Что-то странное происходит на машине, где хостится Private Docker Registry: $ docker pull xxx:5000/my-app Using default tag: latest Error response from daemon: Get https://xxx:5000/v1/_ping: x509: certificate signed by unknown authority При этом сертификат лежит в /usr/share/ca-certificates/xxx\:5000/ca.pem и в /etc/docker/certs.d/xxx\:5000/ca.pem, логин-пароль прописан в ~/.docker/config.json Ubuntu 14.04.4 LTS

Дим, не сталкивался с таким?

Сертификат самоподписан?

Не сталкивался с докер реджестри сам, но подозреваю, что стоит поверить ошибке. Он ругается на то, сто сертификат самоподписанный, а не из доверенных источников. Есть какой-нибудь insecure ключ для докера?

Да, сгенерирован, self-signed

Дим, не сталкивался с таким?

^ ну или добавьте СА этого сертификата в доверенные на всех клиентов

Так добавил в обе директории, сделал update-ca-certificates

Перезапустил сервис - не помогло, даже ребутнул сервер и ничего

При этом "соседний" с CoreOS нормально работает с этим DR

Нужно смотреть, кто отдает ошибку х509 и умеет ли эта либа смотреть в /usr/share/ca-certificates Ну или ты сделал что-то не то :) curl не ругается?

При этом "соседний" с CoreOS нормально работает с этим DR

А вот это интересно

Кстати, интересный момент насчёт прав

В общем, магии не существует. Если на одном хосте работает, а на другом - нет, ищи различия в конфигурации. А я пошел есть сибирский арбуз :)

Да, обрати внимание, что это не сам докер пулл ругается, а что-то внешне. Ошибка похожа на libopenssl. Поэтому можешь гуглить без привязки к докеру

Кстати, интересный момент насчёт прав

https://github.com/docker/docker/issues/8849

Сибирский арбуз в 5 утра полный разрыв шаблона)

Внезапно, в Сибири уже половина одиннадцатого

)) Внезапно и в Москве уже 6:30

Docker issues - с нами время летит незаметно ✈️

Ветку посмотрел уже в пятый раз и ничего рабочего) Может self-signed сертификат неправильно сгенерирован? cat > ./openssl.conf << EOL [req] distinguished_name = req_distinguished_name x509_extensions = v3_req prompt = no [req_distinguished_name] C = VA ST = Vatican L = Vatican O = The Holy See CN = * [v3_req] subjectKeyIdentifier = hash authorityKeyIdentifier = keyid,issuer basicConstraints = CA:TRUE subjectAltName = IP:xxx EOL

а кто-нибудь сквошит образы? https://github.com/jwilder/docker-squash

...при этом сертификат в системе существует без проблем: $ openssl s_client -showcerts -verify 32 -CApath . -connect xxx:5000 verify depth is 32 CONNECTED(00000003) depth=0 C = VA, ST = Vatican, L = Vatican, O = The Holy See, CN = * verify error:num=18:self signed certificate verify return:1 depth=0 C = VA, ST = Vatican, L = Vatican, O = The Holy See, CN = * verify return:1 --- Certificate chain 0 s:/C=VA/ST=Vatican/L=Vatican/O=The Holy See/CN=* i:/C=VA/ST=Vatican/L=Vatican/O=The Holy See/CN=* -----BEGIN CERTIFICATE----- ...

а кто-нибудь сквошит образы? https://github.com/jwilder/docker-squash

Можно сделать чек-лист по оптимизации: + [ ] squash + [ ] clean up

Доброе утро!Меня зовут Олег. Я занимаю бекапом и мониторингом linux серверов.

Доброе утро!Меня зовут Олег. Я занимаю бекапом и мониторингом linux серверов.

Запускаешь задачи по крону и смотришь в дашборд заббикса что ли? Интересно, однако.

Запускаешь задачи по крону и смотришь в дашборд заббикса что ли? Интересно, однако.

Нет, смотрит на htop

Хотя подожди. Он же бэкапит сами сервера, а не данные. Кладовщик?

Камон ) Ошибка x509 не хочет исчезать

»Запускаешь задачи по крону и смотришь в дашборд заббикса что ли? Интересно, однако. Что-то вроде этого, только без крона )

htop тоже смотрю

)

»Хотя подожди. Он же бэкапит сами сервера, а не данные. Кладовщик? Верно, данных на серверах нет, они на складе

Добрый день. Меня зовут Андрей. Я начал с докера 4 года назад, потом подсел на консул и терраформ. Сменил работу и город, но не помогло.

Ваймэ! Оказалось ларчик просто открывался: 1. Копируем содержимое domain.crt в /etc/docker/certs.d/myregistrydomain.com:5000/ca.crt 2. service docker restart 3. Всё готово!

Спасибо Alex за помощь :)

Рад был помочь)

Добрый день. Перебрасываю папку с unix sock на хост машину (osx). При попытке подключения, клиент ругается, что нет ответа. docker run --name my-postgres -v /Users/ololo/.docker-data/pg_data:/var/lib/postgresql/data -v /Users/ololo/.docker-data/pg_run/:/var/run/postgresql -p 5432:5432 -d postgres psql -h /Users/ololo/.docker-data/pg_run -U postgres psql: could not connect to server: Connection refused Is the server running locally and accepting connections on Unix domain socket "/Users/ololo/.docker-data/pg_run/.s.PGSQL.5432"? Не сталкивались с такой проблемой?

