@docker_ru

Страница 105 из 1375

Bogdan (SirEdvin)

06.03.2017
11:30:46

Да, это было бы идеально, только я не совсем понимаю эти модули, они допустим могут легко создать контейнер, обновить его и т.д. но как слинковать их по типу того как делает compose не совсем понимаю. тут есть еще такой момент, я бы не хотел затачивать сами плейбуки именно под докер, т.к. они используются не только с докером, хотелось бы решить какой-то высокоуровневой надстройкой над всем этим

1. А вам точно нужна линковка? Возможно, лучше развернуть в хостовой сети, что бы не было оверхедов? 2. А так нужно создать через docker_network и уже привязывать там контейнеры, указывая сети в docker_container модуле

Nikolay

06.03.2017
11:30:47

Хорошо бы найти материалы с похожим опытом, идеально примеры

SarDigital

06.03.2017
11:31:32

https://www.ansible.com/ansible-container

вот же есть

Google

Nikolay

06.03.2017
11:33:57

https://www.ansible.com/ansible-container

о, вот этого я не видел, видел только модули для тасков, спасибо, буду изучать.

Bogdan (SirEdvin)

06.03.2017
11:44:09

все дело в systemd и в разнице написании в docker.service в debian и убунту

Я бы сразу предложил, если это будет использовать более-менее серьезно, купить домен и https. Иначе это будет ад с insecure-registry, который в самом докере работает через задницу

SarDigital

06.03.2017
11:54:58

да вроде нормально пуллит и пушит

домен то есть, денег на сертификаты нет

собсно можно теперь и заморочиться летс энкриптом...

Bogdan (SirEdvin)

06.03.2017
11:58:33

да вроде нормально пуллит и пушит

Просто при каждом обновлении, например, слетает настройка)

SarDigital

06.03.2017
11:58:56

Просто при каждом обновлении, например, слетает настройка)

можно костылем решить

Oleg ?

06.03.2017
13:06:39

ребзя

кто может объяснить загадки iptables и docker

есть контейнер, идет проброс 443 порта.

есть второй контейнер на этой же машине, и из него не доступен telnet EXTERNALIP(WHITEIP) 443

как выяснилось это потому что policy ACCEPT DROP но

ACCEPT tcp — anywhere anywhere tcp dpt:https

Google

Oleg ?

06.03.2017
13:08:51

ой) policy INPUT DROP

как только делаю ACCEPT все работает

WTF

?

надо чтоб было INPUT DROP но с accept 443

собственно как и сделано, но почему то не работает. причем именно с локального контейнера! с моей локальной машины я нормально иду по 443

Andrey

06.03.2017
16:31:14

expose есть?

Alex

07.03.2017
06:08:14

народ, а как сделать чтобы контейнеры автостартовали после перезагрузки компа?

Boris

07.03.2017
06:10:35

народ, а как сделать чтобы контейнеры автостартовали после перезагрузки компа?

Скрипт в автозагрузку?

Alex

07.03.2017
06:13:57

нет. команда есть авторестарта. не помню ее просто

типа —autorestart

Konstantin

07.03.2017
06:48:27

https://docs.docker.com/engine/reference/commandline/run/#restart-policies---restart

Bogdan (SirEdvin)

07.03.2017
06:51:00

народ, а как сделать чтобы контейнеры автостартовали после перезагрузки компа?

restart: always поможет

Roman

07.03.2017
06:52:07

в systemd можно сервисом сделать который поднимается после рестарта

рестарта системы

Alex

07.03.2017
06:56:57

судя по описанию —restart=always это команда помогает если контейнер вылетел. а мне надо чтобы после перезагрузки компа все контейнеры сами рестартовали

Konstantin

07.03.2017
07:04:23

судя по описанию —restart=always это команда помогает если контейнер вылетел. а мне надо чтобы после перезагрузки компа все контейнеры сами рестартовали

Поднял машинку через вагрант, заранил контейнер с --restart=always, вышел из машинки, остановил ее, включил обратно => контейнер запустился. Остальные опыты за вами)

Andrey

07.03.2017
07:04:54

судя по описанию —restart=always это команда помогает если контейнер вылетел. а мне надо чтобы после перезагрузки компа все контейнеры сами рестартовали

https://blog.codeship.com/ensuring-containers-are-always-running-with-dockers-restart-policy/

Наглядно и с примерами ;)

Timur

07.03.2017
07:34:31

Привет. В чем реальное преимущество использования Rancher + Kubernetes по сравнению с чистым Kubernetes? Load balancing и там и там, UI тоже. Разве что настройка Kubernetes значительно проще через Rancher, и добавление/сетап нод. Есть какие-то ещё весомые плюсы?

