условно - вы даете доступ на отдельные ВМ отдельным группам юзеров и они могут на них делать все что угодно

либо вам нужна платформа типа PaaS а-ля Heroku

где пользователи ничего не видят, кроме "своих" контейнеров, но при этом для них все вычислительные ресурсы не видны иначе как просто сколько-то цпу, сколько-то рам

либо вам нужна платформа типа PaaS а-ля Heroku

это самая параноидальная система? поясню: я админ безопасности, и в моей организации безопасность, ЦОД и эксплуатация дерутся за докер

задача какая?

что за проекты?

задача какая?

обеспечить безопасность хостовых серверов, разделить права в контейнерах

кубернетес?

обеспечить безопасность хостовых серверов, разделить права в контейнерах

слишком общая. Что за нагрузка в докерах?

можно ли разделить виртуалки или баре метал сервера по группам пользователей?

ну, в принципе, можете написать обертку на пайтон - которая будет лежать в /usr/local/bin. Защищена от изменения пользователя и представлять собой такую оболочку для запуска команд в "своих" контейнерах. Делов - на неделю с отладкой. Мы такое писали, когда в хостинге работали и нужно было разграничить два уровня сотрудников тех пода

админов и инженеров

у админов - полный рут, у инженеров - подмножество команд (но с учетом того, что систему нельзя обмануть дописав к команде "; blablabla" или "&& blablabla", чтобы blabla выполнилось)

слишком общая. Что за нагрузка в докерах?

нагрузка очень большая. крупный банк

просто поймите такую вещь - у вас помимо докера есть еще куча ресурсов, которые как бы общие.

Ну айпишники те же

порты на хосте

и прочее.

и вопрос безопасности он шире, чем просто разделение прав к докеру

и вопрос безопасности он шире, чем просто разделение прав к докеру

пока что начать нужно с чего это. это первый шаг

если интересно - могу более подробно в личке проконсультировать

а есть литературка какая-то, где можно ознакомиться с базовыми принципами?

обожаю docker-compose. оказывается, публикуемые порты по умолчанию биндятся на 0.0.0.0. Задал демону другой дефолтный IP? пофиг

https://github.com/docker/compose/issues/2999

https://kubernetes.io/docs/reference/access-authn-authz/rbac/ https://docs.openshift.com/container-platform/3.5/security/index.html https://docs.docker.com/engine/security/security/

ок, спасибо

обожаю docker-compose. оказывается, публикуемые порты по умолчанию биндятся на 0.0.0.0. Задал демону другой дефолтный IP? пофиг

да, а что ты хотел

я поэтому и СИЛЬНО ПРОТИВ компоуза

дерьмо

обожаю docker-compose. оказывается, публикуемые порты по умолчанию биндятся на 0.0.0.0. Задал демону другой дефолтный IP? пофиг

композ не умеет в шаблонизацию пусть идет нафик:)

ansible docker module forever

ansible docker module forever

Makefile 1️⃣❤️

а есть литературка какая-то, где можно ознакомиться с базовыми принципами?

https://habr.com/ru/company/flant/blog/440504/

спасибо

обожаю компоуз

gaal@linux-x1:~/OLOt> j2 -f yaml ./docker-compose.camera.yml.j2 ./cameras.yml | docker-compose -f /dev/stdin config ERROR: build path /dev/image_capture either does not exist, is not accessible, or is not a valid URL. gaal@linux-x1:~/OLO> j2 -f yaml ./docker-compose.camera.yml.j2 ./cameras.yml | docker-compose -f /dev/stdin config ERROR: Service 'img_capture_10.222.253.4' depends on service 'redis' which is undefined.

в чем разница?

в первом случае в компоузе были относительные пути

во втором - я явно указал $PWD

У кого можно отобрать 20 минут времени? Не могу поставить проект с докером на локалхост( Вообще не шарю, а документация у docker-compose сами знаете какая

пиши конкретнее

ща кофе попью и могу пояснить. Но нужон больше деталей

ща кофе попью и могу пояснить. Но нужон больше деталей

отправил видос в лс

Привет! Кто сталкивался с невозможностью подключения к localhost при запуске сервиса с network_mode: host?

больше контекста

https://stackoverflow.com/questions/23111631/cannot-download-docker-images-behind-a-proxy

Все сделал по инструкции ответа. Безрезультатно

больше контекста

Был сервер на ноде, работал нормально, на 4000 порту. Появилась необходимость сменить network_mode на host и после смены localhost:4000 возвращает 404, но сам сервер запускается - в консоль выводит инфу о запуске. Пользуюсь Docker Desktop, Windows 10 Все пробросы портов я убрал после смены network_mode

Был сервер на ноде, работал нормально, на 4000 порту. Появилась необходимость сменить network_mode на host и после смены localhost:4000 возвращает 404, но сам сервер запускается - в консоль выводит инфу о запуске. Пользуюсь Docker Desktop, Windows 10 Все пробросы портов я убрал после смены network_mode

netstat что кажет внутри контейнера?

