и, да, это не отменяет наличие нормальных тестов на продовые образы, чтобы все не сгорело

в общем я все делаю через ансибл - но зашивать такую здаровенную команду в command: как не комельфо))

ну, опиши все в своем кастомном command ? expose тебе все равно придется через docker run передавать

но обычно это и не нужно. Есть допустимые отклонения. Вот пускай разрабы и тимлиды определяют - норм ли это собирать в тесте эльпайн, а потом катить дебиан

А вообще на каких HOST OS принято поднимать docker в продакш: специализированные CoreOS, Alpine или берутся банальные проверенные Debian(Ubuntu), Centos. Best practices вообщем интересны.

Пацаны как сделать такой движ в докере, что бы было 2 или 3 контейнера одинаковых на одном днс и что бы они балансились раунд робином например в компоузе например

А вообще на каких HOST OS принято поднимать docker в продакш: специализированные CoreOS, Alpine или берутся банальные проверенные Debian(Ubuntu), Centos. Best practices вообщем интересны.

по-разному. Универсального нет. Вы все правильно описали как основные направления

к тому же, надо понимать, что есть куча вариантов ГДЕ докер будет - баре метал, виртуализированная среда

Пацаны как сделать такой движ в докере, что бы было 2 или 3 контейнера одинаковых на одном днс и что бы они балансились раунд робином например в компоузе например

нипонятно

Если металл

и для первой, например, кореос и эльпайн далеко не лучшие решения, т.к., например, могут быть нюансы со спец оборудованием

все на одном серваке будет?

Ну как в кубике несколько под, только без кубика

Пацаны как сделать такой движ в докере, что бы было 2 или 3 контейнера одинаковых на одном днс и что бы они балансились раунд робином например в компоузе например

это сворм нужен

На уровне контейнеров можно?

Без сворма

а зачем так делать, конечно можно

в самом докере никак. Но можно в обычном докере закрыть сервисы traefik и им раундробином раскидать

Типа говорили что можно сделать несколько контейнеров и прописать одинаковый нетворк елиас

и для первой, например, кореос и эльпайн далеко не лучшие решения, т.к., например, могут быть нюансы со спец оборудованием

Короче CoreOS, Alpine для облаков, Centos, Debian для железа

Или как то так

не понятно про один днс

хоть сколько контейнеров понаплоди и балансируй

ничто не мешает

Короче CoreOS, Alpine для облаков, Centos, Debian для железа

примерно

Типа говорили что можно сделать несколько контейнеров и прописать одинаковый нетворк елиас

зачем?

ничто не мешает

согласен

при этом ДНС должен указывать на внешний айпи хоста с докером

зачем?

ну можно сделать 3 контейнера и балансить нгинксом

а можно наверное получше это сделать)

непонятно для чего делать так, ладно ты бы выносил nginx и у тебя были поды. А тут одни мощности, можно конечно ресурсы ограничить, но это все как то не очень работает

вероятно имеется в виду, что нужно забить все мощности бекендами

например, там пайтон, который не умеет нормально в многопоток из коробки

единственная причина, по которой стоит так делать, это если приложение у тебя падает, остальные остаются в строю.

например, там пайтон, который не умеет нормально в многопоток из коробки

+++, та же нода

можно сделать встроенными возможностями

но это бед практис

+хочу сделать когда апдейтится имейдж сервис продолжал работать

так он и продолжит работать

если я делаю docker-compose pull app && docker-compose up -d сервис не будет недоступен? пока рестартится ап?) как это возможно если например http сервер стартует 10 секунд например

сервис не будет недоступен? при наличии одной ноды, будет недоступен

ну вот

Добрый день, кто может подсказать по сетке. Есть два контейнера, собираются все ок, если запускать их через docker run - сервисы доступны в сети, но при запуске через docker-compose up сервисы недоступны по сетке, version: "3.7" services: router: image: project/router volumes: - /home/$USER/volumes/router:$GOPATH/src/gitlab.com/project/router ports: - "8080:8080" networks: - default redmine-connector: image: project/redmine-connector volumes: - /home/tester/volumes/redmine-connector:$GOPATH/src/gitlab.com/project/redmine-connector ports: - "8081:8081" networks: - default

если я делаю docker-compose pull app && docker-compose up -d сервис не будет недоступен? пока рестартится ап?) как это возможно если например http сервер стартует 10 секунд например

Докер компоуз - это не про роллинг апдейт, так-то

магия! благодарю

Докер компоуз - это не про роллинг апдейт, так-то

я понимаю, но блин городить сварм или кубик в моем случае будет оверхед

Ну, тогда пиши баш скрипт чтобы по одному контейнеры обновлять

version: '3.4' services: busy: image: acme/busyapp:1.2.3 stop_grace_period: 30s deploy: replicas: 3 update_config: delay: 1h parallelism: 1 failure_action: rollback

афигеть

походу это уже всё есть в 3.4

магия! благодарю

только трабла, в том что второй сервис, которому поставил порт "8081:8081" redmine-connector остался недостпуным dial tcp 127.0.0.1:8081: connect: connection refused at function IndexRedmine

а

это для сварма)

о курво

ещё есть docker-compose scale

походу это уже всё есть в 3.4

Это сворм

полетело

ещё есть docker-compose scale

Это тоже сворм

ребят всем привет, кто разворачивал mongodb, есть возможность в конфиге включить аутентификацию что бы в дальнейшем через docker-compose можно было запускать?

