@fortunately будет жить. Поприветствуем!

@nemoutis будет жить. Поприветствуем!

Zendesk будет жить. Поприветствуем!

@divsrv будет жить. Поприветствуем!

Alex Ooppss будет жить. Поприветствуем!

Сабир Исламов будет жить. Поприветствуем!

@leonid_lee будет жить. Поприветствуем!

@IvanKolomiets будет жить. Поприветствуем!

Jhimmy Cho будет жить. Поприветствуем!

@evgenybespalov будет жить. Поприветствуем!

Mavro Parker будет жить. Поприветствуем!

Всем доброе утро, сейчас будет митинг, давно не присутствовал, накидайте пожалуйста идей-тезисов в плане безопастности и бестпрактик по архитектуре прода, есть бд, редис, Кафка, 10 контейнеров, нексус, Дженкинс.

Всем доброе утро, сейчас будет митинг, давно не присутствовал, накидайте пожалуйста идей-тезисов в плане безопастности и бестпрактик по архитектуре прода, есть бд, редис, Кафка, 10 контейнеров, нексус, Дженкинс.

Дженкинс зло - делай в К8

Дженкинс зло - делай в К8

🤦‍♂️

бе-зо-паст-ность. Без Б. А точнее Т.

бе-зо-паст-ность. Без Б. А точнее Т.

Вот именно !

@roman563 будет жить. Поприветствуем!

@ample будет жить. Поприветствуем!

thanks

i’m a robot

@maksim_kalinin_1 будет жить. Поприветствуем!

@RNT19 будет жить. Поприветствуем!

@alexeidmitriyev будет жить. Поприветствуем!

ndk будет жить. Поприветствуем!

@inwork_manager будет жить. Поприветствуем!

? 🧐

Чет я немного замучился с маунтом дополнительного lvm в систему. Кто подскажет как правильно? Создать новую директорию в корне нельзя, хотя хочется. Подмаунчиваю в /var/opt - только рутом могу каталоги смотреть, хотя все права есть на 666. Че не так - есть какие поджводные камни?

Чет я немного замучился с маунтом дополнительного lvm в систему. Кто подскажет как правильно? Создать новую директорию в корне нельзя, хотя хочется. Подмаунчиваю в /var/opt - только рутом могу каталоги смотреть, хотя все права есть на 666. Че не так - есть какие поджводные камни?

Эм. Зачем ? Это же кореось

Тебе единственный резон в нее вкидывать лвм, чтобы поверх него держать данные контейнеров, но докер за тебя все с правами сделает сам

Ну у меня на конкретно этой машине предполагается пара докеров, один из которых БД. Хочется ее вынести в отдельный сторадж

Таки кто подскажет - чего у меня в итоге подмаунченный диск виден только руту, несмотряч на все права для конкретного юзерИД? Какие аттрибуты я забыл поставить/снять?

Ну у меня на конкретно этой машине предполагается пара докеров, один из которых БД. Хочется ее вынести в отдельный сторадж

Вынеси. Не понимаю чем тебе права помешают или помогут

Таки кто подскажет - чего у меня в итоге подмаунченный диск виден только руту, несмотряч на все права для конкретного юзерИД? Какие аттрибуты я забыл поставить/снять?

У тебя сервисы в докерах ?

Да, но дело не в докере - если я просто создаю юзера зщыепкуы в системе и даю ему все права на подмаунченный диск - permission denied

Да, но дело не в докере - если я просто создаю юзера зщыепкуы в системе и даю ему все права на подмаунченный диск - permission denied

Зачем так делать ?

Ну потому что я не знал как по другому. Сейчас вот нашел что есть docker-storage-setup.service. Док мало очень, не всегда интуитивно понятно как правильно

Соглашусь. Задачу опиши полностью. Можно все на системди сервисах собрать

Да, глянул мельком на этот сервис - по ходу надо просто поправить файл /etc/sysconfig/docker-storage и у меня будет отдельный сторадж на thinpool для всех контейнеров

Постгрес просто хочу вынести в отдельный сторадж. Не в тот, на котором atomic-root

Но видимо выносить не надо, а надо thinpool делать под контейнеры

Да, глянул мельком на этот сервис - по ходу надо просто поправить файл /etc/sysconfig/docker-storage и у меня будет отдельный сторадж на thinpool для всех контейнеров

Вот!

