Anonymous
это нормально?
Anonymous
по мне так нет
Anonymous
а что билдишь?
Yaroslav
Привет всем! Кто онлиофис из докера подымал ?Need help)
Контейнер запускается, работает без ошибок. Перевесил его на другой порт. Но сам офис не открываестя. Хз куда копать)
Anonymous
я htop ом смотрю
Anonymous
можно как то по раннеру ограничить ?
Anonymous
https://docs.docker.com/engine/admin/resource_constraints/
Anonymous
не ограничить а посмотреть уже запущенное
Anonymous
docker ps? )
Anonymous
docker stats ?
Anonymous
что ты хочешь посмотреть
Anonymous
контейнер с гитлабом
46785203a251 12.58% 7.598GiB / 15.45GiB 49.18% 394MB / 121MB 21.6GB / 31.4GB 389
Andrey
скрин htopа кинь - понятнее будет :)
Anonymous
htop явно не понятен будет )
Anonymous
у меня раннер встал по таймауту
Anonymous
пи этом съел всю оперу и проц нагружал прилично
Anonymous
вот и как выявить проблему?
Anonymous
сейчас все раннеы стоят
а память съедена гитлабом
и так осталась занятой
Anonymous
кто то подключал раннеры удаленно?
Anonymous
те не на той же машине что и гитлаб?
Andrey
ранер не может кушать овержофига оперативы. он буфер вывода только содержит по сути, оперативку могут кушать порожденным им сервисы, контейнеры
Andrey
ранер можно подключить на любой машине, лишь бы был доступ к гитлабу что бы он смог забрать задание. доступ с гитлаба к машине с ранером не нужен
Anonymous
да гитлабовский докер все съел
я пока не понял почему
Anonymous
сейчас у меня раннер там же ге и гитлаб
Anonymous
и в раннер проброшен сокет докера
Anonymous
я вынс раннер на дургой сервак но как теперь ему разрешить доступ к докеру?
Anonymous
а то ловлю ошибку Preparation failed: Cannot connect to the Docker daemon at unix:///var/run/docker.sock
Anonymous
не делал такого еще
Andrey
сокет тоже не обязательно прокидывать, можно юзать docker in docker сервис, раньше было медленновато, но вроде бы допилили. читать в сторону gitlab-ci services dnd
Anonymous
ок, почитаю
Anonymous
походу я догадываюсь почему стока оперы съедено было
Anonymous
наш админ и постгре в докере использует
Anonymous
ну вот он и ест походу
Anonymous
ну и я против того что в контейнере больше 1 сервиса
Alex
Я думал тебя возмутил факт контейнеризации базы данных.
Anonymous
так я сам только узнал )
Anonymous
сокет тоже не обязательно прокидывать, можно юзать docker in docker сервис, раньше было медленновато, но вроде бы допилили. читать в сторону gitlab-ci services dnd
насколько я понял там в основном все решается добавление
services:
- docker:dind
?
Anonymous
читал тут https://docs.gitlab.com/ce/ci/docker/using_docker_build.html
Artem
а не проще юзать shell тип подключения раннера и передавать команды локальному докеру на машине где он запускается?
Anonymous
я спроил ка клучше - подсказали так
Anonymous
я же первый раз делаю
косяков еще не знаю
Andrey
а не проще юзать shell тип подключения раннера и передавать команды локальному докеру на машине где он запускается?
если пофиг на безопасность и полная уверенность в том что ничего лишнего задание не натворит - да, проще
Andrey
хотя... вряд ли проще :)
Artem
ну это распределением прав решается)
Andrey
распределять права, настраивать подключение - по-моему это сложнее чем добавить в gitlab-ci 2 строки :)
Dmitriy
Привет, всем! У меня сетка flannel. Контейнеры находящиеся на разных узлах не видят друг друга, при этом видят шлюзы. Может кто сталкивался. Не могу понять в чм причина. :(
Pavel
Dmitriy
то есть на контейнерах они есть
Dmitriy
и когда контейнеры находятся на одном и том же узле все отлично
Pavel
узел видит "чужой" контейнер?
Andrew Kiselev
больше нельзя создавать ecs кластер на основе autoscaling группу?
RE
в режиме глобал будет доступен на каждой ноде, а так на тех где будет запущен
более того, если это Centos с iptables и с белым IP, то порт будет доступен "снаружи", хотя этого никто и не заказывал.. (
Artem
Как это не заказывал, это все описано в мануала и доках докера
Artem
В том и суть глобала
Artem
На какой интерфейс докер повесил, там и будут открываться порты, разве это не очевидно?
RE
На какой интерфейс докер повесил, там и будут открываться порты, разве это не очевидно?
>На какой интерфейс докер повесил
вот это не понял чет..
что значит "повесил"
RE
В том и суть глобала
суть глобала кмк не в экспозинге порта наружу.
а просто в разливке гостей по ВСЕМ нодам
Artem
В документации написано, что приложение будет доступно по порту на любой ноде
Artem
Чему удивляться?
RE
тому удивляюсь, что в рулах фаера это явно не указано руками.
и порт форвардинг порта из докер сетки наружу - как бы не всегда подразумевает, что он должен быть доступен всем.
RE
так то в доке сказано, что iptables сам добавляет рулы.
RE
но нахуана.. и главное - как пофиксить, если это не нужно - я пока не разобрался
нꙺ
парни, есть простой способ выполнить команды на хосте из контейнера?
например, стартует контейнер и выполняет на хосте что-нибудь вроде touch my_new_file
Alex
я думаю что пытаться выполнить какие-либо команды на хосте из докера офигеть как плохо
Alex
это оч не безопасно
RE
но нахуана.. и главное - как пофиксить, если это не нужно - я пока не разобрался
наверное никто не заморачивается, но меня это сильно афектит.
есть контейнер который проксирует порты для микросервисов из сварм сетки в хост сеть и сразу эти порты становятся доступными для всех, так как контейнер этот запущен на хосте с белым ip
Anton
Artem
парни, есть простой способ выполнить команды на хосте из контейнера?
например, стартует контейнер и выполняет на хосте что-нибудь вроде touch my_new_file
докер как бы сделан как раз чтобы ограничить приложениям доступ напрямую к хосту, так что думаю тут таск какой то неправильный, или он не про докер
нꙺ
таск не правильный
Artem
если речь только о файлам, то можно в контейнер нужнуж диру замаунтить и делать там с ними что надо
Artem
если костыльненько, изнутри контейра через ssh выполнять команды на хосте например
Bogdan (SirEdvin)
Кто-то сталкивался с тем, что docker демон игнорирует команду перезагрузки контейнеров?)
Andrey
конечно, это же докер
Таймураз
если костыльненько, изнутри контейра через ssh выполнять команды на хосте например
Можно еще смонтировать в контейнер всю систему и манипулировать любыми файлами
Но это чревато