во-первых, тебе нефиг передавать свои UID & GID

это нужно только тогда, когда у тебя пять разрабов пытаются на одном сервере пастись и каждый хочет докер запускать. Но это явно архитектурная проблема

стоит сразу на куб перекатываться

вторая история, что у тебя образы должны быть с непривилегированным пользователем

Спасибо, сейчас буду еще это пробовать

А если нового пользователя добавишь? Логгинится? Не уверен что уловил суть проблемы.

чтобы в случае выхода из песочницы докера разрушения были минимальны

в этом отношении опеншифт правильно делает, что форсит безопасность

что нгапример?

во-первых, тебе нефиг передавать свои UID & GID

Создаю права на вольюмы таким образом. Сервисы общаеются через unix sockets

ты что-то делаешь не так. явно

давай кейс подробнее

Есть мариядб. Она слушает на сокете. Другие сервисы подрубаются к этому сокету.

Другие сервисы слушают на своих сокетах

Не через тцп порты

Взаимодействие

мария - в докере?

другие сервисы - это что?

мария - в докере?

Да. Другие это нодежс приложения общаются меж друг другом по протоколу json-socket

больше деталей

диаграмму

мне кажется, что стоит переделать на тсп взаимодействие

потому что тебе это все равно делать в будущем

Не я не хочу вас эксплуатировать. Там много всего. Может вы просто подскажите какую нибудь статью про бест практисес для докер компоуз?

не использовать его

Компоуз? Или юникс сокеты?

и то, и то

А что вместо компоуз?

куб

Можно ссылку я не в курсе что это

https://kubernetes.io/

Ааа.

а вместо компоуза посмотри https://docs.ansible.com/ansible/latest/modules/docker_container_module.html

тебе все равно ci/cd строить

явно, что у тебя оболочка должна была при логине насрать логами. Сравни два трейса

Кроме syslog что еще можно попинать? Пока ничего не нашел(

Кроме syslog что еще можно попинать? Пока ничего не нашел(

/var/log/*/** ?

/var/log/*/** ?

Кроме syslog вообще ничего по делу нету(

apparmor?

apparmor?

Нет, так же

https://gist.github.com/Hunternnm/7adf1eea973b9a18537e3478cd7f96c3 может я чего не вижу?

