привет. никто не сталкивался. собираю в гитлабе в контейнере вью проект. зависает и отваливается по таймауту. ошибок нет. - Building for production... Starting type checking service... Using 1 worker with 2048MB memory limit

Ничего нельзя сказать так

а как вообще дебажить если ошибок нет

и оно просто висит

контейнер нода 10

доставил туда пару зависимостей

раньше собиралось за 6 минут

Ну, не бывает чудес

второй день уже собраться не может

У меня был кейс, когда висело на фетчинг репо, но это были проблемы на стороне гитлаба

Можно проверить путем подцепить свой приватный раннер и посмотреть, что он будет делать

можно локально поставить гитлаб раннер и проверить да?

спасибо! пойду читать про гитлаб раннер ))

Но вообще разницы нет : сделаешь ли ты установку пакетов снаружи докера и потом весь node_modules передашь внутрь (менее желательно), либо будешь все ставить внутри докера (более предпочтительно)

Не, node_modules в докеригноре

Не, node_modules в докеригноре

Это в момент сборки игнорится, а не в момент запуска ;)

Это в момент сборки игнорится, а не в момент запуска ;)

сложна) Ок, спасибо большое

как получить строку запуска контейнера? не записал, когда запускал. И как вы храните их?

как получить строку запуска контейнера? не записал, когда запускал. И как вы храните их?

bash history ?

Если контейнер запущен, то docker inspect поможет

Если и первое просрано, и контейнер уже убит, то сорян, братан

bash history ?

вот не поверите, под разными дистрибутивами у меня половина команд исчезает из history, иногда коннекчусь по SSH кликаю вверх, и там команды недельной давности

вот не поверите, под разными дистрибутивами у меня половина команд исчезает из history, иногда коннекчусь по SSH кликаю вверх, и там команды недельной давности

Верю

А знаешь как такое бывает? Когда у тебя несколько сессий и гоночка между шеллами возникает

Или сессии рвутся невовремя

блин да, надо сессии бахать

@nikobrazz короче, я дал исчерпывающий ответ?

выходить не по таймауту ввода, а через exit

@nikobrazz короче, я дал исчерпывающий ответ?

ща, минутку, читаю

параметры там есть, но без строки запуска

параметры там есть, но без строки запуска

ну, просто «строка запуска» - это очень обтекаемое понятие

нужна команда, которой запустил контейнер

вот теперь точно нашел) sudo cat /root/.bash_history

?

Совет: используй zsh

Совет: используй zsh

этож и его изучать надо, ну его нафиг)

хотя там по папкам без табов ходить кажется можно cd /e/s/

Совет: используй zsh

о)

докер автоматом при загрузке загрузился через демон. Как его теперь можно перезагрузить, чтобы изменения подхватил? Через /etc/init.d/docker restart ? Или есть более лучший путь?

разобрался, надо docker-compose restart

я делаю docker-compose up -d

докер автоматом при загрузке загрузился через демон. Как его теперь можно перезагрузить, чтобы изменения подхватил? Через /etc/init.d/docker restart ? Или есть более лучший путь?

не путай докер и контейнеры

я делаю docker-compose up -d

я так не делаю, у меня оно автоматом все контейнеры запускает

и мне надо их перезагрузить

он перезапустит и пересоберет те, которые изменились

я делаю docker-compose up -d

еще такой момент. Я бывает смотрю логи используя docker-compose logs -f -t. Но заметил, что он все ранее логи выводит, поулчается он их все в контейнере постоянно накаплвиает?

он перезапустит и пересоберет те, которые изменились

тоесть не смотря на то, что они уже запущены?

да

он перезапустит и пересоберет те, которые изменились

чет не сработало. Сделал изменения в конфиге nginx и ввел твою команду и он не подхватил. Подхватил только после того когда все остановил и занова запустил

а nginx у тебя относится к этому проекту docker-compose?

да

все в одном docker compose

а конфиг где?

наверное конкретно nginx дёргать можно docker restart nginx

а конфиг где?

все сервисы внутри блока services:

или их еще как то связывать надо?

наверное конкретно nginx дёргать можно docker restart nginx

ок, в следующий раз надо будет попробовать)

можно docker-compose up -d --build

Привет, есть кто использует докер на продакшине? Интересует вопрос файрволла - что используете для автоматизации правил

Привет, есть кто использует докер на продакшине? Интересует вопрос файрволла - что используете для автоматизации правил

для каких целей вам нужен файерволла?

Блокировать тех кто перебирает пароли, неугодных парсеров сайта, тех кто пытается взломать и и.п.