Google

Alex

07.03.2017
07:41:18

а если контейнер на одной машине запускается а папка для него на другой машине то как ее прокинуть через сеть в контейнер?

SarDigital

07.03.2017
07:46:38

https://blog.codeship.com/ensuring-containers-are-always-running-with-dockers-restart-policy/

в дополнение скажу, можно здесь изменить /var/lib/docker/containers/номер контейнера/hostconfig.json для запуска уже созданного контейнера

RestartPolicy":{"Name":"no"

сами знаете на что... :)

через docker inspect можно найти номер

Boris

07.03.2017
08:20:02

подскажите, примерно, как должен выглядеть плэйбук (ansible), для того, тобы спулить контейнер в доккерхаба..

Mike

07.03.2017
08:29:12

- name: Pull image docker_image: name: "image_name" tag: "1.0"

вполне себе пулит

Boris

07.03.2017
08:41:20

- name: Pull image docker_image: name: "image_name" tag: "1.0"

спасибо, сейчас попробую

вполне себе пулит

создал по образу - name: Process exporter docker_image: name: "adsterra/process-exporter" tag: "master"

но что-т ощшибками заваливает

ааа.ща.вроде заваисимости как-то нужно разрешить по питону

Vladimir

07.03.2017
09:15:14

Добрый день, подскажите пожалуйста: периодически подвисает контейнер, при рестарте оного докер ругается: iptables failed: iptables -t filter -A DOCKER ! -i docker0 -o docker0 -p tcp -d 172.17.0.10 —dport 443 -j ACCEPT: iptables: No chain/target/match by that name лечится только: service docker restart до следующего раза, куда копать?

Andrey

07.03.2017
09:18:06

багу заводить скорее всего только

Denis

07.03.2017
09:28:16

Добрый день, подскажите пожалуйста: периодически подвисает контейнер, при рестарте оного докер ругается: iptables failed: iptables -t filter -A DOCKER ! -i docker0 -o docker0 -p tcp -d 172.17.0.10 —dport 443 -j ACCEPT: iptables: No chain/target/match by that name лечится только: service docker restart до следующего раза, куда копать?

Каким инструментом рулите фаерволом?

Скорее всего он перетерает цепочки докера

Andrew

07.03.2017
09:30:28

у меня был конфликт на centos между firewalld и iptables, пока полностью не выпилил firewalld - все работало крайне не стабильно

Vladimir

07.03.2017
09:30:31

Скорее всего он перетерает цепочки докера

В логах iptables должны фиксироваться эти изменения?

Denis

07.03.2017
09:30:45

А существуют логи iptables?

Andrew

07.03.2017
09:31:08

А существуют логи iptables?

tcpdump ?

Google

Denis

07.03.2017
09:31:19

tcpdump это сниффер

Andrew

07.03.2017
09:31:42

логов маршрутизации быть не может )) поэтому и есть tcpdump

Denis

07.03.2017
09:31:59

маршрутизация и iptables совершенно разные сущности, не путайте людей

Andrew

07.03.2017
09:32:55

ok, просто у меня проблема была с тем, что при создании правил в iptables пропадали в цепочкам дестинейшены и из-за этого трафик отдавался из контейнеров к таком хаотичном порядке

Denis

07.03.2017
09:33:11

В логах iptables должны фиксироваться эти изменения?

Посмотрите в сторону того как вы инициализируете фаервол и каким образом вносите в него изменения. Если это самописный скрипт или же какой то инструмент с вероятностью 99% он не учитывает тех изменений которые вносит докер в iptables при старте

Vladimir

07.03.2017
09:33:58

Посмотрите в сторону того как вы инициализируете фаервол и каким образом вносите в него изменения. Если это самописный скрипт или же какой то инструмент с вероятностью 99% он не учитывает тех изменений которые вносит докер в iptables при старте

ок, спасибо, буду ковырять

Посмотрите в сторону того как вы инициализируете фаервол и каким образом вносите в него изменения. Если это самописный скрипт или же какой то инструмент с вероятностью 99% он не учитывает тех изменений которые вносит докер в iptables при старте

csf может быть причиной?

