agic
конечно
Ruslan
будьте так любезны?
agic
выслал же
agic
будет не лень на выходных запилю на русском
agic
кстати https://docs.docker.com/engine/swarm/secrets/
Ruslan
чорт, почему-то сразу не показалось )
Ruslan
спасибо!
agic
как в хабре поставить перевод?
agic
кто нить знает ?
Sergey
@agick там у тебя в заголовке поста "Хочу разместить публикацию" - вот "публикацию" это на самом деле список
Sergey
нажмёшь на неё и будет выбор "перевод"
agic
@agick там у тебя в заголовке поста "Хочу разместить публикацию" - вот "публикацию" это на самом деле список
ну поток и зхаб выбрал не могу найти метку указать перевод
Sergey
ты не понял
agic
нужен кому перевод? ссылки выше?
Sergey
https://www.dropbox.com/s/lllxzls5pok75q5/%D0%A1%D0%BA%D1%80%D0%B8%D0%BD%D1%88%D0%BE%D1%82%202017-01-31%2012.10.17.png?dl=1
Ruslan
выслал же
судя по cat /run это всё
1 - удобная обёртка над стандартным -v
2 - все секреты висят в оперативке
так?
agic
Secrets are encrypted during transit and at rest in a Docker swarm.
agic
прочитай
agic
When you add a secret to the swarm, Docker sends the secret to the swarm manager over a mutual TLS connection. The secret is stored in the Raft log, which is encrypted. The entire Raft log is replicated across the other managers, ensuring the same high availability guarantees for secrets as for the rest of the swarm management data.
agic
The secret is stored in the Raft log, which is encrypted.
Ruslan
звучит неплохо
agic
не так
agic
Warning: Raft data is encrypted in Docker 1.13 and higher. If any of your Swarm managers run an earlier version, and one of those managers becomes the manager of the swarm, the secrets will be stored unencrypted in that node’s Raft logs. Before adding any secrets, update all of your manager nodes to Docker 1.13 to prevent secrets from being written to plain-text Raft logs.
agic
есть такая пометка
agic
я в принципе могу перевести эту статью чуть позже и запилить на хабру
agic
либо собрать вопросы и туториал сделать, ибо пришлось покопаться в secret
Anonymous
Один вариант пробросить папку с другого сервера это примонтировать ее через nfs. А вариант с glusterfs что думаете?
Denis
А как вы живете с docker+iptables-pesistent?
N
есть некий образ(на alpine 3.4, если важно), который я запускаю с монтированием текущей папки
docker run --rm -ti -v $(pwd):/usr/src -w /usr/src somestuff sh
какой существует актуальный способ добиться того, чтобы небыло конфликтов с правами?
нормальным ли считается решение с entrypoint в образе, в котором создается пользователь с таким же uid, как и на хосте и из под него всё работает внутри контейнера? если нет, ткните, плз, куда гуглить
Igor
uid текущего пользователя на разных машинах может отличатся, наступал на эти грабли
Igor
самое просто при запуске контейнера проставить права, ты же там внутри от рута, он позволит тебе
Igor
если контейнеров несколько, то имеет смысл создать юзера с одинаковым uid
Igor
чтобы если один контейнер чего то создает, другие теже права имели
N
моя боль в том, что мне нужна возможность на хосте править файлы, которые монтируются в контейнер. спрашиваю в надежде на то, что в последних релизах есть нечто, что поможет избежать костылей
N
для прода лучше отдельный пользователь для всего зоопарка, наверное
Filipp
а я через группу сего добиваюсь
Filipp
добавил себя в www-data
Igor
ну вариант иметь группу конкретным айди на хост машине и в контейнерах
Filipp
ну да, можно и специализированную создать. так даже кошерней
Nikolay
Минутка извращений. У кого-нибудь был опыт отладки scrapy из docker в vs code? (Win10)
Amir
docker webdav есть чо? синкать удаленные папочки в локальную
Alex
Какие знакомые все лица.
