Grisha
они всегда есть, кроме самой первой, когда тяну алпйн
Grisha
второй вопрос (важный) - откуда ты взял этот вывод ?
да, с компресед дата, иначе посчитать сильно сложно
Grisha
/dev/sda1 2.0T 1.8T 112G 95% /
Grisha
вот размер моего реджестри
George
да, с компресед дата, иначе посчитать сильно сложно
ну, вот компресед дата - это суммарный размер образа, но между образами слои шарятся, поэтому фактически сумма образов = меньше, чем сумма compressed
George
просто поверь
Grisha
ведь общий вес явно не должен превышать минимальный размер имеджа + дифы
George
ведь общий вес явно не должен превышать минимальный размер имеджа + дифы
давай с простого - ты не знаешь структуру хранения в регистри
Grisha
там система 100GB с логами и прочим дерьмом
основной вес 1.7TB это /opt/registry/data/docker/registry/v2/
Ihar
Всем привет. Такой вопрос: есть две машины с докером.
На первой машине запущен контейнер и на второй машине запущен контейнер. Нужно научить их общаться по внутреннему ip.
Такое возможно?(я думаю на счет нетворков)
George
Всем привет. Такой вопрос: есть две машины с докером.
На первой машине запущен контейнер и на второй машине запущен контейнер. Нужно научить их общаться по внутреннему ip.
Такое возможно?(я думаю на счет нетворков)
swarm + overlay network, только вот ты уверен, что хочешь этого ?
Ihar
swarm + overlay network, только вот ты уверен, что хочешь этого ?
Нет, не уверен. Я просто продумываю варианты, как мне подобное сделать. Спасибо за ответ
Lili
Привет ) есть удаленный билд сервер с Виндой. Включила HyperV, установила docker. Докер стартует но не запускается. Кто сталкивался, Есть идеи?
Unable to start - The running command stopped because the preference variable "ErrorActionPreference" or common parameter is set to Stop: 'DockerDesktopVM' failed to start.
Failed to start the virtual machine 'DockerDesktopVM' because one of the Hyper-V components is not running.
'DockerDesktopVM' failed to start
The Virtual Machine Management Service failed to start the virtual machine 'DockerDesktopVM' because one of the Hyper-V components is not running (Virtual machine ID
.
Всем привет, после запуска контейнера, при генерации или создания каких-либо файлов внутри контейнера, такие файлы свободно видны из хост-системы в служебных директориях docker (/var/lib/docker...). Существует ли способ каким-то образом скрыть/зашифровать необходимые пользовательские файлы (например часть), что бы они не были доступны из хост системы? Есть ряд ограничений, например контейнер запущен без —privileged. Может быть кто-то знает возможное решение?
George
Привет ) есть удаленный билд сервер с Виндой. Включила HyperV, установила docker. Докер стартует но не запускается. Кто сталкивался, Есть идеи?
Unable to start - The running command stopped because the preference variable "ErrorActionPreference" or common parameter is set to Stop: 'DockerDesktopVM' failed to start.
Failed to start the virtual machine 'DockerDesktopVM' because one of the Hyper-V components is not running.
'DockerDesktopVM' failed to start
The Virtual Machine Management Service failed to start the virtual machine 'DockerDesktopVM' because one of the Hyper-V components is not running (Virtual machine ID
чини "Hyper-V components is not running." - это виндовая виртуализация
George
ему что-то не хватает, но надо разбираться
George
винда 10 ?
George
при наличии рута на хост системе ты сможешь с контейнером сделать все, что угодно - контейнер "защищает" не от этого
.
На самом деле есть решение через fuse , но для монтирования защищенной fs требуются запуск с —privileged , что по условию задачи неосуществимо
George
George
а скорее перенос проблемы с очевидного уровня (файлы доступны в /var/lib/docker) на не очень очевидный (все равно рут с хоста их сможет посмотреть )
.
не сможет если использовать например securefs
George
я еще раз задаю вопрос - ты от кого защититься хочешь?
George
если так рассуждать, то тебе вообще нужно Tang и LUKS поднимать
.
От операторов хоста докера
George
не спасет
George
оператор хоста докер сделает docker exec -it blablabla и войдет в твой контейнер
.
разьве он сможет войти под внутреннего User'a? подключиться в сущестующую сессию?
