в плане сколько пробелов должны составлять один уровень отступа?

один уровень отступа?

glpi: build: simak/glpi ports: - "8080:80"

а вот где порты указываются

там уже два получается?

там уже второй уровень

то есть можно табами делать?

да

это обычный конфигурационный файл, как json

спасибо. Что то не завелось просто в первый раз) я подумал нужно по количеству пробелов считать, уже подумал, е..т...)

Уважаемые, добрый вечер, подскажите пожалуйста, есть ли в докере возможность указать source ip для нат, по-умолчанию все идет через главный ip сервера, а хотелось бы через алиас. Руками прописывать как-то не кошерно.

Уважаемые, добрый вечер, подскажите пожалуйста, есть ли в докере возможность указать source ip для нат, по-умолчанию все идет через главный ip сервера, а хотелось бы через алиас. Руками прописывать как-то не кошерно.

source ip для нат? Виртуальную машину имеешь в виду?

Yml имеет два пробельных отступа

source ip для нат? Виртуальную машину имеешь в виду?

я имею ввиду, что у меня есть контейнер, к примеру bind, в него прокинут 53 порт маппингом, но не с основного адреса интерфейса, а с алиаса. Входящие коннекты идут на алиас, а исходящие идут с основного адреса на хосте. Хотелось бы, чтобы исходящие запросы шли тоже с алиаса. Хочется обойтись без ручной правки iptables.

Я не понимаю, как ты знаешь, что "Входящие коннекты идут на алиас". Какой консольной командой проверял?

Вообщем, https://docs.docker.com/engine/userguide/networking/default_network/container-communication/ описывает как там внутри что происходит.Если мало, на youtube есть выступления разрботчика по network 2016 года. Там все разжевано

Я не понимаю, как ты знаешь, что "Входящие коннекты идут на алиас". Какой консольной командой проверял?

что значит проверял? у меня в docker-compose.yml прописан ip, соответственно на него и идут запросы. С этим проблем нет, проблема с source ip, как его можно указать для контейнера? доки, я прочитал, спасибо, не помогло, есть только куча открытых тикетов на эту тему.

https://github.com/docker/docker/issues/8519 и далее куча ссылок на тикеты. вот, собственно, задача

Звучит как ддосилка)

С умножением, иначе спуФ не объяснить

чего?

Есть такая атака с использованием днса

я в курсе, я описал конкретную задачу, причем здесь ддос?

Где хостовая машинка генерит днс запросы на резолв с определенного айпи

я не могу сделать трансфер зоны нормально с мастера на слейв, так как в зоне мастера прописан один ип, а запрос трансфера идет с другого

А в чем проблема сделать резолв через контейнер

перетрудились вы похоже

Поднять внутри днсмаск

какой резолв?

у меня итак поднят bind в контейнере, от того, что его заменить на dnsmasq ничего не изменится

На каждом из сервисов указать dns: контейнер с днсмаском

И все запросы пойдут через него

о госопди, это тут причем? у емня публичный днс-сервер, который поддерживает большую пачку зон, он работает уже лет 17

сегодня решил его наконец запихать в докер

конкретная проблема - не могу на слейве делать трансфер зон с мастера, потому что запросы идут не с того IP адреса

я это обошел конечно, но криво, добавив этот адрес тоже в access list

а хочется сделать нормальный SNAT, без костылей

Имхо это уже не докер, как только появились разнородные роли

что значит разнородные роли?

Разное поведение на вводе-выводе

что значит разное поведение?

Роутинг входящего и исходящего траффика

поведение как раз должно быть одинаковым, почему в докере по-умолчанию это не так я не знаю. так же как и идиотизм с тем, как приоритезация машрутов следует только из алфавитного порядка перечисления сетей в docker-compose

Допишите, если так хочется

Но инструмент работает по другому

Все что связанно с сетью или файловой системой - уже не тематика докера

а чего же? если он рулит iptables

Рулит он сам, при постороннем вмешательстве теряет сеть

и?

Задача докера изоляция от ввода-вывода

Ему все равно, на чем он запущен - макось, линукс или винда

а хочется сделать нормальный SNAT, без костылей

По snat, docker swarm гугли, если ещё не делал

-data-dir=/consul/data: not found <-- а директория создана что за нафиг

Смысла представляться нет. Вопрос, при открытии апи докера писано что имется доступ от рута, а для защиты надо пользовать тлс. Достаточно тупо прикрутить тлс, или нужен приватный серт который надо будет раскидать пользователям?

#whois Всем привет, я Full Stack Ruby on Rails разработчик из Санкт-Петербурга, использую docker в личных проекта, по большей части.

