Гитлаб умеет

И делает эт очень прозрачно

Пушнул коммит, тебе и сборка, и докер регистри

И деплой

Всем привет,

как усилить защиту в docker container, не хочу чтоб при взломе случайном, взломщики смогли лазить по всему контейенру, никто не должен попасть ниже директории /var/www/ --- может какие-нибудь еще рекоменадции по защите

о каком взломе идет речь?

взломе на уровне софта,

единственный вариант пробраться это если случайно в программе окажется дырка

создай внутри отдельного юзера и сделай chmod/chown куда нельзя ходить

но я буду рад услышать любые рекомендации

то есть на папку /var/www это сделать

и запускай софт от этого юзера

мне говорили просто что это бесмысленно, так как контейнеры все равно под рутом запускаются

докер контеинеры?

да

не знаю кто тебе такое сказал)

LPE возможно при отсутствии обновления ядра

Привет! Подскажите - есть хостовая машина в ней запускаю контейнер mysql. К нему надо подключаться другими контейнерами из других docker-composer.yml. У mysql по inspect ip: 172.19.0.2 Как правильно его пробросить в те? вв

Что лучше всего сделать?

Делать доступ по ip практика не нравится - может IP же поменяться или как?

Если кроме как links?

забиндить на хостовой машине порт на этот контейнер и цепляться к ней?

Если они находятся в одной сети, то по IP. В этом случае на хост пробрсывать ни чего не надо.

мне говорили просто что это бесмысленно, так как контейнеры все равно под рутом запускаются

По умолчанию под рутом но их можно запустить или собрать для другого пользователя

По умолчанию под рутом но их можно запустить или собрать для другого пользователя

есть же gosu или трик с USER

Привет, подкажите, почему не пробрасывается порт контейнера ? на дебиан не пробрасывается, а на centos такой же точно командой все норм.. так полагаю, что в ети надо смотреть ,

фрмард включил

root@debian64:~# sysctl -p net.ipv4.ip_forward = 1

но чтот не помогло, может еще чего-то нужно сделать

покажи докерфайл и команду для запуска

покажи докерфайл и команду для запуска

docker run --privileged --name process-exporter -d -v /proc:/host/proc -p 9256:9256 adsterra/process-exporter:master -procfs /host/proc -procnames postgres,pgbouncer,pgqd,londiste,londiste3,nginx,bash,prometheus,php5-fpm,nginx,upstart:-user -namemapping "upstart,(-user)"

такой командой скачивается и запускается образ.но на одной системе порты мапятся, на другой - нет

на centos норм [root@localhost ~]# docker ps CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES dc119ba826b2 adsterra/process-exporter:master "/go/src/github.co..." 23 minutes ago Up 23 minutes 0.0.0.0:9256->9256/tcp process-exporterа на debian нет: root@debian64:~# docker ps CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 0f798341a9fb adsterra/process-exporter:master "/go/src/github.co..." 23 minutes ago Up 23 minutes process-exporter

думаю, что дело в nfconntrack модуле.его нет в этой системе

какжется нашел проблему docker info выдает :

WARNING: No memory limit support WARNING: No swap limit support WARNING: No kernel memory limit support WARNING: No oom kill disable support WARNING: No cpu cfs quota support WARNING: No cpu cfs period support WARNING: bridge-nf-call-iptables is disabled WARNING: bridge-nf-call-ip6tables is disabledкак пофиксить, кто знает?

посоны, поясните за пересборку контейнера я пересобираю образ (build с изменениями в Dockerfile) локально и мне надо перестартовать контейнер со свежесобранного образа сейчас я отсанвливаю/дропаю контейнер и запускаю заного есть ли способ рестартить без вот этого вот? а то лень переписывать все параметры run’а

посоны, поясните за пересборку контейнера я пересобираю образ (build с изменениями в Dockerfile) локально и мне надо перестартовать контейнер со свежесобранного образа сейчас я отсанвливаю/дропаю контейнер и запускаю заного есть ли способ рестартить без вот этого вот? а то лень переписывать все параметры run’а

docker-compose pull / up -d

Добрый день, подскажите кто знает какой лучший способ для работы с томами?

