А раз так, то внешний nginx как бы не так особо нужен

А раз так, то внешний nginx как бы не так особо нужен

я понял мысль, попробую

Народ, почему после рестарта сервера, контейнер редиса не стартует с ІРшкой??

А что он делает?

А что он делает?

Он стартует вместе с сервером и уходит в циклическую перезагрузку

Эм

Про редис непонятно

Он стартует вместе с сервером и уходит в циклическую перезагрузку

Контейнер умирает когда процесс завершился. Смотри логи.

день добрый, я развернул контейнер с nextcloud в докере, но он без ssl , ну и без домена, с докером не знаком, можно в двух словах как добавить ssl ?

В двух - добавить ssl

А если побольше - прокинуть с хоста в контейнер сертификат и ключ и их в конфиге указать

Либо прокси перед ним поставить с ssl

Больше проксей богу проксей

народ, а кто как проксирует docker.sock?

мне вот надо дженкинсу дать доступ, но ссу я чота

в jenkins можно запускать docker-compose?

есть плагин для докера, который может запускать рабов в контейнерах. А для этого надо доступ в сокет

в jenkins можно запускать docker-compose?

Да

есть плагин для докера, который может запускать рабов в контейнерах. А для этого надо доступ в сокет

А когда нужен определенный нейминг контейнера, то он не прокатит?

в смысле? Мне надо чтобы рабы поднимались и умирали

А пуш в registry?

мне вот надо дженкинсу дать доступ, но ссу я чота

Ну , вариантов два. Или все, или ничего

Нет вариантов ограничить сервис, который получил доступ к докеру (((

пуш в registry иначе делается.

пуш в registry иначе делается.

Как же?

есть, на самом деле.

Как же?

спот на aws запускаю и там билд происходит

Так неинтересно)

А без AWS?

Просто у меня часть контов с джавой. Если я запущу билд локально, у меня сервер на колени упадёт.

А без AWS?

зачем без? Дженкинс сам запускает и сам убивает

А, стоп, вы про это

Все, сорри, я не о том подумал

Нет вариантов ограничить сервис, который получил доступ к докеру (((

https://github.com/buildkite/sockguard

Вот только он у меня не собирается. Подумал вдруг кто знает иной способ

jenkins pipeline требователен? Имеет ли смысл не запускать его на виртуалке, а запускать на локальном компе?

jenkins pipeline требователен? Имеет ли смысл не запускать его на виртуалке, а запускать на локальном компе?

смотря что ты там пайпить собрался. Если компилировать джаву, то не рекомендую. А если всякую мелочёвку — велкам.

смотря что ты там пайпить собрался. Если компилировать джаву, то не рекомендую. А если всякую мелочёвку — велкам.

CI, сборка образов для .net core, деплой

деплой можно, сборка — ну, такое — смотреть надо.

jenkins pipeline требователен? Имеет ли смысл не запускать его на виртуалке, а запускать на локальном компе?

Жрёт столько сколько твоя сборка

https://github.com/buildkite/sockguard

Утащил к себе, но функционал не 100%. У меня была именно такая же идея предложить враппер...

Утащил к себе, но функционал не 100%. У меня была именно такая же идея предложить враппер...

попробуй собрать, плз. Я понять не могу, то ли лыжи не едут, то ли одно из двух

у меня вот чо после запуска бинарника вылезает: https://github.com/buildkite/sockguard/issues/54

Попробую, но попозже

Верно ли, что docker-compose не создаёт образы тех проектов, образы которых были созданы ранее, но в настоящий момент проекты не были изменены?

Верно ли, что docker-compose не создаёт образы тех проектов, образы которых были созданы ранее, но в настоящий момент проекты не были изменены?

эм. Можно по-русски?

я вообще НЕ РЕКОМЕНДУЮ использовать докер компоуз для СБОРКИ образов, т.к. поведение не очень очевидное

он НЕ трекает изменение исходных файлов для сборки образа

поэтому то что попадет в тест - скорее всего СТАРЫЕ образы. Если вручную не напишешь docker-compose build или pull

эм. Можно по-русски?

"Compose caches the configuration used to create a container. When you restart a service that has not changed, Compose re-uses the existing containers. Re-using containers means that you can make changes to your environment very quickly." Что понимается под измением контейнера?