фаерволл так не умеет

Может не совсем так выразился, пример файлтубан, но проблема когда сеть через бридж

File2ban не юзал, а вот когда сеть через бридж - поможет модуль conntrack в iptables

В набор DOCKER-USER запихиваешь и живет оно там - сколько надо

Модуль iptables conntrack позволяет работать с исходными характеристиками пакета, которые после роутинга правилами докера меняются

Для такого уже давно придумали отдельный пласт по ids

Может не совсем так выразился, пример файлтубан, но проблема когда сеть через бридж

а как вы определили что вам необходимо решить эту задачу? может быть есть какие то конкретные причины? или из спортивного интереса сугубо для общего развития и потдержания здорового образа жизни?

Для такого уже давно придумали отдельный пласт по ids

всякие snort, suricata

всякие snort, suricata

и еще куча всего

чет не сработало. Сделал изменения в конфиге nginx и ввел твою команду и он не подхватил. Подхватил только после того когда все остановил и занова запустил

Конфиг копируется в Dockerfile? Или монтируется?

Совет: используй zsh

Это типа чтобы баш не учить?

Это типа чтобы баш не учить?

норм лайфхак, кстати

вот не поверите, под разными дистрибутивами у меня половина команд исчезает из history, иногда коннекчусь по SSH кликаю вверх, и там команды недельной давности

http://www.aloop.org/2012/01/19/flush-commands-to-bash-history-immediately/

http://www.aloop.org/2012/01/19/flush-commands-to-bash-history-immediately/

крутота, спасибо

можно docker-compose up -d --build

Я бы сказал: нужно :)

а как вы определили что вам необходимо решить эту задачу? может быть есть какие то конкретные причины? или из спортивного интереса сугубо для общего развития и потдержания здорового образа жизни?

Постоянно ломятся всякие на перебор паролей, поиск уязвимостей и очень активный парсинг. Сейчас приходить писать кучу скриптов для автоматизации процесса блокировки. Вот я и подумал - может есть какое-то решение из коробки

Постоянно ломятся всякие на перебор паролей, поиск уязвимостей и очень активный парсинг. Сейчас приходить писать кучу скриптов для автоматизации процесса блокировки. Вот я и подумал - может есть какое-то решение из коробки

У вас bare metal инраструктура или в облаках хоститесь?

Облаках

Постоянно ломятся всякие на перебор паролей, поиск уязвимостей и очень активный парсинг. Сейчас приходить писать кучу скриптов для автоматизации процесса блокировки. Вот я и подумал - может есть какое-то решение из коробки

ids внедрите и все

автоматизацияю зависит от архитектуры а так менеджмент тулзы

если в сеть проник к вам гад - это докер виноват.

угу

Облаках

В облаках есть возможность использовать файрволы как самый простой вариант. Открываете нужные порты для внешней коммуникации пользователей с api примеру ваших сервисов.

ids внедрите и все

А можно немного подробнее или где почитать

А можно немного подробнее или где почитать

https://en.m.wikipedia.org/wiki/Intrusion_detection_system

Спасибо

Облаках

Если используете docker swarm к примеру, то там можете сами создавать internal и external сети. Все что нужно закрыть в добавляете в internal, а внешние сервисы в external и на файрволе необходимые порты дбавляете.

Если используете docker swarm к примеру, то там можете сами создавать internal и external сети. Все что нужно закрыть в добавляете в internal, а внешние сервисы в external и на файрволе необходимые порты дбавляете.

Зачем колхозить фаер на хосте?

Если веб приложение впереди ставиться waf

Пограничный фаервол и джампбокс

Зачем колхозить фаер на хосте?

Ну это как самый простой вариант предложил. Не у всех есть возможность городить такие системы защиты, тем более на инфре клауд провайдера. Для обычного приложения, которое состоит к примеру из 4 докер контейнеров, это помоему оверкилл как по мне для не большой команды, в котрых как правило сидят разработчики софта.

Ну это как самый простой вариант предложил. Не у всех есть возможность городить такие системы защиты, тем более на инфре клауд провайдера. Для обычного приложения, которое состоит к примеру из 4 докер контейнеров, это помоему оверкилл как по мне для не большой команды, в котрых как правило сидят разработчики софта.

у облачный провайдеров намного проще, есть sg закрывается хост в sg, так же практически все облачные провайдеры предлагают waf и системы обнаружений вторжений

best practice в облаках как раз не колхозить фаервол на инстансах

Пограничный фаервол и джампбокс

купить какой-нибудь checkpoint