http://blog.thelifeofkenneth.com/2018/12/fcix-state-of-exchange.html

да, просто php:7.0 ща попробую на более конкретном из докерхаба

да кстати у тебя какая корневая ос?))

привет всем. давно не копался в докере и походу что-то упустил в изменениях. когда я запускаю контейнер docker run --rm -t -i -v /path/to/project:/var/www php:7.0 bash а затем внутри php -S 0.0.0.0:80 -t /var/www то зная IP контейнера, я могу постучатся на этот сервер с хост машины или даже из другого контейнера (будь он в том же default сети). вопрос: что же тогда делает --expose 80 как опция команде run? что с ней, что без нее - я могу достучатся до сервера.

https://docs.docker.com/engine/reference/commandline/run/#publish-or-expose-port--p---expose -p и —expose - это одно и то же

да кстати у тебя какая корневая ос?))

Убунту 18.04. уже вне офиса :(

Убунту 18.04. уже вне офиса :(

в обще такое как у тебя возможно но если контейнер рутовый тогда он сможет открыть порты без эспоуз, такая хрень в маках)

в обще такое как у тебя возможно но если контейнер рутовый тогда он сможет открыть порты без эспоуз, такая хрень в маках)

у меня такое наблюдалось в контейнерах поднятых под юзверем, не под рутом в убунте порты экспозились внутри докер-сети, не во внешний мир

у меня такое наблюдалось в контейнерах поднятых под юзверем, не под рутом в убунте порты экспозились внутри докер-сети, не во внешний мир

сеть бриджовая? ну и вангую если скажешь ps aux) то увидишь что у тебя приклада запущена на порту)

из корневой ос

из корневой ос

неть

неть

да ладно))) не увидишь?

сеть бриджовая? ну и вангую если скажешь ps aux) то увидишь что у тебя приклада запущена на порту)

сеть бриджовая, контейнер без экспоза условного порта 9000, запускаем внутри приложуху слушающую 9000 из соседнего контейнера стучимся в первый:9000 - связь отличная,( пшшш пшшш, йоба приём)

из корневой ос

подтверждаю, что из хостовой ос видно процессы из контейнеров

но как это поможет парням - хз

процессы видно

сеть бриджовая, контейнер без экспоза условного порта 9000, запускаем внутри приложуху слушающую 9000 из соседнего контейнера стучимся в первый:9000 - связь отличная,( пшшш пшшш, йоба приём)

ты из корневой системы должен видить процессы те что в контейнере)

netstat же пишет белиберду - там обычно docker-proxy висит, который и прокидывает сеть в контейнер (если не хост моуд, и используешь -p)

ты из корневой системы должен видить процессы те что в контейнере)

ес-но. никто этого не отрицает

ты из корневой системы должен видить процессы те что в контейнере)

процессы - да > приклада запущена на порту вот портов чот не видел

netstat же пишет белиберду - там обычно docker-proxy висит, который и прокидывает сеть в контейнер (если не хост моуд, и используешь -p)

сейчас вообще не идёт речь про -p

процессы - да > приклада запущена на порту вот портов чот не видел

а они как бы есть)

наружу через -р смотрит например 80+443 в самом контейнере +1 процесс, слушает 9000 9000 нигде не объявлен из соседнего контейнера 9000 прекрасно доступен

наружу через -р смотрит например 80+443 в самом контейнере +1 процесс, слушает 9000 9000 нигде не объявлен из соседнего контейнера 9000 прекрасно доступен

наружу паблишь уже порта

наружу паблишь уже порта

наружу - т.е. куда?

наружу паблишь уже порта

я тебе за фому, ты мне за паблиш xD

наружу - т.е. куда?

то есть за нат открытие на фаере

я тебе за фому, ты мне за паблиш xD

паблишь и експос вещи разные

в курсе?

естессна, я о том-же

в курсе?

в курсе

естессна, я о том-же

тогда причем тут экполус во внешний мир?

тогда причем тут экполус во внешний мир?

где я написал что он при чём к внешнему миру?

не приписывай мне своих мыслей пожалуйста

я писал о полной доступности хостов друг для друга внутри одной докер-сети, не взирая на экспоуз, небо и аллаха

наружу через -р смотрит например 80+443 в самом контейнере +1 процесс, слушает 9000 9000 нигде не объявлен из соседнего контейнера 9000 прекрасно доступен

наружу через -р смотрит например 80+443 в самом контейнере +1 процесс, слушает 9000 9000 нигде не объявлен из соседнего контейнера 9000 прекрасно доступен

и где тут экспоуз + внешний мир?

-p не экспоус?