это про другое

имеется в виду он обрабатывает изменения docker-compose.yml

и если есть изменения в конфигурации контейнера - он при up будет перезапущен

не более

и если есть изменения в конфигурации контейнера - он при up будет перезапущен

т.е. изменения в скрипте файла docker-compose.yml?

это не скрипт. но в целом - да, верно

Благодарю!

Привет! Подскажите как лучше настроить отправку почты, крутится докер с приложением на php нужно теперь отправлять почту. На самой машине настроил postfix, как мне теперь обращаться к нему из контейнера?

Привет! Подскажите как лучше настроить отправку почты, крутится докер с приложением на php нужно теперь отправлять почту. На самой машине настроил postfix, как мне теперь обращаться к нему из контейнера?

Зачем, так не работает. Пхп через функцию отправляет?

Не нужно обращаться на хостовую систему

Если очень нужно через постфикс хотя это странно очень,ставь рядом контейнер с ним

И обращайся к нему уже по имени.

Если очень нужно через постфикс хотя это странно очень,ставь рядом контейнер с ним

Ок. А как не странно отправлять? Php через функцию отправляет

В общем постфикс ставить рядом,есть готовый образ

Ок. А как не странно отправлять? Php через функцию отправляет

через смтп?

пуляй в нормальный смтп - типа яндекса, гугла или Ко. Если есть свой - ок, можно в свой

Подскажите что за код 1 The command '/bin/sh -c yarn global add @vue/cli' returned a non-zero code: 1 Аналогичный билд на другом компе работает отлично

Подскажите что за код 1 The command '/bin/sh -c yarn global add @vue/cli' returned a non-zero code: 1 Аналогичный билд на другом компе работает отлично

ашипка

где-то выше должен написать в чем конкретно

эта 1 просто exit code процесса

ашипка

а как узнать что за ошибка. Как то была проблема , связаннная с DNS. Решалась с помощью прописывания другого DNS.

выше где-то должен быть вывод процесса

если нету, то нужно каким-то ключом включить

но yarn должен писать

но yarn должен писать

An unexpected error occurred: "https://registry.yarnpkg.com/@vue%2fcli: getaddrinfo EAI_AGAIN registry.yarnpkg.com".

Да, что-то с днс

поставь гугловые

поставь гугловые

чет не помогло. Подключился к vpn своей конторы - заработало

Видимо ркн

Видимо ркн

мне кажется провайдер

Привет. Можете посоветовать, как лучше генерировать конфиги с конфиденциальными данными в Docker? Какие для этого есть best practices?

Привет. Можете посоветовать, как лучше генерировать конфиги с конфиденциальными данными в Docker? Какие для этого есть best practices?

hashicorp vault и подобное

hashicorp vault и подобное

Это помогает, но не решает проблему "курицы и яйца"

Привет. Можете посоветовать, как лучше генерировать конфиги с конфиденциальными данными в Docker? Какие для этого есть best practices?

git-crypt

Потому что в волт нужно как-то сходить. По какому-то токену.

Это раз

Два: все равно все секреты будут доступны в памяти контейнера. Т.е. потенциальный рут на хосте, где докер контейнеры может просканить память и найти все секреты

Два: все равно все секреты будут доступны в памяти контейнера. Т.е. потенциальный рут на хосте, где докер контейнеры может просканить память и найти все секреты

ты же понимаешь что докер тут не причем, что за безопасность секретов в памяти приложения отвечать должно само приложение

было бы желание - если ты получил возможность читать память - то мало что поможет

дальше вопрос рисков - насколько велик риск что у тебя дырочки такие которые позволяют произвольное чтение памяти

для 90% ситуаций и env переменных докера хватает, как бы если у тебя злоумышлинник получил рутовыве права внутри контейнера то у тебя будет явно побольше проблем

для 90% ситуаций и env переменных докера хватает, как бы если у тебя злоумышлинник получил рутовыве права внутри контейнера то у тебя будет явно побольше проблем

Вот это к вопросу коллеги выше

ты же понимаешь что докер тут не причем, что за безопасность секретов в памяти приложения отвечать должно само приложение

Несомненно

p.s. есть нюансы но все же память отдельных процессов изолирована, и дампить память просто так - это прям нужно жирные дырочки

Волт позволяет обеспечить: 1. Контроль за доступом к секретам 2. возможность пошарить секрет между несколькими потребителями