best practice в облаках как раз не колхозить фаервол на инстансах

Да согласен. Ну я про это и написал в совокупности выше) Использовать файрволы клауд провайдера и внутренние сети для изоляции коммуникации сервисов друг с другом.) ну а там уже сверху waf и т.д

Да согласен. Ну я про это и написал в совокупности выше) Использовать файрволы клауд провайдера и внутренние сети для изоляции коммуникации сервисов друг с другом.) ну а там уже сверху waf и т.д

вот в этом фаер на хосте уже лишнее и если он есть, то в архитектуре уже что-то не то

полезно полазить по https://cloudsecurityalliance.org/

вот в этом фаер на хосте уже лишнее и если он есть, то в архитектуре уже что-то не то

Зачем на хосте? У меня к примеру файрвол распростарняется на группы инстансов. На самих хостах в netfilter лезу исключительно редко.

Зачем на хосте? У меня к примеру файрвол распростарняется на группы инстансов. На самих хостах в netfilter лезу исключительно редко.

человек на хосте запрос, ты про сворм написал)

я что-то не так уловил?

я что-то не так уловил?

Может я не правильно выразился) Про swarm это бы как один из вариантов изоляции ) Если у тебя к примеру 3 KMV виртуалки крутятся на каком нибуть Айхоре, где нет различных плюшек клауд провайдеров.

Может я не правильно выразился) Про swarm это бы как один из вариантов изоляции ) Если у тебя к примеру 3 KMV виртуалки крутятся на каком нибуть Айхоре, где нет различных плюшек клауд провайдеров.

проще инфраструктуру под это спроектировать, особенно если планируется рост, как всегда где 3 виртуалки там и 10

Эт точно

доброе утро

что тут за бешеный движ с утра?

всем привет! Возможно ли сейчас в swarm сделать бинд порта на конкретный интерфейс?

или как это вообще орагнизовать, кроме правил в iptables для закрытия этого порта на других интерфейсах

всем привет! Возможно ли сейчас в swarm сделать бинд порта на конкретный интерфейс?

Если правильно понял, то пока что никак https://stackoverflow.com/questions/39471709/how-to-bind-the-published-port-to-specific-ethx-in-docker-swarm-mode

Нашел вариант. На каждой машине создаем сетку привязанную к конкретному IP https://www.digitalocean.com/community/questions/how-to-make-docker-only-use-a-private-network-to-communicate-with-other-hosts

а уже потом создаем сервис с использованием этой сетки и биндом портов

сча тестирвую на 2-х виртуалках - вроде работает

а уже потом создаем сервис с использованием этой сетки и биндом портов

Ну да, как вариант

до 3-й версии docker-compose файла можно было делать в swarm привязку порта к IP

Я бы сказал, что 98% отечественного бизнеса облака не подходят лишь потому что они, в лучшем случае, ничего, кроме ес2 не знают и до сих пор, в лучшем случае, обращаются с облаками как с виртуалками

Прав

Ребята что выбрать системы на которой будут работать только докеры ? Debian centos7 или Ubuntu ?

Заранее спасибо всем за ответы

Ребята что выбрать системы на которой будут работать только докеры ? Debian centos7 или Ubuntu ?

CoreOS предпочтительнее - потом уже CentOS

А почему так ?

Всем привет, подскажите, пожалуйста по sysctl настройке в докере. У меня такое подозрение, что sysctl настройки для докера наследуются из host-системы. Так ли это? Вообще у меня проблема в том, что я хочу увеличить net.core.somaxconn т.к. nginx выдает ошибку под нагрузкой и вроде как дело в этой настроке, локально пробовал менять - всё ок. Но мне надо сделать это в azure, а там для докер контейнера нельзя передавать параметры командной строки и вообще внутри этого контейнера у меня нет доступа к этой настройке почему-то.

начни отсюда https://docs.docker.com/engine/reference/commandline/run/#configure-namespaced-kernel-parameters-sysctls-at-runtime

На одном сервер 2 окружения проекта: дев и прод. Подняты через свои docker-compose В проекте несколько контейнеров, один из них nginx. Внезапно в обоих проектах одновременно nginx контейнер ушел в Restarting Я сделел docker-compose down docker-compose up -d и все нормализовалось. Но хотелось бы как то понять причину рестартинга. В логах поискал emrg какой нить - нету ниче такого. Как найти причину?

два нгинкса используешь? в компоуз файлах

На одном сервер 2 окружения проекта: дев и прод. Подняты через свои docker-compose В проекте несколько контейнеров, один из них nginx. Внезапно в обоих проектах одновременно nginx контейнер ушел в Restarting Я сделел docker-compose down docker-compose up -d и все нормализовалось. Но хотелось бы как то понять причину рестартинга. В логах поискал emrg какой нить - нету ниче такого. Как найти причину?

