он сам может работать как виртуалка или контейнер

если при запуск ебудет спрашиваться пароль - всё. нода обновилась и не поднялась.

какой прок в шифровании ?

ну, если конфискуют)

такое чувство, будто ты дисклесс бут по PXE хочешь прикрутить)

ну да, можно и так стартовать

в общем, с убунтой-то всё понятно, а вот CoreOS было бы неплохо научиться допиливать

но сама система мне нравится в целом

так как там где-то внутри Gentoo

без emerge -utND world какая эта гента...

CoreOS(ChromeOS(ChromiumOS(Gentoo)))

как-то так оно наследуется там

да у них даже гентооверлей публичный есть, так-то

да

https://github.com/coreos/coreos-overlay

угу

ну так оно и билдится тогда запросто

оно обновляется так: у тебя есть 2 версии системы, старая и новая, с сервера приходит новая версия, ребутишься - оказываешься на новой системе

не пошло что-то - ребутишься на старую назад

то есть да, поставить пакеты можно, вот на том сервере обновлений, который будет раздавать их

по сути он должен быть как прокси между официальным сервером обновлений и облаком

доустанавливает туда нужные пакеты, пересобирает ядро и раздаёт дальше

то есть если по-хорошему - должен быть гайд с примерами, как подправить ядро и как доустановить что-то и как запустить этот сервер обновлений в каком-нибудь там контейнере/впс, думаю, со временем такие гайды появятся

мне вот интересно было бы, как интегрировать rkt run prepared и systemd

и вообще стоит ли тут пытаться что-то оптимизировать, если оно и так за 3 секунды перезагружается

идея в том, что делать rkt prepare до того, как выключаются старые контейнеры

а на старте вместо обычного rkt run будет rkt run-prepared

такая перезагрузка/обновление была бы крайне быстрой

и ещё - ну, вдруг, кто-то сталкивался - получается, что 2 юзера на докерхабе одновременно зарегистрированы быть не могут? я про rkt fetch?

там миллионы юзеров одновременно зарегистрированы

или ты о чем?

я не понял, как мне вытаскивать образы из разных репозиториев разных пользователей

оно ругается "fetch: cannot get configuration: credentials for docker registry "registry-1.docker.io" are already specified"

если я копирую конфиг с другими логинами/паролями и кладу рядом

получается, в каждый момент времени может быть только 1 конфиг для докерхаба?

ну и если надо стащить образ под другим юзером, надо делать типа /bin/bash -c 'rm ... && ln -s ...' этого конфига, потом rkt fetch и потом назад ссылки менять?

аэы

это какие-то рокетопроблемы, мне кажется

ну в том смысле что с "нативным" клиентом такого нет

да, с докером ок

просто пару раз логин сделал и всё само дальше

ну или руками auths заполнил

там один хрен echo login:password | md5

кстати вот тебе и солюшн - не надо ничего симлинкать

:D

поясни плиз

ExecStop=/bin/rm /etc/rkt/auth.d/docker.json ExecStop=/bin/ln -s /etc/rkt/docker-emotionfolio.json /etc/rkt/auth.d/docker.json ExecStop=/usr/bin/rkt --insecure-options=image fetch docker://emotiofolio/emotionfolio:nginx-latest ExecStop=/bin/rm /etc/rkt/auth.d/docker.json ExecStop=/bin/ln -s /etc/rkt/docker.json /etc/rkt/auth.d/docker.json

вот сейчас так

ну я имел в виду, что можно собирать файл на лету ;)

ты же знаешь логин и пароль

а ну да

ой, я там наврал выше

не мд5, конечно же, а base64

echo login:password | base64

а там в конфиге просто в открытом виде они

{ "rktKind": "dockerAuth", "rktVersion": "v1", "registries": ["registry-1.docker.io"], "credentials": { "user": "emotiofolio", "password": "***********" } }

ну base64 от открытого вида всего на одно телодвижение отличается

так что таже фигня

а там нет возможности ввести пароль не через конфиг

вроде как

вот даже так лучше ExecStop=/bin/bash -c '/bin/rm /etc/rkt/auth.d/docker.json && /bin/ln -s /etc/rkt/docker-emotionfolio.json /etc/rkt/auth.d/docker.json' ExecStop=/usr/bin/rkt --insecure-options=image fetch docker://emotiofolio/emotionfolio:nginx-latest ExecStop=/bin/bash -c '/bin/rm /etc/rkt/auth.d/docker.json && /bin/ln -s /etc/rkt/docker.json /etc/rkt/auth.d/docker.json'

у меня тут атака клонов)

запускаю контейнер - он клонируется через какое-то время бесконечно))

php, конечно же)

всё дерьмо у меня всегда связано с php

я даже не удивлён

имплеементация rkt на php?

я пытаюсь запустить контейнер с php-fpm на Rkt'е

и он постоянно клонируется

беды все от похапэ, а хейтят почему-то руби :D

ну, перл и пхп ужаснее руби

так а пшп-то как влияет на клонирование? )

вот кто додумался в value при регистрации в etcd пихать initial-advertise-peer-urls. Вместо ip писал 0.0.0.0 и кластер не собирался

в coreos докер 1.10 :(

так а пшп-то как влияет на клонирование? )

глубоко не копал, но контейнеры с uwsgi, nginx, postgresql запускаются ок

а тут php-fpm

оставил на потом

(и попросил Dockerfile)

в coreos докер 1.10 :(

там разные каналы

1.12.1 в альфе

в стабильном канале нет некоторых штук

kubelet , поддержки rkt для arm64

ну и версия софта более старая

то есть вот Stable я бы не советовал ставить если у вас там не энтерпрайз какой-нибудь

я бы, наверное, Beta-канал использовал

Stable -канал это для тех, кто серверы на CentOS держит, а для тех, кто на Ubuntu - Beta ? ну, а Alpha - это если не терпится все новые фичи опробовать в бою), наверное, логично иметь парочку нод на Alpha для тестирования

А чем Rkt в своём конфиге отличается от Dockerfile?

Можешь показать пример?)

из конфигов у меня там только авторизация на докерхабе и всё

просто json

Какой нибудь из туториала?

Что нибудь

вот пример

#ExecStart=/usr/bin/docker run --name byvshie -p 17100:8001 -v byvshie-media:/usr/src/app/www/htdocs/media -e ENV=production -e DATABASE_HOST=172.17.0.1 -e DATABASE_PORT=48002 --cpuset-cpus="4,5" lorddaedra/entropia:byvshie-latest ExecStart=/usr/bin/taskset -c 4,5 /usr/bin/rkt --insecure-options=image run --port=8001-tcp:17100 --volume byvshie-media,kind=host,source=/var/lib/docker/volumes/byvshie-media/_data --mount volume=byvshie-media,target=/usr/src/app/www/htdocs/media --set-env=ENV=production --set-env=DATABASE_HOST=172.17.0.1 --set-env=DATABASE_PORT=17102 docker://lorddaedra/entropia:byvshie-latest

вверху как было с докером, внизу как стало с Rkt'ом

то есть те же параметры, просто немного иначе запихиваются в командную строчку

ну, вот из наблюдений, при указании имени volume'а нельзя использовать точки, я их заменил на дефисы

byvshie-media нельзя было бы написать как byvshie.media

а в докере можно