Aleksandr

07.03.2017
09:51:59

csf может быть причиной?

почти наверняка, ибо он перезаписывает правила под себя при запуске

Vladimir

07.03.2017
09:52:19

почти наверняка, ибо он перезаписывает правила под себя при запуске

ясно, спасибо

Aleksandr

07.03.2017
09:52:30

есть проекты, которые вроде как пытаются решить эту проблему: https://github.com/juliengk/csf-post-docker

Nikolay

07.03.2017
10:25:38

Привет. В чем реальное преимущество использования Rancher + Kubernetes по сравнению с чистым Kubernetes? Load balancing и там и там, UI тоже. Разве что настройка Kubernetes значительно проще через Rancher, и добавление/сетап нод. Есть какие-то ещё весомые плюсы?

,,,,,,... Наверное лучше спросить в чатике про Кубернетес https://t.me/kubernetes_ru

Timur

07.03.2017
11:12:05

,,,,,,... Наверное лучше спросить в чатике про Кубернетес https://t.me/kubernetes_ru

о, отлично, спасибо.

Boris

07.03.2017
13:30:26

вполне себе пулит

спасибо. доккер спулился, а как передать параметры и запустить его через ансибл? например, он у меня запускается так docker run --privileged --name pexporter -d -v /proc:/host/proc -p 127.0.0.1:9256:9256 process-exporter:master -procfs /host/proc -procnames postgres,chromium-browse,bash,prometheus,gvim,upstart:-user -namemapping "upstart,(-user)" как это в ансибл завернуть?

Igor

07.03.2017
14:55:49

https://t.me/vr_news

Андрей

07.03.2017
15:27:53

господа, поясните, пожалуйста, зачем нужен a data volume container, в чем его преимущество перед монтированием host-директории опцией -v ?

n4nn31355

07.03.2017
15:39:48

господа, поясните, пожалуйста, зачем нужен a data volume container, в чем его преимущество перед монтированием host-директории опцией -v ?

Я для себя нашёл два преимущества: - можно удобно шарить между контейнерами; - маунтится раздел с данными полученными в процессе билда(например ты в хомяке юзеров уже создал при билде и хочешь чтобы они хранились на машине вне зависимости от удаления/апдейта образа/контейнера)

Есть в докере возможность вызывать ONBUILD триггеры всех/определённого предка? Например у меня есть onbuild образ, поверх него ещё один и я хочу положить ещё один сверху и при этом выполнить ONBUILD директивы первого

Андрей

07.03.2017
15:50:40

Я для себя нашёл два преимущества: - можно удобно шарить между контейнерами; - маунтится раздел с данными полученными в процессе билда(например ты в хомяке юзеров уже создал при билде и хочешь чтобы они хранились на машине вне зависимости от удаления/апдейта образа/контейнера)

По поводу п.1. В чем удобство по сравнению с обычным монтированием каталога внутрь контейнера? Или могут возникнуть проблемы при монтировании одного каталога в несколько контейнеров? п.2: насколько я понимаю, данные в data volumes не удаляются при удалении/обновлении образов/контейнеров. поправьте меня, если я в чем-то не прав

Andrey

07.03.2017
16:00:26

По поводу п.1. В чем удобство по сравнению с обычным монтированием каталога внутрь контейнера? Или могут возникнуть проблемы при монтировании одного каталога в несколько контейнеров? п.2: насколько я понимаю, данные в data volumes не удаляются при удалении/обновлении образов/контейнеров. поправьте меня, если я в чем-то не прав

Использование data volume container-ов - это устаревший способ шаринга данных между контейнерами. никаких преимуществ нет. В настоящий момент времени рекомендуется использовать исключительно volumes, хоть возможность использования data volume container-ов все еще остается.

Андрей

07.03.2017
16:00:57

Спасибо за ответ.

Google

Andrey

07.03.2017
16:01:09

не за что!

Boris

07.03.2017
16:16:43

Подскажите, пожалуйста. Каким образом можно передать параматры доккеру, через плэйбук (ansible) ? например -procnames postgres,chromium-browse,bash,prometheus,gvim,upstart:-user -namemapping "upstart,(-user)"

Andrey

07.03.2017
16:54:30

Переменная окружения например

Но это какой-то докер для бедных

Проще один раз собрать образ и пушнуть

Смысл билдить внутри

Boris

07.03.2017
17:39:57

Смысл билдить внутри

Для разных сервачков- параметры отличаются, по этой причине

Egor