
George
27.02.2019
08:04:53
docker exec - тоже понятная штука

Artiom
27.02.2019
08:13:08
Никто не говорит, что docker exec не понятная штука. Просто надоело каждый раз захидить в контейнер

ildar
27.02.2019
08:17:56
не обязательно заходить в контейнер, глянь доку
https://docs.docker.com/engine/reference/commandline/exec/

Artiom
27.02.2019
08:21:57
или что бы запустить composer install для нужного проекта(иногда их бывает много), нужно переходить в контейнер (docker exec -ti php-fpm bash), там искать нужный проект и только тогда запускать composer

Google

ildar
27.02.2019
08:24:10
Что мешает дописать эти команды в Dockerfile ?

Petr
27.02.2019
08:24:44
docker exec -it CONTAINER_NAME sh -c "cd PROJECT_FOLDER/ && composer install"

VON
27.02.2019
08:26:13
хай, при запуске mtproto в докере поверх tls отдается варнинг WARNING: Published ports are discarded when using host network mode
чем лечится?

Алексей
27.02.2019
08:26:42
ничем, если тип host, то не надо порты публиковать
контейнер работает напрямую

VON
27.02.2019
08:27:16
docker run -d -p8443:443 --name=MTPROTO
так получается?

Алексей
27.02.2019
08:27:23
-p не нужно

VON
27.02.2019
08:27:25
аа

Алексей
27.02.2019
08:27:31
или не нужно сеть указывать

Artiom
27.02.2019
08:28:00
ну хорошо допишу я ее в докер файл, а потом мне надо доставить phpunit. И я опять должен дописать в докерфайл composer require phpunit/phpunit. потом перезвпустить docker-compose up -d --build

ildar
27.02.2019
08:29:27

Google

Artiom
27.02.2019
08:30:21
ага, именно так все это и работает)

ildar
27.02.2019
08:30:40
?

VON
27.02.2019
08:32:29
убрал host и перетащил на другой порт

Artiom
27.02.2019
08:40:43

ildar
27.02.2019
08:59:06
man sed
s/regexp/replacement/
Attempt to match regexp against the pattern space. If successful, replace that portion matched with replacement. The replacement may contain the special character & to refer to that por‐ tion of the pattern space which matched, and the special escapes \1 through \9 to refer to the corresponding matching sub-expressions in the regexp.

Ilya
27.02.2019
09:52:13
Господа, подскажите что-нибудь годное про микросервисы в связке с k8s (или не в связке), именно про деплой, поддержание их жизни там, про облака и прочее?

Sailor
27.02.2019
10:23:49
Ребят подскажите.
Как правильно касательно пользовавтелей внутри контейнеров?
Nginx
PHP

Iurii
27.02.2019
10:24:33

Sailor
27.02.2019
10:25:11

Iurii
27.02.2019
10:27:00

Sailor
27.02.2019
10:27:27
....
при сборке нужно добавлять
&& addgroup -g 82 -S www-data \
&& adduser -u 82 -D -S -G www-data www-data \
к примеру
или нет?

Iurii
27.02.2019
10:28:04
Рутовые контейнеры это фейл

Sailor
27.02.2019
10:28:20
блять

Google

Sailor
27.02.2019
10:28:22
с гугла
ты на вопрос можешь ответить а не доебыватся?
Может быть докерфайл с адд юзер
Может быть без
я и спрашиваю как правильно

Iurii
27.02.2019
10:29:39
Слушай малыш во первых мат выключи во вторых айди не с потолка ставят в третьих прочти документацию

Pit
27.02.2019
10:29:52
бокс!

Viktor
27.02.2019
10:31:42

George
27.02.2019
10:33:54
ибо это не очень секурно
и на опешнифт не запускается
кратко - возможностей для изоляции процесса, если он убежал из песочницы докера - меньше

Iurii
27.02.2019
10:39:02
Почему?
https://engineering.bitnami.com/articles/why-non-root-containers-are-important-for-security.html

Sergey
27.02.2019
10:42:42
Почему?
потому что это дефолт вообще

Viktor
27.02.2019
10:47:11
https://engineering.bitnami.com/articles/why-non-root-containers-are-important-for-security.html
>Because anyone who accesses your container running as root can start undesirable processes
То есть некий кто-то получил доступ по SSH на мой хост, при том под рутом, ведь без него exec в контейнер не выполнишь. Добрался до аппликейшена, работающего под рутом в контейнере, и тут-то он возликовал?
У меня ощущение, что если такое произошло, root в Docker проблеца -цатая.
Если же нашу апликуху ломают хацкеры из вне, мне точно должно лучше спаться от мысли, что они не могут сделать rm -rf /*, и черт с ними, с дырами в ПО! Не эксплуатируются из-за недостатка прав, пусть зияют.

