Sergey
смотрю сейчас в настройки, у меня там прописаны мои
Alexander
я только начал настраивать, а в github разработчик пишет, что все плагин не поддерживается
Alexander
а так все хорошо начиналось
Alexander
смотрел. Очень тормознутая поделка. Сейчас вот хочу ceph потестить
спасибо, почитаю про ceph
Maxim
Ладно, фиг с ним. Всё это пока не очень работает под виндой, я так понимаю.
Sergey
@robox ну смотри, в линуксе в хомяке сертификаты обычно складываются в папку .docker, если они там используются
Sergey
так как винды рядом нет, я не могу посмотреть и проверить, что там
Maxim
@robox ну смотри, в линуксе в хомяке сертификаты обычно складываются в папку .docker, если они там используются
Да, я знаю. С docker toolbox так же было и под виндой. А в docker for windows уже как-то иначе.
Sergey
как вариант, конечно, можно пойти старым путём и с помощью processexplorer выцепить открытые файлы и узнать, где же эти сертификаты лежат (если лежат)
Maxim
как вариант, конечно, можно пойти старым путём и с помощью processexplorer выцепить открытые файлы и узнать, где же эти сертификаты лежат (если лежат)
Да я тут понял, что pycharm сам не умеет пока сделать то, что я хочу, под виндой.
Sergey
а что хотелось?
Maxim
Разрабатывать в докере.
Maxim
С подключением удалённого интерпретатора.
Антон
привет, подскажите, как лучше оптимизировать установку окружения при сборке образа , из окружения php,node,composer сейчас это в Dockerfile, я думаю есть ли смысл описывать установку окружения через Ansible и потом добавить его в Dockerfile?
Anonymous
Alex
смысл всегда можно найти )
https://medium.com/@tech_phil/running-ansible-inside-docker-550d3bb2bdff#.mb4sm1wfj
Alex
в простейшем виде так
https://github.com/victorlin/ansible-inside-docker-demo
Alexander
и отказаться от кэширования слоев?
Alexander
ведь все что будет прогнано с Ansible ляжет следующим слоем и так каждоый раз бораз будет расти, если его не "схлопывать"....
Alexander
а если его "схлопывать", то кладем на версионирование образов...
Alexander
в общем, я не вижу в этом какого-либо решения... просто когда у тебя в руке молоток - все кажется гвоздями. Тут с ansible, имхо, то же самое
Alex
ага. Версионирование отдается ансиблю на уровне конфига, а смысл всей схемы для ускорения тестирования окружения
Alex
In a development environment, Ansible “playbooks” can be tested within a virtual machine using tools such as Vagrant and VirtualBox. Ideally, we want to start with a fresh environment state when running a new playbook. But the process of (re)creating a pristine testing sandbox is tedious with these tools.
Anonymous
@sclif13 Я использую точнее тестирую. Какой вопрос? Интереснпя тема
Alexander
Простите, Вы используете Docker как VM?
Alex
Нет, но вопрос был - есть ли смысл в такой связке. Я видел тех кто нашел и поделился инфой.
Alexander
я понимаю, использовать Docker как песочницу для тестирования развертывания окружения... этакую песочницу... Тогда да, быстро/просто/модно...
Alexander
Но использование Ansible внутри Docker для создания образа под один сервис мне кажется оверинжинирингом
Alex
согласен
Alexander
или переходным моменом от деплоя на "железки" к деплою на "контейнеры"... пока остальные осваивают Docker))))
Alexander
с целью в итоге все перевести на обычные комадны в Dockerfile
Александр
docker с большой бд кто нибудь использовал? Как оно себя ведёт, база от 80 гб объёмом?
Alexander
нормально. У нас Postgresql торчит в Амазоне в контейнерах. хранилище подключается через EBS с помощью Kubernetes... Полет нормальный))))
Александр
Мы амазон не используем, сервер в хетцнере...
Alexander
монтируется напрямую в Pod (минуя операционную систему)
Alexander
ну тут не принципиально. Главное IO чтобы не подвел...
Александр
а просадки по io нет из-за прослойки?
Alexander
нет. В интернетах много бенчмарков на эту тему. Просадка IO в Docker вроде не выше 4%
Alexander
используем storage=overlayfs на базе ext4 раздела
Александр
нет. В интернетах много бенчмарков на эту тему. Просадка IO в Docker вроде не выше 4%
В интернетах вообще много всего есть, но всему верить не хочется, иногда эти цифры берутся с потолка.
Alexander
нене... там бенч был который можно у себя запустить и проверить... попробую найти и скинуть
Александр
нене... там бенч был который можно у себя запустить и проверить... попробую найти и скинуть
Угу, спасибо. Было б неплохо.
Антон
Но использование Ansible внутри Docker для создания образа под один сервис мне кажется оверинжинирингом
не совсем так, я тестирую щас метод docker socket bind и в Dockerfile я беру образ centos, добавляю context в образ, тк мне нужно тестировать в самом репозитории (через .dockerignore убираю лишнее), в RUN прописываю нужные мне команды и устанавливаю пакет Ansible, через ansible-playbook запускаю файл для установки моего окружения, после для уменьшения образа удаляю все лишнее. У меня это все на Gitlab CI завязано, собираю этот образ через docker build, а потом запускаю этот образ через docker run my-image /path/to/my/scripts.
Alexander
а храните где?