Собственно, не сочтите за наглость, но возник вопрос Локально для проекта создаю образ через docker build -t "$DOCKER_IMAGE:production" -f "$(pwd)/config/docker/Dockerfile" ., где $DOCKER_IMAGE - название образа затем выполняю push в https://hub.docker.com/ через docker push $DOCKER_IMAGE:production После этого через ssh захожу на удаленный сервер и с помощью docker-compose выполняю docker-compose run app bash (к примеру). И вот тут начинается самое интересное Если после создания образа локально сделать docker run -it $DOCKER_IMAGE bash и посмотреть на код, то это будет актуальная версия (та, с которой создавался образ в последний раз) Если на удаленном сервере вызвать ту же команду на загруженном образе - код проекта так же в актуальном состоянии Однако если вызвать docker-compose run app bash и посмотреть тот же файл, то он не сохраняется в актуальном состоянии. Одним словом, запуск через compose не подтягивает последние изменения с образа. Почему?

Смысла представляться нет. Вопрос, при открытии апи докера писано что имется доступ от рута, а для защиты надо пользовать тлс. Достаточно тупо прикрутить тлс, или нужен приватный серт который надо будет раскидать пользователям?

без сертификата не приконектишься удаленно просто

у тебя задача какая?

без сертификата не приконектишься удаленно просто

Ну я просто создал самоподписанный серт на машине и этого оказалось достаточно чтоб цепляться.

да так и делается, самоподписанного достаточно

просто по tls же траф идет, значит нужен сертификат

ERROR: S client not available

Ну просто юзеру я ничего не выдавал, никаких сертификатов. Коннектится просто так.

Собственно, не сочтите за наглость, но возник вопрос Локально для проекта создаю образ через docker build -t "$DOCKER_IMAGE:production" -f "$(pwd)/config/docker/Dockerfile" ., где $DOCKER_IMAGE - название образа затем выполняю push в https://hub.docker.com/ через docker push $DOCKER_IMAGE:production После этого через ssh захожу на удаленный сервер и с помощью docker-compose выполняю docker-compose run app bash (к примеру). И вот тут начинается самое интересное Если после создания образа локально сделать docker run -it $DOCKER_IMAGE bash и посмотреть на код, то это будет актуальная версия (та, с которой создавался образ в последний раз) Если на удаленном сервере вызвать ту же команду на загруженном образе - код проекта так же в актуальном состоянии Однако если вызвать docker-compose run app bash и посмотреть тот же файл, то он не сохраняется в актуальном состоянии. Одним словом, запуск через compose не подтягивает последние изменения с образа. Почему?

а ты пересобираешь контейнеры?

Eugene да, в docker-compose, который на удаленном сервере стоит image директива

речь про docker-compose up —build

я бы удалил контейнеры и заново бы их создал

Пробовал, не прокатило

чтобы точно быть уверенным, что эт не старые контейнеры

Если говорить более предметно - https://github.com/vforvad/Uprogress-server/blob/add-email-sending/docker-compose.production.yml https://github.com/vforvad/Uprogress-server/blob/add-email-sending/config/docker/Dockerfile

речь про docker-compose up —build

а эту пробовл?

да, то же самое

https://hub.docker.com/r/vsokoltsov/uprogress/tags/

вроде обновлено все

сделай на системе docker system prune -fa

https://develmail.com кто-то хотел фейковый смтп

лол, есть mailhog/mailhog)

Привет всем. Есть gogs в контейнере на digital ocean, подключил duckdns. Как сделать https с помощью lets encrypt? Запустил docker container certbot-а, сгенерировал сертификаты, а дальше не знаю. Сделал маппинг 443:3000 но все равно не работает. Первый пробую lets encrypt, помогите пожалуйста.

Привет всем. Есть gogs в контейнере на digital ocean, подключил duckdns. Как сделать https с помощью lets encrypt? Запустил docker container certbot-а, сгенерировал сертификаты, а дальше не знаю. Сделал маппинг 443:3000 но все равно не работает. Первый пробую lets encrypt, помогите пожалуйста.

а каким образом сервер использует сертификат?

а каким образом сервер использует сертификат?

Пока не понял как и что.

Вообще не понятно, что делать.

а в контейнере просто gogs? никаких nginx нигде нет?

у тебя на DO сервер, где есть докер контейнер с gogs?

Ага

я это в общем к тому, что тебе нужно научить какой-то веб-сервер использовать полученный сертификат. например, поднять nginx, который бы устанавливал защищенное соединение, используя сертификат, и проксировал бы запросы в gogs

Ого, спасибо, не знал про это.

https://www.listekconsulting.com/articles/cloudflare-full-ssl-with-gogs-go-git-service-using-nginx/

или используем caddy

если очень лень

у них вон даже статья есть

То есть получается 4 контейнера: gogs, nginx, duckdns и certbot?

https://www.listekconsulting.com/articles/cloudflare-full-ssl-with-gogs-go-git-service-using-nginx/

Спасибо большое, сейчас попробую.