Mar 2 12:26:17 home /usr/lib/gdm3/gdm-x-session[1288]: (II) NVIDIA(0): Setting mode "DFP-1:nvidia-auto-select" Mar 2 12:26:17 home kernel: [ 8.872513] ------------[ cut here ]------------ Mar 2 12:26:17 home kernel: [ 8.872516] Bad or missing usercopy whitelist? Kernel memory exposure attempt detected from SLUB object 'nvidia_stack_cache' (offset 11440, size 3)! Mar 2 12:26:17 home kernel: [ 8.872528] WARNING: CPU: 1 PID: 1297 at mm/usercopy.c:81 usercopy_warn+0x81/0xa0 Mar 2 12:26:17 home kernel: [ 8.872529] Modules linked in: aufs overlay snd_hda_codec_hdmi nvidia_uvm(POE) wmi_bmof snd_hda_codec_via snd_hda_codec_generic nvidia_drm(POE) snd_hda_intel snd_hda_codec snd_hda_core nvidia_modeset(POE) snd_hwdep snd_pcm nvidia(POE) edac_mce_amd snd_seq_midi kvm_amd snd_seq_midi_event ccp kvm snd_rawmidi drm_kms_helper irqbypass joydev input_leds serio_raw drm snd_seq k10temp ipmi_devintf ipmi_msghandler snd_seq_device snd_timer snd fb_sys_fops syscopyarea sysfillrect asus_atk0110 sysimgblt mac_hid soundcore wmi sch_fq_codel parport_pc ppdev lp parport ip_tables x_tables autofs4 uas usb_storage hid_generic usbhid hid psmouse pata_acpi pata_atiixp i2c_piix4 r8169 firewire_ohci ahci mii firewire_core libahci crc_itu_t Mar 2 12:26:17 home kernel: [ 8.872560] CPU: 1 PID: 1297 Comm: Xorg Tainted: P OE 4.18.0-15-generic #16-Ubuntu Mar 2 12:26:17 home kernel: [ 8.872561] Hardware name: System manufacturer System Product Name/M4A785TD-M EVO, BIOS 2104 08/13/2010 Mar 2 12:26:17 home kernel: [ 8.872563] RIP: 0010:usercopy_warn+0x81/0xa0 Mar 2 12:26:17 home kernel: [ 8.872564] Code: d0 bb 41 51 4d 89 d8 48 c7 c0 91 96 cf bb 49 89 f1 48 89 f9 48 0f 45 c2 48 c7 c7 f0 aa d0 bb 4c 89 d2 48 89 c6 e8 f1 cd df ff <0f> 0b 48 83 c4 18 c9 c3 48 c7 c6 8a 93 d2 bb 49 89 f1 49 89 f3 eb Mar 2 12:26:17 home kernel: [ 8.872582] RSP: 0018:ffffb60f8144bb08 EFLAGS: 00010286 Mar 2 12:26:17 home kernel: [ 8.872583] RAX: 0000000000000000 RBX: ffff93879f275cb0 RCX: 0000000000000006 Mar 2 12:26:17 home kernel: [ 8.872584] RDX: 0000000000000007 RSI: 0000000000000096 RDI: ffff9387afc564b0 Mar 2 12:26:17 home kernel: [ 8.872584] RBP: ffffb60f8144bb20 R08: 0000000000000001 R09: 0000000000000352 Mar 2 12:26:17 home kernel: [ 8.872585] R10: 0000000000000004 R11: 0000000000000000 R12: 0000000000000003 Mar 2 12:26:17 home kernel: [ 8.872585] R13: 0000000000000001 R14: ffff93879f275cb3 R15: ffff93879f275cf8 Mar 2 12:26:17 home kernel: [ 8.872587] FS: 00007f5ea067fa80(0000) GS:ffff9387afc40000(0000) knlGS:0000000000000000 Mar 2 12:26:17 home kernel: [ 8.872587] CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 Mar 2 12:26:17 home kernel: [ 8.872588] CR2: 00007f5e9cd02d20 CR3: 000000021eb10000 CR4: 00000000000006e0 Mar 2 12:26:17 home kernel: [ 8.872589] Call Trace: Mar 2 12:26:17 home kernel: [ 8.872594] __check_heap_object+0xc2/0x110 Mar 2 12:26:17 home kernel: [ 8.872595] __check_object_size+0x14c/0x178 Mar 2 12:26:17 home kernel: [ 8.872886] os_memcpy_to_user+0x26/0x50 [nvidia]

nvidia сломалась

Mar 2 12:26:19 home dockerd[1349]: time="2019-03-02T12:26:19.780302432+02:00" level=error msg="stream copy error: reading from a closed fifo" Mar 2 12:26:19 home dockerd[1349]: time="2019-03-02T12:26:19.780356749+02:00" level=error msg="stream copy error: reading from a closed fifo"

фигня какая-то

nvidia сломалась

Удалял, этого нет, но результат тот же

Mar 2 12:26:20 home dockerd[1349]: time="2019-03-02T12:26:20.054026816+02:00" level=error msg="cbef44b030fc7ae4faceb9f1bc70431660155f27d87caafd1cd85155996bba42 cleanup: failed to delete container from containerd: no such container" Mar 2 12:26:20 home dockerd[1349]: time="2019-03-02T12:26:20.054071032+02:00" level=error msg="Failed to start container cbef44b030fc7ae4faceb9f1bc70431660155f27d87caafd1cd85155996bba42: OCI runtime create failed: container_linux.go:344: starting container process caused \"process_linux.go:424: container init caused \\\"rootfs_linux.go:58: mounting \\\\\\\"/run/user/1000/keyring/ssh\\\\\\\" to rootfs \\\\\\\"/var/lib/docker/overlay2/69a6b9254893212e2a6c75c27dba8b86a1c8e2ad7ec52ac1bc46ce0059acb9fc/merged\\\\\\\" at \\\\\\\"/var/lib/docker/overlay2/69a6b9254893212e2a6c75c27dba8b86a1c8e2ad7ec52ac1bc46ce0059acb9fc/merged/ssh-agent\\\\\\\" caused \\\\\\\"not a directory\\\\\\\"\\\"\": unknown: Are you trying to mount a directory onto a file (or vice-versa)? Check if the specified host path exists and is the expected type" Mar 2 12:26:20 home dockerd[1349]: time="2019-03-02T12:26:20.054331437+02:00" level=info msg="Loading containers: done." Mar 2 12:26:20 home dockerd[1349]: time="2019-03-02T12:26:20.127685170+02:00" level=info msg="Docker daemon" commit=774a1f4 graphdriver(s)=overlay2 version=18.09.3 Mar 2 12:26:20 home dockerd[1349]: time="2019-03-02T12:26:20.128269664+02:00" level=info msg="Daemon has completed initialization" Mar 2 12:26:20 home dockerd[1349]: time="2019-03-02T12:26:20.162035642+02:00" level=info msg="API listen on /var/run/docker.sock"

