docker exec - тоже понятная штука

Никто не говорит, что docker exec не понятная штука. Просто надоело каждый раз захидить в контейнер

не обязательно заходить в контейнер, глянь доку https://docs.docker.com/engine/reference/commandline/exec/

или что бы запустить composer install для нужного проекта(иногда их бывает много), нужно переходить в контейнер (docker exec -ti php-fpm bash), там искать нужный проект и только тогда запускать composer

Что мешает дописать эти команды в Dockerfile ?

docker exec -it CONTAINER_NAME sh -c "cd PROJECT_FOLDER/ && composer install"

хай, при запуске mtproto в докере поверх tls отдается варнинг WARNING: Published ports are discarded when using host network mode

чем лечится?

ничем, если тип host, то не надо порты публиковать

контейнер работает напрямую

docker run -d -p8443:443 --name=MTPROTO

так получается?

-p не нужно

аа

или не нужно сеть указывать

ну хорошо допишу я ее в докер файл, а потом мне надо доставить phpunit. И я опять должен дописать в докерфайл composer require phpunit/phpunit. потом перезвпустить docker-compose up -d --build

ну хорошо допишу я ее в докер файл, а потом мне надо доставить phpunit. И я опять должен дописать в докерфайл composer require phpunit/phpunit. потом перезвпустить docker-compose up -d --build

не обязательно. можно просто загадать, щёлкнуть пальцами и оно само появится

ага, именно так все это и работает)

?

или не нужно сеть указывать

да спасибо

убрал host и перетащил на другой порт

docker exec -it CONTAINER_NAME sh -c "cd PROJECT_FOLDER/ && composer install"

Спасибо. Это рабочий вариант

s/bash/npm/

Можно ссылку на доку

man sed

s/regexp/replacement/ Attempt to match regexp against the pattern space. If successful, replace that portion matched with replacement. The replacement may contain the special character & to refer to that por‐ tion of the pattern space which matched, and the special escapes \1 through \9 to refer to the corresponding matching sub-expressions in the regexp.

Господа, подскажите что-нибудь годное про микросервисы в связке с k8s (или не в связке), именно про деплой, поддержание их жизни там, про облака и прочее?

Ребят подскажите. Как правильно касательно пользовавтелей внутри контейнеров? Nginx PHP

Ребят подскажите. Как правильно касательно пользовавтелей внутри контейнеров? Nginx PHP

Правильно не использовать

Правильно не использовать

Что бы нжинкс запускался от рута внутри контейнера?

Что бы нжинкс запускался от рута внутри контейнера?

Правильно не запускать от рута

....

при сборке нужно добавлять && addgroup -g 82 -S www-data \ && adduser -u 82 -D -S -G www-data www-data \

к примеру

или нет?

Рутовые контейнеры это фейл

при сборке нужно добавлять && addgroup -g 82 -S www-data \ && adduser -u 82 -D -S -G www-data www-data \

Откуда такое айди?

блять

с гугла

ты на вопрос можешь ответить а не доебыватся?

Может быть докерфайл с адд юзер Может быть без

я и спрашиваю как правильно

Слушай малыш во первых мат выключи во вторых айди не с потолка ставят в третьих прочти документацию

бокс!

Рутовые контейнеры это фейл

Почему?

Почему?

+1

ибо это не очень секурно

и на опешнифт не запускается

кратко - возможностей для изоляции процесса, если он убежал из песочницы докера - меньше

Почему?

https://engineering.bitnami.com/articles/why-non-root-containers-are-important-for-security.html

Почему?

потому что это дефолт вообще

https://engineering.bitnami.com/articles/why-non-root-containers-are-important-for-security.html

>Because anyone who accesses your container running as root can start undesirable processes То есть некий кто-то получил доступ по SSH на мой хост, при том под рутом, ведь без него exec в контейнер не выполнишь. Добрался до аппликейшена, работающего под рутом в контейнере, и тут-то он возликовал? У меня ощущение, что если такое произошло, root в Docker проблеца -цатая. Если же нашу апликуху ломают хацкеры из вне, мне точно должно лучше спаться от мысли, что они не могут сделать rm -rf /*, и черт с ними, с дырами в ПО! Не эксплуатируются из-за недостатка прав, пусть зияют.

и на опешнифт не запускается

не запускается по дефолту, но если очень надо, то запускается после 1-2 команд.

>Because anyone who accesses your container running as root can start undesirable processes То есть некий кто-то получил доступ по SSH на мой хост, при том под рутом, ведь без него exec в контейнер не выполнишь. Добрался до аппликейшена, работающего под рутом в контейнере, и тут-то он возликовал? У меня ощущение, что если такое произошло, root в Docker проблеца -цатая. Если же нашу апликуху ломают хацкеры из вне, мне точно должно лучше спаться от мысли, что они не могут сделать rm -rf /*, и черт с ними, с дырами в ПО! Не эксплуатируются из-за недостатка прав, пусть зияют.

ты в песочницу прокидываешь эсктра пермишенны

не запускается по дефолту, но если очень надо, то запускается после 1-2 команд.

