тут может быть такого и нет, нужно примерно как вот тут https://kubernetes.io/docs/concepts/services-networking/service/#external-ips. и соответственно при обращении к my-service изнутри контейнеров приложение могло попадать на к примеру на внешнюю бд

fqdn

например приложение на ноде в контейнере должно коннектится на my-service:3306 чтобы что-то дернуть из бд

стоп, загнался

само собой эт не fqdn

по fqdn это и так работает)

это имя сервиса которым я обозвал контейнер

неа, на внешнем адресе

ок, посмотрю, если вообще стоит оно того, т.к. обновляться она будет редко

работате

ping 8.8.8.8 PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data. 64 bytes from 8.8.8.8: icmp_seq=1 ttl=56 time=1.92 ms

А как проверить?

iptables:false - не пашет. iptables:true - пашет. все таки откуда тут атака?

Решилось добавлением в /etc/ufw/before.rules

-A ufw-before-forward -i docker0 -j ACCEPT -A ufw-before-forward -m state --state RELATED,ESTABLISHED -j ACCEPT

и

*nat :POSTROUTING ACCEPT [0:0] -A POSTROUTING -s 172.17.0.0/16 -o eth0 -j MASQUERADE COMMIT

подсеть надо смотреть какая у вас

и вуаля DNS задавать не надо все работает с локальным

нет

в докерфайлах уже появился стиль?

ну такое, это не стиль, это best practices. "не тащите лишние зависимости" это про стиль.

ну такое, это не стиль, это best practices. "не тащите лишние зависимости" это про стиль.

ну линтеры есть, множество рекомендаций, специфичные для языков подходы и базовые образы, так что что-то подобное стилю уже есть

стиль это больше tabs vs spaces и сколько отступов делать. Ну да ладно :)

На маке пробрасываю директорию в контейнер через volumes. Контейнер создает данные в директории. Они видятся в хости системе с правами домашнего пользователя. В fedora 26 делаю тоже самое и в хости системе они root:root

Подскажите куда копать

На маке пробрасываю директорию в контейнер через volumes. Контейнер создает данные в директории. Они видятся в хости системе с правами домашнего пользователя. В fedora 26 делаю тоже самое и в хости системе они root:root

контейнер не от рута запущен?

без sudo запускаю docker-compose

для docker делал postinstall из мана и он без root работает, добавлял группу docker для пользователя

для docker-compose скачивал с гита в папку /usr/local/bin и права домашнего пользолвателя выставлял ему

Error response from daemon: rpc error: code = 3 desc = name must be valid as a DNS name component Я так понимаю docker swarm не переваривает именя сервисов с точкой в названии типо serv.ice ?

можно это как то обойти, и принудительно назвать сервис с точкой в имени?

заменить на подчеркивание?

да заменить то понятное дело можно, только придется переименовывать дохера проектов и во всех конфигах менять хосты этих сервисов

думал можно можно просто с каким нибудь ключем зафорсить название с точкой в имени

или скипнуть эту проверку

С разбега и в стену

Прогнозы на погоду?)

да мне docker stack deploy не дает сервис поднять с таким имененм

это не fqnd просто имя с точкой для удобства было

ща уже переименовал

ну да

я к тому, что я не могу задать имя с точкой в нем при создании

в компоузе это тоже dns-имя правильно?

вот компоуз дает поднять сервис с именем serv.ice , а сворм только serv_ice либо serv-ice даст создать

или я что-то непонимаю?

Госопда, а никто docker version manager не пользует?

удобно ж

или нет?

всем привет! подскажите, пожалуйста по гитлабу. конкретно - по gitlab runner. запускаю runner в контейнере (https://hub.docker.com/r/gitlab/gitlab-runner/) я выбрал executor = "docker". насколько я понял, ему нужен доступ к докеру, в контейнере докера нет, поэтому я прокинул ему вольюм /run/docker.sock:/var/run/docker.sock т.е. он по идее должен коннектиться к докеру, который на хосте. привязал раннер к гитлабу. задачи не выполняются. ошибка: WARNING: Job failed: exit code 1 job=14 project=3 runner=5b133a59 при этом на хосте появляются контейнеры, которые пытался запускать раннер. чего ему не хватает?

cat gitlab/runner/config.toml concurrent = 3 log_level = "warning" [[runners]] name = "Gitlab Runner" url = "http://gitlab/" token = "RkQCKUqXyQy9NF3HH8Uy" limit = 0 executor = "docker" shell = "" builds_dir = "" [runners.docker] host = "" hostname = "" image = "registry.company.ru/alpine" cpuset_cpus = "0,1" privileged = false

образ alpine с локального реджестри. на хосте он запулен

докер ин докер фу

ок. ну т.е. я всё правильно понял? кроме docker.sock ему больше ничего не нужно?

я вот думаю коннектить его не к хостовому докеру а к докеру в отдлельном контейнере, чтобы он не гадил на хост

что такое dind ?

d in d

ааа... понял )) теперь до меня дошло " image = "docker:latest"" это я пока только думаю, а делал через хостовой докер

понял

у меня в gitlab-ci был пример из документации, типа echo. я думаю ему любой образ подойдёт)))

всё правильно. чтобы докер в докере запускал контейнеры ему нужен privileged mode

ага, нашёл... пипец (((

Cloning into '/builds/DevOps/fptest'... fatal: unable to access 'http://gitlab-ci-token:xxxxxxxxxxxxxxxxxxxx@4147a6018766/DevOps/fptest.git/': Couldn't resolve host '4147a6018766'

это гитлаб вместо своего доменного имени выдал имя своего контейнера

я чет не уверен, что такое можно в публичном раннере

это кстати да... в гитлабе, в проекте, где строка для клонирования репы можно выбрать ssh или http и вот там у меня для ssh нормальный путь [git@gitlab.company.ru:10022]:DevOps.git а вот для http такая херня http://4147a6018766/DevOps.git где 4147a6018766 совпадает с именем контейнера гитлаба

насколько я понял, перед тем, как билдить, он качает репу через гит. а в этом образе докера внутри нету гита... как он тогда билдит? или я не так понял?

тогда ок. в контейнере раннера гит есть ))

Мне кажется, или dind это лёгкая степень извращения?)

Раннер по ssh не удобнее?

Ну на хост с раннером

Ога

Я помню настраивал сначала docker, потом то ли переменные какие то не передавались, то ли ещё чего и перешли на shell

Ну такой пайплайн у нас только для тестового окружения, удобно, там сбилдил образы и их же там запустил

На проде такого само собой нет, туда только имаджами доставляется

А вообще как писал ранее из-за чего то мы перешли на шел, а дальше уже как говорится:

Ага

Само собой не ставим туда ничего, так там только докер стоит

Ну и git само собой