Порты публикуешь наружу?

На одном сервер 2 окружения проекта: дев и прод. Подняты через свои docker-compose В проекте несколько контейнеров, один из них nginx. Внезапно в обоих проектах одновременно nginx контейнер ушел в Restarting Я сделел docker-compose down docker-compose up -d и все нормализовалось. Но хотелось бы как то понять причину рестартинга. В логах поискал emrg какой нить - нету ниче такого. Как найти причину?

ну для начала поглядеть в dmesg или в логирование ОС, либо /var/log/messages или journalctl

два нгинкса используешь? в компоуз файлах

Два отдельных докер композа. В каждом композе по одному nginx контейнеру

Порты публикуешь наружу?

да, разные порты естественно

ну для начала поглядеть в dmesg или в логирование ОС, либо /var/log/messages или journalctl

в контейнере нжинкса?

нет

на хостовой

Два отдельных докер композа. В каждом композе по одному nginx контейнеру

А чем проксируешь наружу?

на хостовой машине nginx по одному домену форвардит траф на один порт (порт первого из нжинксов из контейнера), по другому домену - на порт второго нжинкс из контейнера

такая человеческая многоножка, тока из нжинкс)

на хостовой машине nginx по одному домену форвардит траф на один порт (порт первого из нжинксов из контейнера), по другому домену - на порт второго нжинкс из контейнера

А не легче Traefic

А не легче Traefic

я не знаю че это такое) Но почитаю - может че нить полезное. Вон мне тут fluentd вместо логстэша посоветовали - до сих пор рад)

я не знаю че это такое) Но почитаю - может че нить полезное. Вон мне тут fluentd вместо логстэша посоветовали - до сих пор рад)

Fluentd - весчь, прожорливый логстэш в топку

я не знаю че это такое) Но почитаю - может че нить полезное. Вон мне тут fluentd вместо логстэша посоветовали - до сих пор рад)

В дувух словах хороший реверс прокси написаный на Го

В дувух словах хороший реверс прокси написаный на Го

Чем круче нжинкса?

Чем круче нжинкса?

разве бывает что то круче?

Чем круче нжинкса?

сам Подхватывает и проксирует докерню

разве бывает что то круче?

Смотря для каких задач

а ты типо шаришь девопсить?

а ты типо шаришь девопсить?

да не, три класа церковно приходской

эх ?

эх ?

что за тоска печаль?

да девопса нам надо

да девопса нам надо

Зачем?

ну чтобы все сделал и стало хорошо

ну чтобы все сделал и стало хорошо

В личку отпиши, посмотрим что там у вас

Ребят. А можно совет ? Короче я поставил на сервер в докер cpanel, и поставил еще и nginx. Задача такая, кто бы все запросы которые получает nginx отправелись в докер. Это я сделал, вот только один момент появился. В cpanel 2 домена, и при заходе на второй я получаю редирект на вервый домен ... Может кто-то в курсе что нужно указать в nginx что бы он отправлял все это правильно ...

Заранее спасибо

да девопса нам надо

@devops_jobs

cпс!

Ребят. А можно совет ? Короче я поставил на сервер в докер cpanel, и поставил еще и nginx. Задача такая, кто бы все запросы которые получает nginx отправелись в докер. Это я сделал, вот только один момент появился. В cpanel 2 домена, и при заходе на второй я получаю редирект на вервый домен ... Может кто-то в курсе что нужно указать в nginx что бы он отправлял все это правильно ...

@nginx_ru

Ребят, подскажите, от чего при бильде контейнера может быть такая штука? Step 2/3 : COPY abc abc COPY failed: stat /var/lib/docker/tmp/docker-builder381380405/abc: no such file or directory

в контексте сборки нет такого файла

проверь dockerignore на всякий случай

ой, действительно, я не в контексте

спасибо ) глаз уже замылен )

!спам

Народ, маленький оффтоп — а только у меня на маке родной тг-клиент жрёт цпу как не в себя? У меня ощущение, что Дуров свои тоны майнит клиентом.

Народ, маленький оффтоп — а только у меня на маке родной тг-клиент жрёт цпу как не в себя? У меня ощущение, что Дуров свои тоны майнит клиентом.

Год назад сталкивался с это проблемой

а как решал?

В целом клиент дырявый как был так и остался

Сел на другой клиент

а на какой?

Там есть нативный Маковский, а есть дефолтный, который и на Винде, и на лине

а, ок, ща попробую другой

https://docs.docker.com/install/linux/linux-postinstall/#specify-dns-servers-for-docker

он еще не научился временно монтировать вольюмы на этапе билда?

только через мультистейдж?

нет. нет.

https://docs.docker.com/install/linux/linux-postinstall/#specify-dns-servers-for-docker

Спасибо ?