Либо что-нить из личного опыта

https://www.youtube.com/watch?v=Jb62_R8WnII

Прадва, старое уже

Кто знает есть ли годные статьи/обзоры про использование докера в банках или организациях где безопасность критична

Напиши в личку. Накину

Кто-то использовал docker macvlan, норм работает? есть задача перевести один из микросервисов webrtc с хост нетворка. Если запускать с обычной сетью контейнер , то есть проблемка с UDP портами и НАТом. A macvlan subinterface can be added to the Docker host, to allow traffic between the Docker host and containers. The IP address needs to be set on this subinterface and removed from the parent address.

что такое "обычная сеть"?

что такое "обычная сеть"?

bridge driver

а кто тебе мешает бриджом выкинуть как маквланом?

ничего против маквлана не имею, он норм

а кто тебе мешает бриджом выкинуть как маквланом?

это как? у меня проблема с прокидованием UDP портов с bridge на хост

потому что не надо никаких "на хост"

сунь хостовый интерфейс в бридж и к нему же прицепи контейнер

так кажись нельзя хостовый совать в бридж?

с чего вдруг?

это же обычный бридж

docker network connect host_network container_name типа так?

Не знаю

Умею через brctl это делать

Умею через brctl это делать

а можно пример?

https://docs.docker.com/v17.09/engine/userguide/networking/default_network/build-bridges/ вон пример

https://docs.docker.com/v17.09/engine/userguide/networking/default_network/build-bridges/ вон пример

пасиб, гляну

есть еще решения кроме ранчера и опеншифта и на своих мощностях?

поставить самому, чтобы знать куда бежать, когда ломается.

А гарантированно пару раз сломается.

есть еще решения кроме ранчера и опеншифта и на своих мощностях?

хм. Ты имеешь в виду дистрибутив?

есть еще решения кроме ранчера и опеншифта и на своих мощностях?

голый kubernetes

http://containerum.com/ например такое есть ?

еще я могу сказать, что у вмвари есть свой куб

и у циски есть свой куб

у межделмаша есть свой, а у их редхата - свой опенщи(ф)т

https://cloud.vmware.com/vmware-cloud-pks https://cloud.vmware.com/vmware-enterprise-pks https://vmware.github.io/container-service-extension/INTRO.html

CISCO: https://www.cisco.com/c/en/us/products/cloud-systems-management/container-platform/index.html

Лог компоуза выглядит так https://pastebin.com/A3DF3P0x

контейнеры с composer и нодой сдохли на старте. В чем была их задача?

https://pastebin.com/AzTgRbb6

Сам писал или оттуда то взял?)

( возможно я делаю дикую дичь. Сорри тогда, не особо работал с докером )

Грустно. Контейнер - просто постоянно работающий процесс в своем маленьком мирке.

Завершился процесс - исчез и мир(контейнер).

Завершился процесс - исчез и мир(контейнер).

Там вроде смысл всего контейнера компосера чтобы он просто положил в волюм зависимости и умер

А зачем он тогда 1. печатает usage? 2. рестартует?

А зачем он тогда 1. печатает usage? 2. рестартует?

Ну ему надо через command каталог наверное передать

И restart у него отключен вроде)

во-первых: укажи workdir: /backend для композера, во-вторых впиши command: install

либо можно просто command: -d /backend install

с тебя $20

контейнеры с composer и нодой сдохли на старте. В чем была их задача?

задача композера - запуститься, поставить зависимости и завершиться

с тебя $20

в k8s ценник повыше

желательно с кодом 0 :)

в k8s ценник повыше

ну я 3 минуты потратил, так что ок

на тебя в этом чяте я уже больше потратил!

Подскажите, есть ли готовые образы контейнеров с CMS(Wordpress, Drupal, Joomla и пр.), которые запустятся, поставят в примонтированную директорию движок и умрут?

Подскажите, есть ли готовые образы контейнеров с CMS(Wordpress, Drupal, Joomla и пр.), которые запустятся, поставят в примонтированную директорию движок и умрут?

hub.docker.com

Подскажите, есть ли готовые образы контейнеров с CMS(Wordpress, Drupal, Joomla и пр.), которые запустятся, поставят в примонтированную директорию движок и умрут?