EXPOSE и --espose = экспоуз

(по крайней мере в рамках текущего обсуждения)

Я говорил про то что эскпоус не обязательно тебе открывает порт жопой в мир

паблиш открывает порт во внешний мир эспоус открывает порт вообще

ибо технически - да, -p экспоузит порт наружу, а --expose - нет, но мы не о странностях именования параметров и команд докера, мы об --expose говорили тут

Чёрт, кажется меня тролят... пойду поработаю с горя

ибо технически - да, -p экспоузит порт наружу, а --expose - нет, но мы не о странностях именования параметров и команд докера, мы об --expose говорили тут

во первых не тролят во вторых https://docs.docker.com/engine/reference/builder/#expose

я это постил выше, сэр

Allowing Containers to Talk to Each Other Internally Containers on the same network can talk to each other over their exposed ports without having to publish ports back to the Docker host with -p. This is useful for services like Postgres or Redis. These are things you typically wouldn’t want accessible from the internet, but you would want them accessible to your web application containers running on the same Docker network. If that’s the case you’ll need to use EXPOSE or --expose, but… If you check out the official Docker images for Postgres and Redis, you’ll notice they set up EXPOSE 5432 (Postgres) and EXPOSE 6379 (Redis) in their Dockerfile already.

суть обсуждения в том, что это вот "can talk to each other over their exposed ports without having to publish ports back to the Docker host with -p." [уже] не актуально и контейнеры могут это делать без экспоузов, что подтверждается практикой нескольких участников данной дискуссии

Только что проверил в редхате не могут)

в Маке могут

так как реализация через жопу

в убунте могут и AFAIR в дебиане тоже, но это не точно™

ну вот редхат интерпрайз отказывается)

без экспоус

Ну, это полезно знать, запомню

Интересно было-бы ещё услышать от чатлан как дела в центоси например

у тебя есть опция -p. Зачем —expose - не могу понять

да - именно с -P . Только надо понимать что в CentOS у тебя seLinux+Iptables а в CoreOS у тебя еще и политика локальная - многое по iptables докерам нельзя сделать. Вот например по vpn образу: getsockopt failed strangely: Operation not permitted iptables v1.4.21: can't initialize iptables table `filter': Permission denied (you must be root) Perhaps iptables or your kernel needs to be upgraded. Ну это уже заморочки в CentOS по безопасности : /usr/local/libexec/ipsec/_stackmanager: 143: /usr/local/libexec/ipsec/_stackmanager: cannot create /proc/sys/net/core/xfrm_acq_expires: Read-only file system

Сорри за оффтопик, подскажите, пожалуйста, какой-нибудь чат-флудилку, где можно общие вопросы задавать. В первый раз в телеграме.

Общие - о погоде? О политике? Об НЛО?)

да - именно с -P . Только надо понимать что в CentOS у тебя seLinux+Iptables а в CoreOS у тебя еще и политика локальная - многое по iptables докерам нельзя сделать. Вот например по vpn образу: getsockopt failed strangely: Operation not permitted iptables v1.4.21: can't initialize iptables table `filter': Permission denied (you must be root) Perhaps iptables or your kernel needs to be upgraded. Ну это уже заморочки в CentOS по безопасности : /usr/local/libexec/ipsec/_stackmanager: 143: /usr/local/libexec/ipsec/_stackmanager: cannot create /proc/sys/net/core/xfrm_acq_expires: Read-only file system

Ты таким образом хочешь сказать, что кореос более защищённый или что ?

Общие - о погоде? О политике? Об НЛО?)

ага =) Уже в других чатах подсказали несколько вариантов. Пасиб. Вопрос закрыт

Добрый день. Есть странный кейс. Есть образ на базе php-fpm, в который "вкомпилен" код php-приложения. Образ делаю не я, он приходит как есть. Мне нужно к контейнеру с этим образом каком-то образом привязать контейнер с nginx. Но нжинксу для работы c php-fpm нужно расшарить в его контейнер код приложения (т.е. в моем случае — директорию из контейнера php-fpm расшарить в контейнер с nginx) Ломаю голову, над тем, как лучше это сделать. Тривиальный вариант обхявить именованым волюмом /var/www/html (ну или где там код хранится) и прицеппить его контейнеру с nginx. Не нравится тем, что если прилетит новый образ с php-приложением (обновление кода), то придется перед обновлением еще и принудительно убить и тот волюм — иначе код приложения останется старым. А какие еще есть варианты разшарить директорию из контейнера в контейнер? Спасибо!

Добрый день. Есть странный кейс. Есть образ на базе php-fpm, в который "вкомпилен" код php-приложения. Образ делаю не я, он приходит как есть. Мне нужно к контейнеру с этим образом каком-то образом привязать контейнер с nginx. Но нжинксу для работы c php-fpm нужно расшарить в его контейнер код приложения (т.е. в моем случае — директорию из контейнера php-fpm расшарить в контейнер с nginx) Ломаю голову, над тем, как лучше это сделать. Тривиальный вариант обхявить именованым волюмом /var/www/html (ну или где там код хранится) и прицеппить его контейнеру с nginx. Не нравится тем, что если прилетит новый образ с php-приложением (обновление кода), то придется перед обновлением еще и принудительно убить и тот волюм — иначе код приложения останется старым. А какие еще есть варианты разшарить директорию из контейнера в контейнер? Спасибо!