по рукам за такое и за эниайди

по рукам за такое и за эниайди

ну так то да

просто фраза неправильная прозвучала

>Because anyone who accesses your container running as root can start undesirable processes То есть некий кто-то получил доступ по SSH на мой хост, при том под рутом, ведь без него exec в контейнер не выполнишь. Добрался до аппликейшена, работающего под рутом в контейнере, и тут-то он возликовал? У меня ощущение, что если такое произошло, root в Docker проблеца -цатая. Если же нашу апликуху ломают хацкеры из вне, мне точно должно лучше спаться от мысли, что они не могут сделать rm -rf /*, и черт с ними, с дырами в ПО! Не эксплуатируются из-за недостатка прав, пусть зияют.

И да, и нет. Прочти, что я написал

Если у меня рутовый контейнер я могу заюзать багу в докере и выбраться из песочницы и тогда все кирдык всему

Если у меня рутовый контейнер я могу заюзать багу в докере и выбраться из песочницы и тогда все кирдык всему

+1

что за супер бага ?

Если у меня рутовый контейнер я могу заюзать багу в докере и выбраться из песочницы и тогда все кирдык всему

капитан, остановитесь :)

Так месяца еще не прошло как патчили дыру, с которой ты мог выбраться в host root и без рута в Докере (надеюсь я сейчас не ошибаюсь)

капитан, остановитесь :)

ну просят про базу же

Так месяца еще не прошло как патчили дыру, с которой ты мог выбраться в host root и без рута в Докере (надеюсь я сейчас не ошибаюсь)

И?

Это другая история

Так месяца еще не прошло как патчили дыру, с которой ты мог выбраться в host root и без рута в Докере (надеюсь я сейчас не ошибаюсь)

а где гарантия что она не появится?

Хотя они все параллельны

где гарантия что не будет другой дыры или 0-day

Так давайте делать контейнеры вообще без пользователей, если даже есть прецедент повышения прав, да еще и на хостовой машине

приветы. вопрос такой. У меня есть некая хранилка общая к которой компы через fstab подключаются. И вот я хочу сделать аналогичные маунты внутри контейнера. Для этого есть чтото что можнопробить в докеркомпозе и оно заработало? или какието еще инструменты может. Или надо просто в докерфайле заполнять fstab так же как обычно? маунт делается по ip

просто я пока монтировал только локальные пути в контейнер и как с сетвым делать пока не понял

всем ? есть ли какой-нибудь безболезненный способ собирать логи из контейнеров (запущенных компоузом), которые пишут в свои stdout/stderr? собственно, интересует только способ их собирать (желательно в более-менее реальном времени). нашёл вот такую штуку github.com/ahmetb/dlog (читает логи контейнера по апихе через /var/run/docker.sock), но его выдачу нужно дополнительно парсить: отрезать таймстемпы и группировать многострочные логи (например, панику со стектрейсом).

всем ? есть ли какой-нибудь безболезненный способ собирать логи из контейнеров (запущенных компоузом), которые пишут в свои stdout/stderr? собственно, интересует только способ их собирать (желательно в более-менее реальном времени). нашёл вот такую штуку github.com/ahmetb/dlog (читает логи контейнера по апихе через /var/run/docker.sock), но его выдачу нужно дополнительно парсить: отрезать таймстемпы и группировать многострочные логи (например, панику со стектрейсом).

можешь слать слоги куда нибудь ( kibana/graylog/etc) по gelf

можешь слать слоги куда нибудь ( kibana/graylog/etc) по gelf

вот как раз смотрю доку по gelf. а они потом не остаются локально? чтобы, например, если понимаешь, что что-то не дошло до логирующего сервиса, зайти и ручками сделать docker-compose logs?

вот как раз смотрю доку по gelf. а они потом не остаются локально? чтобы, например, если понимаешь, что что-то не дошло до логирующего сервиса, зайти и ручками сделать docker-compose logs?

свалят

можн заюзать fluend

Всем привет, кто то с pm2 на докере работал? пишу в докерфайл: RUN cd /var/www/ && pm2 start queue.json && pm2 start monitoring.js

при билде команды успешно выполняются все ок, но в pm2 list все пусто после старта контейнера, как так?

Всем привет, кто то с pm2 на докере работал? пишу в докерфайл: RUN cd /var/www/ && pm2 start queue.json && pm2 start monitoring.js

Run запускается во время билла ?‍♂

а в чем разница?

типа при билде он перезапускает контейнер?

при билде он билдит имедж

ну команды ведь эти он в контейнере выполняет?

В контейнере выполняется то что ты пишешь в CMD

Latest commit d6079c0 @ https://github.com/g0x7f/devOps-patch MySQL 8 for Administrators : http://bit.ly/2IEqI0O CBT Nuggets - Database Fundamentals: http://bit.ly/2Nw8VYq Introduction to MongoDB: http://bit.ly/2Uafu5w O'Reilly - Berglund and McCullough on Mastering Cassandra for Architects: http://bit.ly/2BWlp6Y The Ultimate MySQL Bootcamp: Go from SQL Beginner to Expert: http://bit.ly/2IFytU2 Udemy - The Complete SQL Bootcamp: http://bit.ly/2BTbbEk

всем привет. подскажите, .env при сборке имейджа зашивать внутрь него по феншую или он должен монтироваться извне в контейнер, где будет крутиться имейдж?

CMD я как понял один раз выполняется? его надо направлять на файл, где все остальные команды будут запускаться, что нужны на контейнере?

CMD я как понял один раз выполняется? его надо направлять на файл, где все остальные команды будут запускаться, что нужны на контейнере?

это мне? =)

не знаю, всем)