э.... не понял вопроса. Ну, можно вроде как

да и вообще монга вроде норм аргументы через коммандную строку принимает

Есть docker с nginx и несколько виртуальных хостов. Полез настроить на одном из них ssl. В результате при попытке зайти на хост браузер "вечно ждет ответа". Убрал SSL, взял конфиг с соседнего хоста - не попмогает. После нескольких таких запросов к хосту, аналогично начинают вести себя и другие.

в растерянности. Один хост работает нормально. А все остальные (как указывающие на отдельные директории, так и на рабочий) - зависают на выполнении PHP. HTML отдается нормально. Если зайти в соседний контейнер и по сети запросить - тоже нормально отрабатывает

да и вообще монга вроде норм аргументы через коммандную строку принимает

сори докер знаю 15 минут, но спасибо буду разбираться)

https://github.com/anchore/anchore-engine Obtain the results of the vulnerability scan on an image: anchore-cli image vuln docker.io/library/debian:latest os интересная штука

отличная штука, я бы сказал

Подскажите, откуда появляются контенеры вроде: ◉ affectionate_bartik 5b5fbe153e5d - - - - - ◉ condescending_cartwright 8f2425fb7802 - - - - - ◉ festive_morse 05309dc52929 - - - - - ◉ gifted_burnell 79fedbc9500f - - - - - ◉ goofy_lichterman c37f994fc537 - - - - - ◉ infallible_mestorf d35c7516ba26

запуск docker run без имени контейнера

запуск docker run без --rm :)

у меня до сих пор lxc на основном проекте кек

у меня до сих пор lxc на основном проекте кек

И это не плохо

И это не плохо

плохо что у них лимиты не стоят и они все в оверкоммите вертятся

а лимитировать незя по ресам просядем

уж лучше докер на виртуалках

Можно докер в lxc

Всем привет. Подскажите, а можно ли docker`а заставить использовать прокси для всего, кроме общения с демоном, указанным через DOCKER_HOST? Ну или как-то иначе настроить gitlab-runner для работы через docker:dind в изолированной сети (где весь трафик через прокси)?

попросите системного администратора

а тут как в анекдоте - "а что делать если я этот системный администратор"

Здравствуйте! Подскажите, насколько вообще правильная практика использования docker в production. Читал, что не все жалуют это дело, и в основном используют для разработки. Так ли это? Если есть приемры правильного использования в production, дайте статьи на почитать пожалуйста.

Здравствуйте! Подскажите, насколько вообще правильная практика использования docker в production. Читал, что не все жалуют это дело, и в основном используют для разработки. Так ли это? Если есть приемры правильного использования в production, дайте статьи на почитать пожалуйста.

Нормальная практика, если готовы.

Всем привет. Подскажите, а можно ли docker`а заставить использовать прокси для всего, кроме общения с демоном, указанным через DOCKER_HOST? Ну или как-то иначе настроить gitlab-runner для работы через docker:dind в изолированной сети (где весь трафик через прокси)?

Эм. Не понимайт. А что мешает весь трафик через прокси гнать ?

Эм. Не понимайт. А что мешает весь трафик через прокси гнать ?

Используются self-signed сертификаты на gitlab-registry и одновременно трафик через прокси. Видел костыль с docker:dind, с нужной командной строкой (--insecure-registry), который используется для общения с registry. Но если я в .gitlab-ci.yml прописываю в variables переменную DOCKER_HOST=tcp://docker... вместе с переменными *_proxy то при общении с docker , cli пытается соединиться с docker:dind через эти прокси. А если я прописываю ещё no_proxy=docker, то ругается на то, что не может отрезолвить. Извините за сумбурное объяснение, сам не до конца понимаю.

Надо думать. Какой-то странный кейс

Слышал что можно 1) нормальный серт юзать 2) добавлять самоподписаный в доверенные

Брешут наверное

Слышал что можно 1) нормальный серт юзать 2) добавлять самоподписаный в доверенные

Их нужно добавлять в доверенные на уровне ФС, откуда запущен докер демон? Или откуда запускается docker CLI?

Конечно где демон

... и я так понимаю, что добавление --insecure-registry в переменную DOCKER_OPTS на уровне .gitlab-ci.yml ничего не даст, т.к. она тоже для демона?

Конечно где демон

Спасибо, попробую