А теперь более тупой вопрос наверное, но я не работал с thinpool еще. Если раньше мне нужны было логи - я мапил папку контейнера в папку на диске предварительно проставив в ней права юзеру контейнера. А сейчас как мне в thinpool прописать чтобы там внутри были правильные права? А то логи не пишутся нихрена

А теперь более тупой вопрос наверное, но я не работал с thinpool еще. Если раньше мне нужны было логи - я мапил папку контейнера в папку на диске предварительно проставив в ней права юзеру контейнера. А сейчас как мне в thinpool прописать чтобы там внутри были правильные права? А то логи не пишутся нихрена

а зачем логи вообще в файлы писать

с thinpool сам не работал. но там наверняка есть какие-то настройки

Я в курсе что не надо их в файл писать. Считай это более абстрактным вопросом - не конкретно про логи :)

либо давай более полные конфиги и будем думать... либо сам )

Да нету особо конфигов - я просто решил пойти этим путем с thinpool, развернул все норм в плане заменил драйвер на devicemapper и пулы раскатались. А потом тестово запустил потгрес в контейнере и он у меня упал, потому что 2019-06-24 12:04:22 UTC [1201-3] FATAL: could not open log file "/var/log/postgres/postgresql-2019-06-24_120422.log": No such file or directory И это явно отсутствие прав

Ну и отсуствие знаний о thinpool тоже естессна

нет

вряд ли. Он же тебе четко написал, что файла нет, а не пермишен денайд

Да я ж его ток стартую свежего.

вообще как он тебе в лог файл срет, если он по умолчанию в стдаут фигачит? Образ нестандартный?

Yep

блин

там могут быть любые чудеса, ну, ты ж понимаешь

тот же -v vs расширенный синтаксис —mount

ну да. Пойду поем и почитаю доки, а то задолбало методом тыка

короче, мой совет - попробуй штатный образ. postgres который. Если нет каких-либо противопоказаний, то я не понимаю почему его не использовать

@cybervgb будет жить. Поприветствуем!

Добрый день, это еще актуально?

@Michaelikus будет жить. Поприветствуем!

@Valumarius будет жить. Поприветствуем!

короче, мой совет - попробуй штатный образ. postgres который. Если нет каких-либо противопоказаний, то я не понимаю почему его не использовать

Потому что мне надо с partman и stolon. Я собираю из-за этого кастомно.

Хм. Столон поверх кореоса, без куба. А зачем так ?

Ну весело же. Столон не про куб, он про отсутствие сплит брейн.

Ну весело же. Столон не про куб, он про отсутствие сплит брейн.

Ну, просто в куб его деплоить проще. Зачем этот гемор с микроменеджментом и т.п. Все равно тебе етсд притаскивать (ага, для кореон тоже нужен)

Я на консуле его хосчу.

Сразу фул-меш

В куб деплоить проще, но когда встает вопрос зачем бд в кубе, я не нахожу реальных доводов. Только минусы имхо.

ну, а так у тебя оркестрация хрен знает из чего - из говна и палок.

ансиблем будешь управлять флотом столонов?

Ну им особо не надо управлять. Задеплоил и оно работает

в кубе тоже - задеплоил и будет работать, главное, что если общего стореджа нет - прибить гвоздями поды к конкретным локальным нодам, где будет хранилище. Но это и самое правильное, т.к. скорость работы столона поверх какого-нибудь цефа.... бр

в кубе тоже - задеплоил и будет работать, главное, что если общего стореджа нет - прибить гвоздями поды к конкретным локальным нодам, где будет хранилище. Но это и самое правильное, т.к. скорость работы столона поверх какого-нибудь цефа.... бр

О том и речь, что только если прибивать, а тогда куб как-то не особо и лучше отдельных машинок. Поэтому я на выделенных вм и деплою

просто если есть докер, то обычно есть куб 😊если все по-серьезному

в общем, я понял твою точку зрения - ок. А диски как подмонтированы к кореос-нодам? это нфс? или дисковая полка?

Это облако :)

в смысле - маленькие локальные диски у ВМ и все?

Не, диски подмаплены, просто облачные. Кто знает что там у провайдера за сторадж