нашел статью, пишут что до версии 1.10 было актуально следующее: Bind-mounts — монтирование внешних папок параметром -v /host:/container (как в статье про MySQL внутри Докера). Data-only containers — создание специального контейнера-спутника и использование его файловой системы для хранения данных (параметр —volumes-from).

https://blog.amartynov.ru/docker-named-volumes/

везде где смотрю используется чаще всего -v

а в официальной доке написано —volumes-from https://docs.docker.com/engine/examples/postgresql_service/#testing-the-database

или использоватьименованые тома?

или использоватьименованые тома?

именованные тома вроде бы норм

вот я тоже вроде пришел к такому выводу, хотел узнать, кто как использует

а какие варианты их использования кроме обеспечения перманентности данных есть?

или о чем вопрос?

не правильно задал вопрос, кто использует -v, кто -volumes-from и кто именует тома

Разница, как я понял, в том, что при -v просто прокидывается папка с хоста. А при --volumes-from можно вообще примонтировать какой-нибудь S3 бакет, или другой том со своей ФС

Нас в группе 666! Во славу сотоне, конечно же

не правильно задал вопрос, кто использует -v, кто -volumes-from и кто именует тома

я использую проброс и именованные тома. первый нужен для того, что контейнер создаёт файлы конфигурации, а второй под бд

и соот. мне нужно сохранять файлы конфигурации в гит

всем спасибо за информацию)

осознал)

Всем привет:) Уже 667 :)

такое хорошее число мемберов было =(

всегда можно пару кикнуть

Господа, собсно такой вопрос: собираю я свой образ lamp, как мне подключить внешнюю папку (которая будет за пределами образа), как свою папку с сайтом?

Чтоб я мог легко менять ее данные. Можно просто ссылкой, где покурить (или название того, как это вообще называется)

Разница, как я понял, в том, что при -v просто прокидывается папка с хоста. А при --volumes-from можно вообще примонтировать какой-нибудь S3 бакет, или другой том со своей ФС

а можно как-нибудь зашарить 1 том на 2 хоста? т.е. чтобы данные былин на томе хост01, но хост02 тоже мог с ними работать?

так это оно и есть

без EBS, GCE, S3 и тд

указываешь папку через -v например для двух контейнеров и они шарят данные в этой папке между собой

я имею ввиду, если два контейнера на двух серверах находятся разных.

Чтоб я мог легко менять ее данные. Можно просто ссылкой, где покурить (или название того, как это вообще называется)

volume

volume

Окс. Благодарю!

Привет сообщество, при старте докера через dockerd --bip=172.20.0.1/16 создаются еще 4 bridge один из которых занимает 172.20.0.1 Что не дает docker0 занять подсеть. Что с этим делать?

подскажите пожалуйста, я создал том, потом заполнил образ и привязал к нему этот том, но понять не могу где находятся файлы на моей машине

docker volume inspect vol-pg-data [ { "Driver": "local", "Labels": {}, "Mountpoint": "/var/lib/docker/volumes/vol-pg-data/_data", "Name": "vol-pg-data", "Options": {}, "Scope": "local" } ]

такой папки на моем компьютере не существует: /var/lib/docker/volumes/vol-pg-data/_data

как создавал то?

docker volume create —name=vol-pg-data

окей, тебе файлы из тома нужны или где сам том лежит?

просто хочу посмотреть где реальные данные лежат ну и сам том тоже

подскажите пожалуйста, я создал том, потом заполнил образ и привязал к нему этот том, но понять не могу где находятся файлы на моей машине

покажи, как примонтировал

docker run -d -e POSTGRES_PASSWORD=N3Hb8sgpAwgr -e POSTGRES_USER=pgadgarb -v vol-pg-data:/data/postgres -v —name cont-postgres postgres

ой еще один -v

лишний

docker run -d -e POSTGRES_PASSWORD=N3Hb8sgpAwgr -e POSTGRES_USER=pgadgarb -v vol-pg-data:/data/postgres -v —name cont-postgres postgres

чем обусловлен такой выбор директории?

у меня пострес на /var/lib/postgresql/data

емае

https://github.com/docker-library/postgres/blob/5159417968c6a08e2ed784498cba28f22a74b03e/9.6/Dockerfile#L62

большой спасибо))

вот это я затупил

вот оф на докер файл

вот оф на докер файл

спс, пригодится

и там такой путь, на который нужно моунтить