А разве обязательно nginx'у видеть php файлы? Вроде не надо (если там конечно статики нет)

А разве обязательно nginx'у видеть php файлы? Вроде не надо (если там конечно статики нет)

там и статика есть тоже

Тогда ой. Я тоже недавно про такой кейс спрашивал

https://t.me/docker_ru/101843

получается, --expose работает как и описано, но не во всех ОСях?

а убунте получается пофиг?

https://t.me/docker_ru/101843

да, кейс аналогичный. решается походу никак

Всем привет! Помогите пожалуйста.. У меня подымается серв на localhost:5006, но если обернуть его в докер, и написать например docker run -p 5040:5006 some-name:latest то все равно не могу зайти на веб-серв. В чем может быть проблема?

Всем привет! Помогите пожалуйста.. У меня подымается серв на localhost:5006, но если обернуть его в докер, и написать например docker run -p 5040:5006 some-name:latest то все равно не могу зайти на веб-серв. В чем может быть проблема?

docker ps

docker logs

docker logs

чуть не понял о чем вы, если прописать docker logs --details <CONTAINER> то мне покажет логи моей приложухи

docker ps покажет контейнеры запущенные

и там можно увидеть ид контейнера

docker logs ID покажет логи контейнера

docker logs ID покажет логи контейнера

так да, мне показывает логи мои которые я в приложении делаю

я сам не супер шарю. мб попробуй на localhost:5040 зайти

я сам не супер шарю. мб попробуй на localhost:5040 зайти

чисто теоритически, надо зайти и оно должно работать, но нет)

ты писал что на 5006 заходил

а не на 5040

если не оборачивать в docker

а когда его оборачиваю, то подымаю на 0.0.0.0:5006 и хочу получить сам серв у себя на localhost:5040

___если что простите, я не особо шарю(((____

получается, --expose работает как и описано, но не во всех ОСях?

Запили пруф с использованием стандартного образа, например nginx:alpine и 80 порта.

Запили пруф с использованием стандартного образа, например nginx:alpine и 80 порта.

в каком виде пруф сделать? пока расскажу словами, что я сперва я запустил нжинкс так: docker run --rm -i -t --name nginxalpine -v /path/to/some/static/files:/usr/share/nginx/html:ro nginx:1.15.8-alpine посмотрел IP контейнера и смог открыть веб страничку указав http://172.17.0.2/ в браузере всё логично. более того, в docker ps в колонке портов я увидел 80, как это описано в докерфайле, но не в моей команде. далее я запустил docker run --rm -i -t --name nginxalpine -v /path/to/some/static/files:/usr/share/nginx/html:ro nginx:1.15.8-alpine bash получил баш, изменил /etc/nginx/conf.d/default.conf чтоб слушал 7777 и запустил nginx как это было описано в докерфайле: nginx -g "daemon off;" docker ps про 7777 ничего не говорит. но с хоста я могу открыть в браузере http://172.17.0.2:7777/, и из соседнего контейнера я могу стянуть контент wget-ом

никакой нетворк не указывал, т.е. используется дефолтный бридж

да, кейс аналогичный. решается походу никак

Ну, ты можешь каким-то внешним скриптом вытащить контент из конта наружу, в папку, куда будет nginx смотреть за статикой

Ну или тупо сделать реверс-прокси из нжинкса в конт с приложением. Статика сама переползёт в nginx со временем

ура ура ура. спасибо @ildaar за ссылку на старую версию документации докера. https://github.com/mistyhacks/docker.github.io/blob/8edf7c2b61e6ff59af09a421c595d65559b14c7a/engine/userguide/networking/index.md#exposing-and-publishing-ports Exposing ports is a way of documenting which ports are used, but does not actually map or open any ports. Exposing ports is optional. это опция, которая делает ничего :D

ура ура ура. спасибо @ildaar за ссылку на старую версию документации докера. https://github.com/mistyhacks/docker.github.io/blob/8edf7c2b61e6ff59af09a421c595d65559b14c7a/engine/userguide/networking/index.md#exposing-and-publishing-ports Exposing ports is a way of documenting which ports are used, but does not actually map or open any ports. Exposing ports is optional. это опция, которая делает ничего :D

блин. Я тоже самое говорил, но мне не верили

?

Ну извини, я значит плохо тебя понимал

ты же помнишь, что я говорил, что экспоуз - это только аннотация, т.е. документирование

а не фактические действия

О, это помню. Но там было в контексте докерфайла, потому я и пропустил это

ты же помнишь, что я говорил, что экспоуз - это только аннотация, т.е. документирование

пока дело не коснётся swarm

а кто им пользуется?

Хрыч

это проблемы @erzentd

Я бы вообще убил создателей контейнеров