Кто может помочь с установкой docker-compose? локалхост не хочет выводить локальный проект(

Был сервер на ноде, работал нормально, на 4000 порту. Появилась необходимость сменить network_mode на host и после смены localhost:4000 возвращает 404, но сам сервер запускается - в консоль выводит инфу о запуске. Пользуюсь Docker Desktop, Windows 10 Все пробросы портов я убрал после смены network_mode

а оно точно должно работать? > The host networking driver only works on Linux hosts, and is not supported on Docker Desktop for Mac, Docker Desktop for Windows, or Docker EE for Windows Server.

Кто может помочь с установкой docker-compose? локалхост не хочет выводить локальный проект(

@devops_jobs

@devops_jobs

тонко)

netstat что кажет внутри контейнера?

А как его вызвать? Я с докером только знакомлюсь, можно сказать

docker exec

а оно точно должно работать? > The host networking driver only works on Linux hosts, and is not supported on Docker Desktop for Mac, Docker Desktop for Windows, or Docker EE for Windows Server.

Не точно, я это тоже видел, но еще видел на форуме докера, что люди запускают в режиме хоста под виндой https://forums.docker.com/t/option-network-mode-host-in-docker-compose-file-not-working-as-expected/51682

Не точно, я это тоже видел, но еще видел на форуме докера, что люди запускают в режиме хоста под виндой https://forums.docker.com/t/option-network-mode-host-in-docker-compose-file-not-working-as-expected/51682

1. у ТС docker запускается в VM с ubuntu 2. ТС цепляется к host network в build-time. host network в run-time это совсем другое

Можно ли установить глобальные лимиты по cgroups по всем контейнерам, типа в daemon прописать?

Можно ли установить глобальные лимиты по cgroups по всем контейнерам, типа в daemon прописать?

да вроде как

1. у ТС docker запускается в VM с ubuntu 2. ТС цепляется к host network в build-time. host network в run-time это совсем другое

Понял, спасибо. А то, что у меня этот контейнер, к другим контейнерам цепляется через localhost нормально - это ничего не значит? Т.е. я так понимаю, что он у меня на хосте запускается и может к другим контейнерам по внешним портам обращаться, но я до него самого я не могу достучаться почему-то

https://stackoverflow.com/questions/46408673/docker-17-06-ce-default-container-memory-limit-on-shared-host-resources

примерно такое имеется в виду?

Понял, спасибо. А то, что у меня этот контейнер, к другим контейнерам цепляется через localhost нормально - это ничего не значит? Т.е. я так понимаю, что он у меня на хосте запускается и может к другим контейнерам по внешним портам обращаться, но я до него самого я не могу достучаться почему-то

хз

Можно ли установить глобальные лимиты по cgroups по всем контейнерам, типа в daemon прописать?

а что в доке? https://docs.docker.com/engine/reference/commandline/dockerd//

Почему при команде docker-compose up, происходит поиск образа из шары? А при build, образ нормально билдится.

services: web: restart: always build: . image: backend:latest ports: - "5000:5000" depends_on: - worker - tasker - socket command: ['gunicorn', 'app:app', '-c', 'web.conf.py'] worker: restart: always image: backend:latest command: ['celery', '-A', 'app:celery', 'worker'] ========================== Pulling worker (backend:latest)... ERROR: The image for the service you're trying to recreate has been removed. If you continue, volume data could be lost. Consider backing up your data before continuing. Continue with the new image? [yN]^

примерно такое имеется в виду?

ага

Почему при команде docker-compose up, происходит поиск образа из шары? А при build, образ нормально билдится.

ПОТОМУ ЧТО

не пользуйтесь докер-компоузом

не пользуйтесь докер-компоузом

напиши уже пост на хабру)))

??

Наверно и линукс в сторонку подвинуть?

Наверно и линукс в сторонку подвинуть?

нет, от святого руки прочь

Лучше конечно пояснить ответ, ибо не ясно вай

не пользуйтесь докер-компоузом

Почему?

опять 25

потому что это кусок мусора

Я новичек)

Мне можно задовать тупые вопросы)

в проекте написано: service: build: context: . dockerfile: ./service/Dockerfile target: inference_base shm_size: 16gb restart: unless-stopped volumes: - ./service/weights:/weights env_file: - ./common/database.conf

результат запуска - у коллег все ок, у меня : ERROR: Couldn't find env file: /dev/common/database.conf

меняем везде точки на $PWD - полет отличный

@ildaar с такими граблями сталкивался?

Хм, прикол, уменя и с точками работает

а у меня нет

А что за версия компоуза?

точнее от фаз луны

gaal@linux-x1:~/X5> docker-compose version docker-compose version 1.24.0, build 0aa59064 docker-py version: 3.7.2 CPython version: 3.6.8 OpenSSL version: OpenSSL 1.1.0j 20 Nov 2018

Да такие палки в колёсах это такое себе

и такое сплошь и рядом

gaal@linux-x1:~/X5> docker-compose version docker-compose version 1.24.0, build 0aa59064 docker-py version: 3.7.2 CPython version: 3.6.8 OpenSSL version: OpenSSL 1.1.0j 20 Nov 2018

Такая же версия

Получается все ручками делать? (

нет. можно испытывать боль )))) и пользоваться