примеры откуда берутся. Люди же их не из головы выдумывают ?
Gleb
Мне вот интересны - такие примеры откуда берутся. Люди же их не из головы выдумывают ?
ну в докере сингл ноду кафки так можно завести. но при этом она будет ток из сети докера доступна, но это скорее багофича.
karser
Распределённая система подразумевает, что у тебя и сторедж подмонтирован на несколько узлов, а там спецэффекты начинаются
Лучше уж консул в качестве распред системы
Да, я в начале хотел, но потом наткнулся на эту ошибку (использую dns challenge)
https://github.com/containous/traefik/issues/3487
George
Tl;dr
George
Можно дайджест Ишью?
karser
Неважно. Я хотел подтвердить - если у меня 1 инстанс трафика, то в консуле нет смысла.
karser
Я так понимаю, консул был нужен как KV для docker swarm standalone. А сейчас есть кейсы его использования?
George
Да
George
karser
консула
George
Ну, только для распред систем
karser
ну, трафик может его использовать, я понимаю.
George
Либо, если тебе надо конфиги унифицированно хранить
karser
Но для сервис дискавери его уже не используют
George
Можно сервис дискавери на локальной машине отбабахать через консул
karser
docker swarm mode использует свой KV
George
Ну, положим
karser
понятно в общем. Еще видел статью - можно создать overlay network без docker swarm, используя как раз consul
karser
понятно в общем. Еще видел статью - можно создать overlay network без docker swarm, используя как раз consul
docker-machine create -d virtualbox \
--engine-opt="cluster-store=consul://$(docker-machine ip keyvalue):8500" \
--engine-opt="cluster-advertise=eth1:2376" \
node-0
Владимир
Ну меня остановило то, что возможны проблемы со стораджами.
Например миграция контейнеров и хранилища во время даунтайма хоста. Если с контейнером приложения все более менее понятно, но как будет мигрировать персистент сторадж совсем неясно. И что будет с ним происходить если его объем более пары десятков гигабайт
Сергей
Чтобы персистент не «мигрировал», его надо с внешней хранилки цеплять.
George
Чтобы персистент не «мигрировал», его надо с внешней хранилки цеплять.
И получаем spof и ограничения по bandwidth/latency
Сергей
Ну вам шашечки или ехать, как говорится
Sergey
А никто не заморачивался установкой полноценного почтового сервера в контейнере?
Грозится прилететь задание. Подумываю взять from ubuntu и туда вкорячивать NGINX + MySQL + Postfix + Dovecot + SpamAssassin + FAIL2BAN. Или настоять на том, что контейнер для этого нафиг на нужно?
Или может есть какие-то рациональные решения?
Kana
А никто не заморачивался установкой полноценного почтового сервера в контейнере?
Грозится прилететь задание. Подумываю взять from ubuntu и туда вкорячивать NGINX + MySQL + Postfix + Dovecot + SpamAssassin + FAIL2BAN. Или настоять на том, что контейнер для этого нафиг на нужно?
Или может есть какие-то рациональные решения?
А почему отдельным контейнером не сделать?
Sergey
в смысле - каждый сервис в отдельном контейнре?
Andrey
а иначе нафига вам докер?
Sergey
Конкретно для этой задачи - да, не совсем обоснованон. Но может чуть безопаснее, более отделено от возможных других приложений
kSandr
А никто не заморачивался установкой полноценного почтового сервера в контейнере?
Грозится прилететь задание. Подумываю взять from ubuntu и туда вкорячивать NGINX + MySQL + Postfix + Dovecot + SpamAssassin + FAIL2BAN. Или настоять на том, что контейнер для этого нафиг на нужно?
Или может есть какие-то рациональные решения?
есть готовые решения на докерхабе ... я бы отталкивался от них
George
Если в такой формулировке - возьми lxd/lxc
George
Конкретно для этой задачи - да, не совсем обоснованон. Но может чуть безопаснее, более отделено от возможных других приложений
Да нифига не безопасно. Ты по какому критерию хочешь отпилить ? Чтобы они не аффектили остальные процессы по ресурсам ? Или прям ради безопасности это все ? Чтоб если взломали один компонент, то остальные не пострадали ?
George
Я уж не говорю про то, что
1. Докер и стейтфул может быть неприятно.
2. Отгребешь нюансов с сетью
3. Может пострадать производительность
George
Я уж не говорю, что в контейнерах нет полноценной системы инициализации типа системд
Sergey
А она там разве нужна?
George
Ты хочешь запускать десяток разнородных сервисов, так что - да, нужна
George
Ну, из простого на что напорешься
George
nginx - если ты запустишь в контейнере, где 100500 сервисов - ок, но скорее всего не сможешь получать real ip клиента, если он тебе нужен (например, для асл)
George
А если отпилить в отдельный контейнер и указать все внутренние сервисы как апстримы, то в ситуации, когда внутренний сервис не стартует, то ты можешь получить не работающий nginx, т.к. днс записи в докере для него нет ////
George
Как бы это все побороть можно ценой инвестирования времени, но ценности на выходе особой нет. Думай сам нужно ли оно тебе - при прочих равных всегда проще почтовик запустить на отдельной вм и продолжить решать бизнес задачи )
Sergey
Хм, спасибо.
George
Этого достаточно ?
Sergey
Да мне в общем-то и не сильно хочется запихивать в контейнер, задачу так пытсются поставить.
Будут аргументы для того, чтобы не делать этого, ну или по кр мере пища для размышлений.
George
Ты хочешь туда фейл2бан.
1. Контейнер придется гонять в привилегированном режиме. Т.к он захочет рулить файрволлом (хз, ещё как это взлетит). Это прям риски по ИБ
2. Опять же - вопрос с сетью (если запускаешь в хост режиме - теряешь изоляцию, а бридж - там теряешь скорость и гемор с настройкой)
Sergey
Опс, да
Sergey
Рулить ipfilter изнутри контейнера - как-то не подумал
Arsen
ребята, может кто помочь задеплоить проект на kubernetes on gcp?
Sergey
Вот еще есть вариант - почтового сервера - zimbra. Даже в контейнере есть готовый образ https://hub.docker.com/r/jorgedlcruz/zimbra/
Никто не сталкивался?
Правда, насколько Open Source Edition годится для продакшна - большой вопрос.
George
Sergey
Угу
George
Great for a quick Zimbra Preview - вот ее основное предназначение
NM
Да мне в общем-то и не сильно хочется запихивать в контейнер, задачу так пытсются поставить.
Будут аргументы для того, чтобы не делать этого, ну или по кр мере пища для размышлений.
Отдельная виртуалка на openbsd/smtpd и только.
Kamal
Ребята день добрый, у было что gitlab слишком нагружает сервер в докере? по версии 3
George
может быть
George
логами срет, например
Kamal
я только установил его? старым тут не пахнет
George
🤷♂️ну, гитлаб у тебя. Не имею представления, что может ему не нравиться
George
ну, и вообще его меньше, чем на 2 ядра 4 гига стремно вкатывать
George
а в такой конфе он вполне и 50 юзеров потянет
Kamal
а в такой конфе он вполне и 50 юзеров потянет
Ясно братан, об этом не подумал, на данный моменте ты прав