дерьмо

ты бы все контейнеры перед обновлением поудалял

зачем там ssh еще приплелся - хз

о_О у меня нет контейнеров

а, нет, 1 какого-то хера висит

удали к херам

ты бы все контейнеры перед обновлением поудалял

это на чистой оси уже пулил

о_О

т.е. до проблемы?

После

Пиздец... сделал down сервисов и завелось без проблемы... Это жесть

ну еба

ты бы сам справился, имхо

чуточку больше терпения )

Мне интересно какого уя я кусок логов выше проёб

ты бы сам справился, имхо

Думаю, дошло бы и до этого. Тебе мега респект и спасибо

Мне интересно какого уя я кусок логов выше проёб

visual code тупо висел и не давал дойти до этого, жесть(

Всё ломала эта строчка( volumes: - $SSH_AUTH_SOCK:/ssh-agent

несомненно

я думаю, что твоя проблема не к версии докера относится

а к тому, что у тебя блокировалось создание ssh-agent, т.к. через него системные компоненты ходят

а к тому, что у тебя блокировалось создание ssh-agent, т.к. через него системные компоненты ходят

https://github.com/docker/for-linux/issues/612 вот прям подробно ответили

я тебе то же самое сказал

я тебе то же самое сказал

Ну я про создание папки по пути хостовой подзабыл, если честно

Вместо папки work dir можно применять

сколько озу жрет ваш докер?

используй докер короч

Он ОЗУ много ест

Он ОЗУ много ест

На линухе - практически нисколько

сколько озу жрет ваш докер?

Метров 20

Чего ему там жрать-то

Вангую, что у того гражданина мак, у него там соответственно аиртуалка и она естественно жрёт сколько ей выделено

И обычно маководы не представляют как этот самый докер у них работает

И обычно маководы не представляют как этот самый докер у них работает

к сожалению, да

Вангую, что у того гражданина мак, у него там соответственно аиртуалка и она естественно жрёт сколько ей выделено

там распберри

но человек действительно не представляет как это все устроено

к сожалению, да

Обычно даже среди пользователей винды знание лучше, хз почему

Обычно даже среди пользователей винды знание лучше, хз почему

Особенно кто осознанно ставит 10 чтобы был hyper-v

А принято вообще делать баш-файлы для быстрого выполнени чего-либо? У меня для сокращения набора для вызова /composer/artisan есть такое, но насколько это хорошо?

А принято вообще делать баш-файлы для быстрого выполнени чего-либо? У меня для сокращения набора для вызова /composer/artisan есть такое, но насколько это хорошо?

эм…. смотря что ты хочешь

как правило, когда ты хочешь баш, ты на самом деле хочешь ansible

но может быть, что ты действительно хочешь баш. а не мейкфайл, например

эм…. смотря что ты хочешь

Чтобы не писать длинную команду для docker run ... composer install, а сразу - ./my.sh composer install например

Чтобы не писать длинную команду для docker run ... composer install, а сразу - ./my.sh composer install например

ну, эм. А что выполняется? именно docker run blablabla ?

или все-таки docker exec?

ну, эм. А что выполняется? именно docker run blablabla ?

Да

ну, в твоем кейсе алиас нужен, а не башник

Хм, иногда run, иногда exec

ну, в твоем кейсе алиас нужен, а не башник

Спасибо, гляну в сторону алиасов

ну просто если run, то можно оптимизровать и часть справа от docker run

писать типа так docker run … c_inst

а в entrypoint контейнера лежит docker-entrypoint.sh, который проверяет свои аргументы

и в случае c_inst выполняет composer install