1. Какой размер образа получается
2. А что с версионностью? Например надо откатиться на предыдущую версию
Alexander
нене... там бенч был который можно у себя запустить и проверить... попробую найти и скинуть
https://www.percona.com/blog/2016/02/11/measuring-docker-io-overhead/
Вот тут тестируют на MySql... но это не совсем то что я видел раньше... Не нашел оригинальной статьи... точно помню там тестировалась сеть через overlay network... вот там была просадка максимум 4%, тестов для Volumes не видел, но в issues есть вот такая ветка с кучей сравнений
https://github.com/docker/docker/issues/21485
Александр
Угу спасибо.
Антон
а храните где?
1. Какой размер образа получается
2. А что с версионностью? Например надо откатиться на предыдущую версию
просто через Dockerfile образ получается 765 из них centos 196, 325 пакеты для окружения, и 242 сорсы. Образ я не храню он нужен только для сборки билда, сама история сборки в Gitlab CI
Alexander
ясно, спасибо...
JBáruch
Denis
Что-то странное происходит на машине, где хостится Private Docker Registry:
$ docker pull xxx:5000/my-app
Using default tag: latest
Error response from daemon: Get https://xxx:5000/v1/_ping: x509: certificate signed by unknown authority
При этом сертификат лежит в /usr/share/ca-certificates/xxx\:5000/ca.pem и в /etc/docker/certs.d/xxx\:5000/ca.pem, логин-пароль прописан в ~/.docker/config.json
Ubuntu 14.04.4 LTS
Denis
Дим, не сталкивался с таким?
Anonymous
Сертификат самоподписан?
Anonymous
Не сталкивался с докер реджестри сам, но подозреваю, что стоит поверить ошибке. Он ругается на то, сто сертификат самоподписанный, а не из доверенных источников.
Есть какой-нибудь insecure ключ для докера?
Denis
Да, сгенерирован, self-signed
Anonymous
Дим, не сталкивался с таким?
^ ну или добавьте СА этого сертификата в доверенные на всех клиентов
Denis
Так добавил в обе директории, сделал update-ca-certificates
Denis
Перезапустил сервис - не помогло, даже ребутнул сервер и ничего
Denis
При этом "соседний" с CoreOS нормально работает с этим DR
Anonymous
Нужно смотреть, кто отдает ошибку х509 и умеет ли эта либа смотреть в /usr/share/ca-certificates
Ну или ты сделал что-то не то :)
curl не ругается?
Anonymous
При этом "соседний" с CoreOS нормально работает с этим DR
А вот это интересно
Denis
Кстати, интересный момент насчёт прав
Anonymous
В общем, магии не существует. Если на одном хосте работает, а на другом - нет, ищи различия в конфигурации. А я пошел есть сибирский арбуз :)
Anonymous
Да, обрати внимание, что это не сам докер пулл ругается, а что-то внешне. Ошибка похожа на libopenssl. Поэтому можешь гуглить без привязки к докеру
Denis
Сибирский арбуз в 5 утра полный разрыв шаблона)
Anonymous
Внезапно, в Сибири уже половина одиннадцатого
Denis
)) Внезапно и в Москве уже 6:30
Denis
Docker issues - с нами время летит незаметно ✈️
Denis
Ветку посмотрел уже в пятый раз и ничего рабочего) Может self-signed сертификат неправильно сгенерирован?
cat > ./openssl.conf << EOL
[req]
distinguished_name = req_distinguished_name
x509_extensions = v3_req
prompt = no
[req_distinguished_name]
C = VA
ST = Vatican
L = Vatican
O = The Holy See
CN = *
[v3_req]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid,issuer
basicConstraints = CA:TRUE
subjectAltName = IP:xxx
EOL
Alexander
а кто-нибудь сквошит образы? https://github.com/jwilder/docker-squash
Denis
...при этом сертификат в системе существует без проблем:
$ openssl s_client -showcerts -verify 32 -CApath . -connect xxx:5000
verify depth is 32
CONNECTED(00000003)
depth=0 C = VA, ST = Vatican, L = Vatican, O = The Holy See, CN = *
verify error:num=18:self signed certificate
verify return:1
depth=0 C = VA, ST = Vatican, L = Vatican, O = The Holy See, CN = *
verify return:1
---
Certificate chain
0 s:/C=VA/ST=Vatican/L=Vatican/O=The Holy See/CN=*
i:/C=VA/ST=Vatican/L=Vatican/O=The Holy See/CN=*
-----BEGIN CERTIFICATE-----
...
Denis
а кто-нибудь сквошит образы? https://github.com/jwilder/docker-squash
Можно сделать чек-лист по оптимизации:
+ [ ] squash
+ [ ] clean up
Oleg
Доброе утро!Меня зовут Олег. Я занимаю бекапом и мониторингом linux серверов.
Anonymous
Доброе утро!Меня зовут Олег. Я занимаю бекапом и мониторингом linux серверов.
Запускаешь задачи по крону и смотришь в дашборд заббикса что ли? Интересно, однако.
Anonymous
Запускаешь задачи по крону и смотришь в дашборд заббикса что ли? Интересно, однако.
Нет, смотрит на htop
Anonymous
Хотя подожди. Он же бэкапит сами сервера, а не данные. Кладовщик?
Denis
Камон ) Ошибка x509 не хочет исчезать
Oleg
»Запускаешь задачи по крону и смотришь в дашборд заббикса что ли? Интересно, однако.
Что-то вроде этого, только без крона )
Oleg
htop тоже смотрю