Vladimir
27.02.2019
10:48:34

Iurii
27.02.2019
10:48:44
>Because anyone who accesses your container running as root can start undesirable processes
То есть некий кто-то получил доступ по SSH на мой хост, при том под рутом, ведь без него exec в контейнер не выполнишь. Добрался до аппликейшена, работающего под рутом в контейнере, и тут-то он возликовал?
У меня ощущение, что если такое произошло, root в Docker проблеца -цатая.
Если же нашу апликуху ломают хацкеры из вне, мне точно должно лучше спаться от мысли, что они не могут сделать rm -rf /*, и черт с ними, с дырами в ПО! Не эксплуатируются из-за недостатка прав, пусть зияют.
ты в песочницу прокидываешь эсктра пермишенны

Vladimir
27.02.2019
10:49:13
просто фраза неправильная прозвучала

George
27.02.2019
10:49:38
>Because anyone who accesses your container running as root can start undesirable processes
То есть некий кто-то получил доступ по SSH на мой хост, при том под рутом, ведь без него exec в контейнер не выполнишь. Добрался до аппликейшена, работающего под рутом в контейнере, и тут-то он возликовал?
У меня ощущение, что если такое произошло, root в Docker проблеца -цатая.
Если же нашу апликуху ломают хацкеры из вне, мне точно должно лучше спаться от мысли, что они не могут сделать rm -rf /*, и черт с ними, с дырами в ПО! Не эксплуатируются из-за недостатка прав, пусть зияют.
И да, и нет. Прочти, что я написал

Google

Iurii
27.02.2019
10:49:52
Если у меня рутовый контейнер я могу заюзать багу в докере и выбраться из песочницы и тогда все кирдык всему

George
27.02.2019
10:50:10

Artur
27.02.2019
10:50:20
что за супер бага ?

Vladimir
27.02.2019
10:50:22

Viktor
27.02.2019
10:50:33
Так месяца еще не прошло как патчили дыру, с которой ты мог выбраться в host root и без рута в Докере (надеюсь я сейчас не ошибаюсь)

Iurii
27.02.2019
10:50:46

George
27.02.2019
10:50:49
Это другая история

Iurii
27.02.2019
10:51:00

George
27.02.2019
10:51:04
Хотя они все параллельны

Iurii
27.02.2019
10:51:29
где гарантия что не будет другой дыры или 0-day

Viktor
27.02.2019
10:51:30
Так давайте делать контейнеры вообще без пользователей, если даже есть прецедент повышения прав, да еще и на хостовой машине

Гийденко
27.02.2019
11:22:04
приветы. вопрос такой. У меня есть некая хранилка общая к которой компы через fstab подключаются. И вот я хочу сделать аналогичные маунты внутри контейнера. Для этого есть чтото что можнопробить в докеркомпозе и оно заработало? или какието еще инструменты может. Или надо просто в докерфайле заполнять fstab так же как обычно?
маунт делается по ip
просто я пока монтировал только локальные пути в контейнер и как с сетвым делать пока не понял

Anton
27.02.2019
11:35:56
всем ? есть ли какой-нибудь безболезненный способ собирать логи из контейнеров (запущенных компоузом), которые пишут в свои stdout/stderr? собственно, интересует только способ их собирать (желательно в более-менее реальном времени). нашёл вот такую штуку github.com/ahmetb/dlog (читает логи контейнера по апихе через /var/run/docker.sock), но его выдачу нужно дополнительно парсить: отрезать таймстемпы и группировать многострочные логи (например, панику со стектрейсом).

Artur
27.02.2019
11:38:48

Anton
27.02.2019
11:43:48

Artur
27.02.2019
11:54:06
можн заюзать fluend

webfather
27.02.2019
12:26:41
Всем привет, кто то с pm2 на докере работал?
пишу в докерфайл:
RUN cd /var/www/ && pm2 start queue.json && pm2 start monitoring.js

Google

webfather
27.02.2019
12:26:58
при билде команды успешно выполняются все ок, но в pm2 list все пусто после старта контейнера, как так?

Mikalai
27.02.2019
12:29:52

webfather
27.02.2019
12:30:20
а в чем разница?
типа при билде он перезапускает контейнер?

Viktor
27.02.2019
12:31:02
при билде он билдит имедж

webfather
27.02.2019
12:34:10
ну команды ведь эти он в контейнере выполняет?

Viktor
27.02.2019
12:34:37
В контейнере выполняется то что ты пишешь в CMD

0x7f
27.02.2019
14:36:31
Latest commit d6079c0 @ https://github.com/g0x7f/devOps-patch
MySQL 8 for Administrators : http://bit.ly/2IEqI0O
CBT Nuggets - Database Fundamentals: http://bit.ly/2Nw8VYq
Introduction to MongoDB: http://bit.ly/2Uafu5w
O'Reilly - Berglund and McCullough on Mastering Cassandra for Architects: http://bit.ly/2BWlp6Y
The Ultimate MySQL Bootcamp: Go from SQL Beginner to Expert: http://bit.ly/2IFytU2
Udemy - The Complete SQL Bootcamp: http://bit.ly/2BTbbEk

Pavel
27.02.2019
14:54:48
всем привет. подскажите, .env при сборке имейджа зашивать внутрь него по феншую или он должен монтироваться извне в контейнер, где будет крутиться имейдж?

webfather
27.02.2019
14:58:41
CMD я как понял один раз выполняется? его надо направлять на файл, где все остальные команды будут запускаться, что нужны на контейнере?

Pavel
27.02.2019
15:02:00

webfather
27.02.2019
15:02:13
не знаю, всем)