@docker_ru

Страница 1146 из 1375
 
Alexei
29.03.2019
19:08:50
я правильно понял?

 
Vladislav
29.03.2019
19:08:58
Ага

 
Alexei
29.03.2019
19:09:28
а это общая практика? или у каждого по своему?

 
Vladislav
29.03.2019
19:10:16
Кто как хочет, но вариант собирать в контейнере и потом его кидать на прод нам не понравился

Google
 
Alexey
29.03.2019
19:11:15
Кто как хочет, но вариант собирать в контейнере и потом его кидать на прод нам не понравился
?

 
Можно удалять докер, поэтому что в этом весь смысл.

 
Vladislav
29.03.2019
19:11:57
???

 
ildar
29.03.2019
19:12:47
У нас есть образ для сборки, есть пайплайн через этот образ, где на выходе жарка в артифактори. И есть пайплайн для деплоя, где берется второй готовый образ, накидывается жарка и в прод
мультистейдж не пробовали?

 
Alexey
29.03.2019
19:12:49
А, сорян, тупанул

 
multistage тут нужен

 
Vladislav
29.03.2019
19:13:14
На прод полетит или на дев вообще пофиг

 
Пайплайн от этого не сильно меняется

 
Alexei
29.03.2019
19:15:39
а где хранятся образы? в локальном registri? или еще как?

 
Vladislav
29.03.2019
19:16:18
В артифактори есть регистри

 
ildar
29.03.2019
19:18:24
Доброго настроения. Что-то я туплю. Дано: java maven проект, который (для моей простоты понимания) лежит на жестком диске. Надо: docker image, минимального размера, при запуске которого будет запускаться jar файл (просто запускаться, а не прописываться как сервис и прочее....) Шаги достижения: 1. Собрать jar файл (в идеале в Docker контейнере для "чистоты сборки") 2. Собрать Docker image из какого-либо минимального образа (alpine?)+jre+ jar файл из пункта 1?
https://docs.docker.com/develop/develop-images/multistage-build/

 
Alexei
29.03.2019
19:18:58
В артифактори есть регистри
а для тех, кто еще слэнг не выучил? :( что такое артифактори?

 
Vladislav
29.03.2019
19:19:23
Гугл расскажет

Google
 
ildar
29.03.2019
19:19:37
https://jfrog.com/artifactory/ но это тут ваще ни при чём

 
Vladislav
29.03.2019
19:20:56
https://docs.docker.com/develop/develop-images/multistage-build/
Ооо, а вот это не проверял, занятная вещь ???

 
ildar
29.03.2019
19:21:38
тогда в догонку ещё полезная ссылка https://docs.docker.com/develop/develop-images/dockerfile_best-practices/

 
V
29.03.2019
19:44:27
ничего не понимаю в сервисах А и Б. Давай у нас есть редис, который предоставляет(expose) порт 6379 если наша джанга хочет постучаться к редису она будет это делать по dns-имени redis, зарезолвит это docker-compose. В тоже время мы хотим вывесить порт джанги 8080 на порт 9999 Напишем для неё ports: - 9999:8080 итого джанга доступна снаружи по порту 8080, а к редису она обращается по внутренней сети проекта docker-compose. Но мы зачем-то захотели получить доступ к редису. Что ж, напишем для него ports: - 8888:6379 Отлично, снаружи мы к нему можем стучаться по порту 8888 но сама джанга к редису стучится всё также по внутренней сети по стандартному порту 6379. Надеюсь не запутал окончательно. Доброй ночи.
"итого джанга доступна снаружи по порту 9999"

 
Alexei
29.03.2019
20:31:17
https://jfrog.com/artifactory/ но это тут ваще ни при чём
А эта лягушка, в свободной версии умеет docker registry? а то что-то не активно оно.

 
Владимир
29.03.2019
20:31:55
А эта лягушка, в свободной версии умеет docker registry? а то что-то не активно оно.
Не умеет

 
Alexei
29.03.2019
20:34:32
Не умеет
печалька. А может кто подскажет что поставить? а то в данный момент я себе поставил registry:2 для хранилища, и joxit/docker-registry-ui:static для web морды, но вебморда - никакая....

 
Vladislav
29.03.2019
20:35:54
Gitlab-ce

 
Владимир
29.03.2019
20:36:07
Gitlab-ce
Только хотел написать

 
Alexei
29.03.2019
20:37:14
блин, вот как-то стремаюсь я его ставить :( жрет он много :(

 
Vladislav
29.03.2019
20:37:41
Чего жрет и на каком масштабе?

 
Alexei
29.03.2019
20:40:14
пробовал я его в 14 году, в последний раз. В тот момент 2 гига оперативы и какой-то ксеон были для него еле-еле. чисто интерфейс еле ворочался.

