секурити

Можно ссылку или в кратце описать? Не могу понять в чем там дело

Можно ссылку или в кратце описать? Не могу понять в чем там дело

ты эникеям тоже права владельца домена выдаешь? вот тут такое же

http://amp.gs/RFWZ

Спасибо

всем привет. подскажите, мне нужно иметь OpenSSL на сервере. веб-сервер крутится на имейдже nginx:alpine, в котором с некоторых пор отсутствует данный пакет. задача усложнена тем, что на сервере контейнеры запускаются не компоузом, а через ansible. у меня сейчас главный вопрос, каким путем стоит пойти? пытаться ансиблом затащить OpenSSL внутрь скачанного имейджа (что мне кажется не совсем верным)? или все же запускать отдельный контейнер с OpenSSL и коннектить его с nginx?

всем привет. подскажите, мне нужно иметь OpenSSL на сервере. веб-сервер крутится на имейдже nginx:alpine, в котором с некоторых пор отсутствует данный пакет. задача усложнена тем, что на сервере контейнеры запускаются не компоузом, а через ansible. у меня сейчас главный вопрос, каким путем стоит пойти? пытаться ансиблом затащить OpenSSL внутрь скачанного имейджа (что мне кажется не совсем верным)? или все же запускать отдельный контейнер с OpenSSL и коннектить его с nginx?

Я бы сделал свой образ и его использовал. А-ля FROM nginx:alpine RUN apk update --no-cache && apk add openssl

а можно ли обойтись без докерфайла при билде имейджа ансиблом? т.е. как-то передать на уровне плейбука вот это все?

а можно ли обойтись без докерфайла при билде имейджа ансиблом? т.е. как-то передать на уровне плейбука вот это все?

что значит 'при билде' ансиблом?

у меня контейнеры на хосте качаются и стартуют плейбуками ансибл

docker_image мне скачает образ, он же может и сбилдить

Так тебе и не надо постоянно билдить. Ты один раз сбилдил руками имедж, вроде того, что выше скинул. И залил в свой registry (или на dockerhub). И при деплое через модуль docker_container ты в качестве image указываешь свой образ, в котором уже есть openssl

не пойму как так, с хоста *docker pull registry/image:tag* - работает а из docker-compose.yml *image: 'registry/image:tag'* - при stack deploy образ не качает

есть какой то отдельный конфиг сворма для registry ?

could not be accessed on a registry to record

нет, не видел

может днс не резолвит?

как так если при docker pull резолвит ?

правда через прокси настраивал

вероятно у тебя прокси не для докер демона

хотя хз

команда docker pull не принадлежит докер демону?

мне казалось, что это клиент

в /etc/systemd/system/docker.service.d есть http-proxy.conf

c enviroment

демон - это dockerd

да, в environment, верно

то есть для сварма это окружение не передается =

а у тебя сварм на одной ноде?

2

на обеих окружение настроил?

ну, мало ли

:)

да и докер пул на обеих работает

Добрый день! Ребят, как мне сетку настроить чтоб из контейнера исходщие запросы шли не по докер сетке а входящие по ней? только играть iptables?

@evildevme не понимаю - зачем вам такое надо?

nodejs и изоморфное приложение

изоморфное - неясно. Это тут при чем

технически - зачем?

в целом меня устроила бы и только внешняя сеть

запустите контейнер в network host mode. Делов-то

Потому как запрос может выполнять и с сервера, и с клиента

я пока не понимаю проблемы

запустите контейнер в network host mode. Делов-то

но я тогда не смогу пропустить траф через nginx

который в соседнем контейнере

но я тогда не смогу пропустить траф через nginx

сможете

а как? на сетку сервера?

да, proxy_pass в nginx на внешний_айпи_сервера:порт_ноды

хм, попробую, спасибо

привет, подскажите, пожалуйста, как в compose сделать так, чтобы из секции configs файлик в контейнере можно было редактировать? файл маунтится как tmps с ro, глаза об мануал уже стёр

не понимаю

пример компоуза, подробное описание, что нужно

редис хочет файл редактировать

добавь rw в компоузе

делов-то

и права поставь 777

добавь rw в компоузе

это как?

и права поставь 777

толку нет, файловая система монтируется только для чтения, на скрине выделил

у тебя расширенный синтаксис байнд маунта

source - это вольюм?

дай полный файл

чего-то странное

а разве "... type tmpfs (ro,relatime)" это не норма для таких случаев?

аааа. это сворм.... ах

он

ну, раз так, то все логично, имхо

используй volume и все будет ок

а у тебя КОНФИГ

т.е. по умолчанию файл ТОЛЬКО для чтения - очевидно же

так же как и секрет - нафига его в прикладе менять!?

вольюм будет портить файл, разве нет?

портить и оставлять в таком виде на машине из которой он смонтирован

тогда зачем из контейнера его править?

sentinel его сам правит

оч странно, файл нужен на запись, но он будет "портиться" на хосте

явшоке.

вольюм будет портить файл, разве нет?

с чего это?

с чего это?

монтирует жеж, не копирует в контейнер, разве нет?

монтирует жеж, не копирует в контейнер, разве нет?

монтирует, не копирует

но можно сделать в отдельный слой (читай - там много хитрых опций)

оч странно, файл нужен на запись, но он будет "портиться" на хосте

ну да, нужен на запись, редис туда дописывает свой мусор, адреса всех участников, например, ещё что-то, уже не помню после перезапуска исходный файл должен быть в первозданном виде

лол

собери кастомный имейдж, например

собери кастомный имейдж, например

Да, спасибо, оставлю на крайний случай, хочется без радикальных решений, если получится

ну фиг знает, это не выглядит чем-то радикальным

А кластер из пятого редиса, который redis cluster в докер кто-нибудь впихивал? Есть там подводные камни?

А кластер из пятого редиса, который redis cluster в докер кто-нибудь впихивал? Есть там подводные камни?

в хельме прекрасно взлетает (redis-ha) или надо именно кластер ?

в хельме прекрасно взлетает (redis-ha) или надо именно кластер ?

вообще, кластер но до кубера я пока не добрался (:

вообще, кластер но до кубера я пока не добрался (:

аа. ставил его , но снес, не понял зачем кластер нужен, мне оказывается всегда именно ha надо было. с виду все просто , упростили сильно установку-настройку, но тоже кв кубе ставил, там проще как то

Привет! Есть у меня инстанс MariaDB, в который при запуске передается sql скрипт (через стандартный /docker-entrypoint-initdb.d, создание нескольких БД, таблиц, заполнение тестовыми данными) как мне его делоить в кластер Swarm самым адекватным способом? Понятно, что можно сделать свой кастомный образ и все дела, но может есть более красивое решение?

Привет! Есть у меня инстанс MariaDB, в который при запуске передается sql скрипт (через стандартный /docker-entrypoint-initdb.d, создание нескольких БД, таблиц, заполнение тестовыми данными) как мне его делоить в кластер Swarm самым адекватным способом? Понятно, что можно сделать свой кастомный образ и все дела, но может есть более красивое решение?

в чем проблема? Скрипт идемпотентный? Если да, то вроде как проблемы нет