а зачем в этой таске docker?

hub.docker.com

Образы CMS обычно идут с веб-сервером внутри.

больше похоже на ansible или вроде того. На ansible 100% будут роли

а зачем в этой таске docker?

ну да, больше скрипты нужны

Образы CMS обычно идут с веб-сервером внутри.

а как CMS без веб сервера будет работать?

а зачем в этой таске docker?

Автоматическая установка CMS в директорию(веб-сервер уже запущен в отдельном контейнере)

Автоматическая установка CMS в директорию(веб-сервер уже запущен в отдельном контейнере)

ну отрезать от роли первую часть.

но докер все ещё выглядит отстойно в этой задаче

есть, конечно, вот пример: docker run -v .:/stuff debian:8-slim --entrypoint='bash -c "curl -s https://wordpress.org/latest.tar.gz | tar -C /stuff -xz"'

(не проверял)

надо запускать стартап по установке wp в докер) как чуваки с запуском kubespray saas

Можно такой костыль сделать - запускать контейнер bitnami/wordpress, монтировать директорию с хоста, и он сам все закинет

https://hub.docker.com/r/bitnami/wordpress/

А потом удалять контейнер

bitnami какие-то очень оригинальные чуваки

Или тупо ставить cms без контейнера, с помощью wp-cli или drush

Можно такой костыль сделать - запускать контейнер bitnami/wordpress, монтировать директорию с хоста, и он сам все закинет

а зачем для этого докер-то?

Скорее всего, второй вариант проще будет

задача композера - запуститься, поставить зависимости и завершиться

Не умею в пхп, но похоже что с этим чатом скоро начну разбираться и в этом -_-

Сам писал или оттуда то взял?)

Сам

контейнеры с composer и нодой сдохли на старте. В чем была их задача?

Нода - делать npm операции

Composer аналогично

Грустно. Контейнер - просто постоянно работающий процесс в своем маленьком мирке.

Понял, спасибо. И правда грустно ?

Есть пользователь с группой докер, в контейнере такой же пользователь с теми же uid&gid. Вопрос - как-то можно ограничить доступ этому пользователю, чтобы он мог docker exec делать только от себя, без доступа к руту или др пользователям?

Есть пользователь с группой докер, в контейнере такой же пользователь с теми же uid&gid. Вопрос - как-то можно ограничить доступ этому пользователю, чтобы он мог docker exec делать только от себя, без доступа к руту или др пользователям?

Эм. Если ты его добавишь в docker группу, то нет. Он в этом случае может сделать что-то типа docker run -v /etc/shadow:/etc/shadow alpine, шах и мат

Придется колдовать с selinux/apparmor. Чтобы накинуть доп ограничения

Что сделать проще - не давать группу docker. Дать sudo. А в sudo можно ограничить список команд, которые пользователь может запускать с административными привилегиями. Т.е. дальнейший шаг - ты в sudoers перечисляешь команды docker run/exec и пр., которые пользователь может выполнять

Либо пишешь враппер на Пайтон/баш и прочее и в нем делаешь вызовы этих команд, запрешаешь модификацию этого враппера. Враппер - в судоерс

Как некая дополнительная идея - в системе может быть запущено несколько докер демонов. Если тогда их раскидать по юзерам, то каждый юзер не будет видеть чужие контейнеры

Ну, как-то так

По многомим контейнерам понятно, но в нашем случае это не вариант. Покупаю маны по судо. Думал может в самом докер что-то такое есть

По многомим контейнерам понятно, но в нашем случае это не вариант. Покупаю маны по судо. Думал может в самом докер что-то такое есть

К сожалению, но нет

Докер не про безопасность ????

Докер не про безопасность ????

> S in Docker stands for Security

> S in Docker stands for Security

????

парни, а можно как-то заставить процесс внутри компоуза НЕ падать, если он ничего не делает?

что?

у меня проблема в том, что под линухой всё ок работает. Под виндой запускаю вот это

https://pastebin.com/AzTgRbb6

Лог компоуза выглядит так https://pastebin.com/A3DF3P0x

Винда тебе не линукс

Нода и композер падают

падают?