 
использовался он только как git сервер.

 
Vladislav
29.03.2019
20:43:22
Сейчас 4 минимум ?

 
Vasiliy
29.03.2019
23:05:36
блин, вот как-то стремаюсь я его ставить :( жрет он много :(
gogs+drone+кактус.

 
Андрей
30.03.2019
03:39:24
печалька. А может кто подскажет что поставить? а то в данный момент я себе поставил registry:2 для хранилища, и joxit/docker-registry-ui:static для web морды, но вебморда - никакая....
Harbor

 
Alexei
30.03.2019
04:36:39
А можете прояснить такой момент: Закидывается коммит. Этот коммит обрабатывается сервером сборки. И дальше идут этапы, которые мне не понятны. 1. по результатам сборки создается docker image. - сразу первый вопрос : как обычно хранят эти образы - в смысле обычно хранят только 1 образ? или обычная практика хранить все образы? Если все, то что за хранилище требуется для таких объемов? 2. А как идет замена на рабочем сервере запущенного сервиса? какие инструменты используются?

 
Petrovich
30.03.2019
04:38:52
1. docker hub хранит сколько-то последних образов бесплатно за счет своего хранилища 2. Я например использую jenkins который после сборки и заливания на docker registry заходит по SSH, выкачивает новый образ, останавливает старый контейнер и стартует контейнер с новым образом Есть еще ansible

 
Alexei
30.03.2019
04:41:33
Так докер хаб это хорошо, но :( ... он хранит образ только для 1 проекта?

 
по второму пункту понял, спасибо. :)

Google
 
Petrovich
30.03.2019
04:42:06
если проект приватный то да, только для одного

 
если проекты публичные то их может быть несколько

 
Alexei
30.03.2019
04:44:15
Но обычно хранят все image? Или только последних несколько?

 
Petrovich
30.03.2019
04:46:59
я вот смотрю на свой хаб и там почти 300 образов хранится щас и размеры у них внушительные - от 500 мегабайт

 
Alexei
30.03.2019
04:47:45
сжатия же нету?

 
Petrovich
30.03.2019
04:48:05
есть

 
без сжатия он 2.5гб весит

 
Alexei
30.03.2019
04:48:31
а со сжатием?

 
Petrovich
30.03.2019
04:48:46
порядка 500-600 мегабайт

 
Alexei
30.03.2019
04:49:14
а... тогда я спокоен :)

 
продолжу выпытывать:) поднял я докер regestry. все чудесно... Но, как обычно, гладко было на бумаге.... Локально - отлично работает. А вот с другой машины - уже нет. - требует tls сертификаты. Самоподписанный не подходит. Можно ли отключить обязательный https?

 
LEXASOFT
30.03.2019
06:07:48
Гдето было про insecure в доках

 
https://docs.docker.com/registry/insecure/

 
Alexei
30.03.2019
06:31:40
Огромное спасибо за ссылочку. Там было как ПРАВИЛЬНО сделать самоподписанные сертификаты для докера.

 
Alexey
30.03.2019
06:31:46
продолжу выпытывать:) поднял я докер regestry. все чудесно... Но, как обычно, гладко было на бумаге.... Локально - отлично работает. А вот с другой машины - уже нет. - требует tls сертификаты. Самоподписанный не подходит. Можно ли отключить обязательный https?
Можно самому выпустить или letsencteypt

 
traefik поставить перед registry и через пару минут будет https ?

 
Nazary
30.03.2019
07:25:57
пацаны, а докер же работает на винде? если работает то как? через виртуалбокс?

 
Vladimir
30.03.2019
07:27:04
Через hyperv

 
Nazary
30.03.2019
07:46:27
и как норм работает?

 
Anton
30.03.2019
07:50:00
https://docs.docker.com/machine/drivers/hyper-v/

Google
 
Anton
30.03.2019
07:53:37
https://docs.microsoft.com/ru-ru/virtualization/windowscontainers/manage-containers/hyperv-container

 
Владимир
30.03.2019
08:07:21
Ребят, в в entrypoint существующему php-имейджу посылаю свой файл (накидываю права/делаю директории), чтобы запустился вместе с основным, а мой контейнер останавливается, заканчивает работу и всё, что делать?