Тенпеннай
дык надо
Alexander
коллеги, подскажите, плиз, в Docker Swarm разворачиваю сервис с одним инстансом контейнера, вешаю его на 80 порт. Потом, например, хост с докером, на котором был контейнер, падает и контейнер переезжает на другой хост. Как бы сделать так, что бы контейнер был всегда доступен по DNS независимо от того, на каком хосте он находится?
Alexander
есть какие-то встроенные механизмы динамической регистрации в днс или что-то подобное?
Gleb
consul
Gleb
service discovery + monitoring + dns
Gleb
и вот в добавок https://github.com/gliderlabs/registrator
Denis
Или @kubernetes_ru :)
Alexander
благодарю
Igor
а вроде же в докер сворме свой днс встроенный
Igor
через него ни как нельзя это сделать?
Gleb
про днс в сворме не знаю. Не пользовал ни разу
Gleb
Даже не интересовался )
Igor
https://docs.docker.com/engine/swarm/
Service discovery: Swarm manager nodes assign each service in the swarm a unique DNS name and load balances running containers. You can query every container running in the swarm through a DNS server embedded in the swarm.
Igor
есть два сворма, старый, который отдельный, и новый, который как альтернативный режим докера, с верси 1.12
Igor
вот в новом вроде всё ок должно быть
Gleb
ну вот про этот да, читал
Igor
без сторонних тулз
Igor
сам не юзал, хочу, но пока не когда
Gleb
Мне пока даже негде.
Alexander
оппа, вот про это не знал. попробую.
Igor
я когда только он релизнулся, тестил, в виртуалках, но что-то пошло не так и у меня между тремя виртуальными хостами сеть терялась, не мог mondodb replica set собрать
Igor
в 1.13 вот что реально хочется поюзать, так это:
docker stack deploy --compose-file=docker-compose.yml my_stack
т.е. появилась полноценная поддержка деплоя в swarm по compose конфигу
Alexander
проверил - докер сварм через интерфейс docker_gwbridge отдает сервису единый внешний айпишник.
Vyacheslav
боюсь в swarm dns для внутренних целей и service discovery и если у тебя внешний DNS смотрит на IP ноды и она упадёт, то тут встроенные механизмы не помогут...
Vyacheslav
а вот если нода жива, но упал контейнер и переехал на другую, то да, будет маршрутизация автоматом к нему встроенными средствами
Vyacheslav
проверил - докер сварм через интерфейс docker_gwbridge отдает сервису единый внешний айпишник.
единый внутренний IP видимо ?
Alexander
единый внутренний IP видимо ?
ну, это бридж сеть, с целью использования извне. но что-то пока не получается, что бы он отвечал что-то.
Vyacheslav
ну, это бридж сеть, с целью использования извне. но что-то пока не получается, что бы он отвечал что-то.
ну а как ты представляешь это? у разных нод свои IP, ты направил DNS внешний на любой из этих IP на 80 порт сервиса, Docker с помощью своей маршрутизации находит ноду где контейнер твой и маршрутизирует через overlay сеть на неё трафик
Vyacheslav
ну, это бридж сеть, с целью использования извне. но что-то пока не получается, что бы он отвечал что-то.
но когда эта нода упадёт, то DNS будет на тот же IP безрезультатно долбиться
Vyacheslav
ну, это бридж сеть, с целью использования извне. но что-то пока не получается, что бы он отвечал что-то.
тут надо или внешний балансировщик ставить, который будет точно доступен или ddns использовать
Vyacheslav
встроенный в docker dns сервис он для внутренних нужд вроде как, для того чтобы контейнеры могли друг с другом взаимодействовать, для service discovery
Alexander
понял про DNS, спасибо. опробую вариант с балансировщиком
Pasha Chalyk
Парни, есть какой-то способ дизейблить сервисы в докер-композе?
Pasha Chalyk
спс
Sheridan