George
что значит "существующая сессия", но ответ скорее да, чем нет
.
securefs монтирует защищенные тома на уровне пользовательского сеанса и даже под root контейнера они недоступны
George
это не имеет значения
.
с хоста соответственно
George
у тебя рутовый доступ и доступ к памяти приложения соответственно
George
это из серии навесить амбарный замок на дверь посреди поля
.
про память согласен
.
но мы исходим из предпосылок, что операторы докера не супер квалифицированы и не будут дампы памяти снимать, достаточно защиты на уровне FS - что бы не видели данные
George
нельзя исходить из этих предпосылок
George
все что тебе надо знать
George
доступ к докеру = рутовый доступ
George
все
Lili
чини "Hyper-V components is not running." - это виндовая виртуализация
Да win10. Может виртуализация е включена на уровне биоса. Но hyper-v же установилось...
George
Да win10. Может виртуализация е включена на уровне биоса. Но hyper-v же установилось...
Ага, нужна на уровне Биоса. А установка хайперви от этого не зависит
George
Это как запаску в багажник закинуть. Может пригодится, а может и нет
Alex
Всем привет
подскажите есть ли возможность изменить файл в уже собранном контейнере?
или править файл и заново собирать контейнер?
George
Всем привет
подскажите есть ли возможность изменить файл в уже собранном контейнере?
или править файл и заново собирать контейнер?
Есть. Берешь, заходишь и меняешь. Но это антипаттерн
George
Правильно - через пересборку образа и пересоздание контейнера
Andrey
Всем привет
подскажите есть ли возможность изменить файл в уже собранном контейнере?
или править файл и заново собирать контейнер?
Ну или стартовать контейнер через -v примонтированной директория и в ней файл для правки
Andrey
Файл поменяли контейнер рестарт
Roman
Как указать путь к Dockerfile в дженкинсе, который нахрдится в папке app?
Так не работает
sh "docker build -t ${DOCKER_DEV}/${DOCKER_APP}:${DOCKER_TAG} ./app/"
George
Емае
Dan
Никто. Не. Читает. Документацию.
Sebor▂▅▇█▓▒░
Нередко бывает достаточно просто вызвать команду с ключом -h (--help)
Но люди даже этого не хотят делать...
Dan
Пусть платят? :)
Sebor▂▅▇█▓▒░
Платит, по ходу, только @gecube здесь
Sebor▂▅▇█▓▒░
Dan
😂
Roman
George
George
Как в микроскопе блин
Roman
Как в микроскопе блин
docker-compose.test.yml
version: '3'
services:
test:
build: ./test
depends_on:
- app
docker-compose.production.yml
version: '3'
services:
app:
build: './app'
ports:
- "3000:3000"
команда запуска
docker-compose -f docker-compose.production.yml -f docker-compose.test.yml up --abort-on-container-exit --exit-code-from test
Roman
А можно без скринов, их очень "классно" на телефоне смотреть
скрипт
FROM alpine:3.11.5
RUN apk add --no-cache curl
COPY docker-entrypoint.sh /
ENTRYPOINT ["/docker-entrypoint.sh"]
RUN ["chmod", "+x", "/docker-entrypoint.sh"]
ошибка
ERROR: for f739a124713b_jenkins_test_1 Cannot start service test: OCI runtime create failed: container_linux.go:349: starting container process caused "exec: \"/docker-entrypoint.sh
\": permission denied": unknown
Roman
А можно без скринов, их очень "классно" на телефоне смотреть
скрипт
FROM alpine:3.11.5
RUN apk add --no-cache curl
COPY docker-entrypoint.sh /
ENTRYPOINT ["/docker-entrypoint.sh"]
RUN ["chmod", "+x", "/docker-entrypoint.sh"]
ошибка
ERROR: for f739a124713b_jenkins_test_1 Cannot start service test: OCI runtime create failed: container_linux.go:349: starting container process caused "exec: \"/docker-entrypoint.sh
\": permission denied": unknown
Driver
RUN выше ентрипоинта подними
Driver
который с чмодом, а лучше изначально дай +x и выкинь этот пункт совсем
Roman
который с чмодом, а лучше изначально дай +x и выкинь этот пункт совсем
Entrypoint выкинуть или run?
Driver
run
Sebor▂▅▇█▓▒░
Докер выкинь
Sebor▂▅▇█▓▒░
Driver
файлику то дал +х?
Roman
ENTRYPOINT ["chmod", "+x", "/docker-entrypoint.sh"]