 
Делаю так: ENTRYPOINT ["docker-php-entrypoint", "entrypoint"] или так в compos: entrypoint: ["docker-php-entrypoint", "entrypoint"]

 
Хм, видимо перезаписывается CMD, а там как раз запускается демон

 
Alexey
30.03.2019
08:30:03
exec $@ в конце entrypoint допишите

 
Владимир
30.03.2019
08:37:23
Да, пожалуй это из-за него. Дело в том, что в базовом docker-php-entrypoint уже есть exec и якобы я могу просто через параметры имена скриптов накидать и он всё запустит

 
Alexey
30.03.2019
08:48:58
Да, пожалуй это из-за него. Дело в том, что в базовом docker-php-entrypoint уже есть exec и якобы я могу просто через параметры имена скриптов накидать и он всё запустит
exec base-entrypoint $@

 
ENTRYPOINT [“my-php-entrypoint”]

 
неудобство тут только одно. что нужно знать название изначального. это мелочь

 
Владимир
30.03.2019
09:17:06
?

 
ildar
30.03.2019
09:34:36
и как норм работает?
никто не хвалил

 
Культиватор Джо
30.03.2019
10:40:09
Кто-нибудь имел дело с доступом к docker remote api через nginx прокси?

 
Юрий
30.03.2019
12:27:25
Кто-нибудь имел дело с доступом к docker remote api через nginx прокси?
Да. В чём вопрос?

 
Культиватор Джо
30.03.2019
12:42:56
Да. В чём вопрос?
Так, значит такая беда: у меня есть сервер, на котором крутится сворм, я туда деплою по remote api приложение, но оказалось, что этот сервер, как и остальные, залочены роскомнадзором, поэтому я проксирую с помощью nginx запросы на них. Так вот у меня появилась необходимость делать деплой через прокси сервер с https. Но в итоге я получаю вот такое: x509: certificate signed by unknown authority.

 
Alexey
30.03.2019
12:43:43
Так, значит такая беда: у меня есть сервер, на котором крутится сворм, я туда деплою по remote api приложение, но оказалось, что этот сервер, как и остальные, залочены роскомнадзором, поэтому я проксирую с помощью nginx запросы на них. Так вот у меня появилась необходимость делать деплой через прокси сервер с https. Но в итоге я получаю вот такое: x509: certificate signed by unknown authority.
делай ssh тунель. Проще, быстрее.

 
Культиватор Джо
30.03.2019
12:44:16
Имеешь ввиду деплоить через ssh?

 
Alexey
30.03.2019
12:44:37
особенно через прыжки ~/.ssh/config Host servername HostName SERVER_IP User root ProxyCommand ssh -W %h:%p -i ~/.ssh/fresh dev@BASTION_IP

 
Имеешь ввиду деплоить через ssh?
ssh -L

 
ssh -L PORT:localhost:PORT servername прокинет трафик до сервера. т.е. все будет на localhost:PORT

 
https://habr.com/ru/post/331348/

Google
 
Культиватор Джо
30.03.2019
12:47:02
Спасибо, сейчас почекаю

 
Alexey
30.03.2019
12:47:03
На постоянку ssh тунели отстой - не стабильно. На пару минут - топ, потому что как минимум все по ключам.

 
постоянку в смысле делать надолго тунель - отвалится.

 
прыжки это зайди на сервер через другой сервер. Причем промежуточный ничего не знает про ключи.

 
Юрий
30.03.2019
12:49:24
Если я правильно понял, то проблема непосредственно к серверу не относится. Просто клиент не знает CA прокси - надо добавить в доверенные сертификат прокси или его CA

 
Культиватор Джо
30.03.2019
12:49:59
Если я правильно понял, то проблема непосредственно к серверу не относится. Просто клиент не знает CA прокси - надо добавить в доверенные сертификат прокси или его CA
поподробнее можно?

 
Alexey
30.03.2019
12:50:34
не нужно так делать, это отстойно. Сложно и не безопасно. ssh тунели все решат

 
бегать ещё с паролями, сертами и whitelist ip или светить портом. Вместо ключей которые уже есть + пару строк написать, чтобы удобно было

 
Юрий
30.03.2019
12:51:32
поподробнее можно?
Клиент https-сервера должен ему доверять - знать его сертификат

 
не нужно так делать, это отстойно. Сложно и не безопасно. ssh тунели все решат
Можно подробнее?

 
Alexey
30.03.2019
12:54:20
если вы используйте ssh с ключами (самое базовое). А сверзу тунели, то все ок. Тут негде налажать, кроме того, как слить свой id_rsa

 
А с nginx прокси до докера можно доиграться, когда кто-то через год случайно что-то не так сделает.

 
жопой в мир светить, по другому не назвать.

 
Юрий
30.03.2019
12:56:23
Вы инфру "жопой в мир" выставляете?)

 
Аутентификация по x509 нормально но работает

 
Alexey
30.03.2019
12:57:03
с ssh есть гарантия не светить вообще, кроме одного bastion ip. У меня все закрыто, даже 22, кроме 1 машины, которая нигде не светится.

Страница 1146 из 1375