Из контейнера клиент подключается.

было бы удивительно, если бы подключился

в случае с docker for mac единственное что я придумал пока как из контейнеров достукиваться до хост-тачки — это ssh туннель. у меня даже есть паста! :)

Спасибо.

docker run --network=main --name=host --rm -p 4000:22 -ti phusion/baseimage:0.9.19 bash -c 'echo "GatewayPorts yes" >> /etc/ssh/sshd_config && rm -f /etc/service/sshd/down && /sbin/my_init --enable-insecure-key' curl -o ~/.ssh/phusion_insecure_key -fSL https://github.com/phusion/baseimage-docker/raw/master/image/services/sshd/keys/insecure_key && chmod 600 ~/.ssh/phusion_insecure_key ssh -nNT -o UserKnownHostsFile=/dev/null -o StrictHostKeyChecking=no -i ~/.ssh/phusion_insecure_key -R 7200:0.0.0.0:7200 -p 4000 root@localhost

вот такая паста у меня есть )

Казалось уже появился свет в конце тонеля, но в самый последний момент: docker pull xxx:5000/my-app Using default tag: latest Pulling repository xxx:5000/my-app Error: image my-app not found

Казалось уже появился свет в конце тонеля, но в самый последний момент: docker pull xxx:5000/my-app Using default tag: latest Pulling repository xxx:5000/my-app Error: image my-app not found

а тег для образа точно latest?

@DenisIzmaylov а оно в интернеты торчит?

@DenisIzmaylov как я понял это docker private registry

Казалось уже появился свет в конце тонеля, но в самый последний момент: docker pull xxx:5000/my-app Using default tag: latest Pulling repository xxx:5000/my-app Error: image my-app not found

теперь проблема авторизации

Добрый день. Перебрасываю папку с unix sock на хост машину (osx). При попытке подключения, клиент ругается, что нет ответа. docker run --name my-postgres -v /Users/ololo/.docker-data/pg_data:/var/lib/postgresql/data -v /Users/ololo/.docker-data/pg_run/:/var/run/postgresql -p 5432:5432 -d postgres psql -h /Users/ololo/.docker-data/pg_run -U postgres psql: could not connect to server: Connection refused Is the server running locally and accepting connections on Unix domain socket "/Users/ololo/.docker-data/pg_run/.s.PGSQL.5432"? Не сталкивались с такой проблемой?

Нашел костыль. socat UNIX-LISTEN:/tmp/.s.PGSQL.5432,reuseaddr,fork TCP4:127.0.0.1:5432

а зачем это так? psql напрямую по hostname:port же работает

Разработчиков на докер для девелопмента еще не перевели. В команде конвеншен: используем unix socket и peer trust, чтобы конфиги для БД были минимальные.

а тег для образа точно latest?

Как раз да, похоже в этой стороне проблема

@DenisIzmaylov а оно в интернеты торчит?

Внутренняя сеть)

Как раз да, похоже в этой стороне проблема

ну если тег другой тогда нужно записывать xxx:5000/my-app:тег

а зачем это так? psql напрямую по hostname:port же работает

afaik через socket быстрее, чем через ip

#whois - lanixx.com - Linux и все что связано с Open Source. - локальный суппорт и поддержка по вопросам хостинга. В последнее время активно работаю в разных компаниях с докером. - интересует общение на тему докер, девопс - Гамбург - нашёл через vk группу.

Возможно кто подскажет куда копать Собрал для dev окружения связку на базе docker-compose Встал вопрос как разработчику в RoR приложение коставить debugger для отладки и подключится к контенеру для отладки?

remote debugger

Как вариант

Кто подскажет как docker-machine подключить? Ругается на tls сертификаты.

Их никак не вырубить?

Их никак не вырубить?

Это способ авторизации, никак иначе не сделаешь я думаю.

Т.е по tls сертификатам докер демон авторизует docker-machine

Видимо, надо курить мануалы.

Valentin Ouvrard написал обзор интерфейса Rancher - системы управления Docker контейнерами, интегрирующейся с существующими кластерными решениями: Swarm, Kubernetes и Mesos. http://amp.gs/8rRB

Valentin Ouvrard написал обзор интерфейса Rancher - системы управления Docker контейнерами, интегрирующейся с существующими кластерными решениями: Swarm, Kubernetes и Mesos. http://amp.gs/8rRB

Хм. Годная штука.

333?

гет сорван)

Кто подскажет как docker-machine подключить? Ругается на tls сертификаты.

Лучше insecure всё же не использовать (as usual), а про TLS смотри вчерашние сообщения, где я с ними воевал )

Это способ авторизации, никак иначе не сделаешь я думаю.

Можно, это называется insecure) Но не рекомендуется

Возможно кто подскажет куда копать Собрал для dev окружения связку на базе docker-compose Встал вопрос как разработчику в RoR приложение коставить debugger для отладки и подключится к контенеру для отладки?

Через docker exec? )

на локалке tls можно и отключить

TLS победил. Докер просто надо ставить stable, а я хотел новые фичи потестить и ставил экспериментал ветку.

)

На локалке можно и Desktop

А как зафорсить pull при docker run удалённого образа?

Хм. Оказывается волшебного ключа не существует: https://github.com/docker/docker/issues/13331#issuecomment-238916526 Только: docker pull image && docker run ...

дык он сам не пулится что-ли если его нет?

видимо имеется в виду чтобы обновился latest