версия?

3

Думаю у тебя все таки проблемы с запуском зависимостей, глянь логи. Скорее всего они попробовали запуститься и отвалились.

Нет, прямо в консоли видно как они запускаются

как при билде скачать зависимость из приватной (доступ по паролю/токену/ключу) репы?

как при билде скачать зависимость из приватной (доступ по паролю/токену/ключу) репы?

docker pull -u -p

Ну или docker login сначала

Ну или docker login сначала

а, не. Я имею ввиду, у меня проект зависит от либы, которая в другой гитовой приватной репе. Пакетный менеджер пытается ее скачать при билде в контейнере, но контейнер ничего не знает про доступ в ту репу.

в другом репозитории или в другом проекте

два проекта A и B, две гитовых(!) репы A и B. А зависит от B. Если билдить A, то пакетный менеджер А попытается склонировать репу B.

У вас multiproject pipeline's?

Или git clone

а, не. Я имею ввиду, у меня проект зависит от либы, которая в другой гитовой приватной репе. Пакетный менеджер пытается ее скачать при билде в контейнере, но контейнер ничего не знает про доступ в ту репу.

ssh config правильный соберите

или дайте больше деталей

Короче, не знаю что он хочет, но в общем вот git clone -b dev http://login:password@git.example.ru/path/to/project.git

два проекта A и B, две гитовых(!) репы A и B. А зависит от B. Если билдить A, то пакетный менеджер А попытается склонировать репу B.

а что за ci? Jenkins?

а если —single-branch добавить?

а что за ci? Jenkins?

circle

У вас multiproject pipeline's?

1. Клоню проект А 2. Там, ну например, пусть будет npm 3. Делаю npm install, он качает зависимости (проект B) из приватной репы гитом.

Если я это делаю просто на своем компе это работает, потому что мой комп имеет доступ к приватной репке. Если я это делаю при билде образа, то при попытке скачать зависимость все ломается, потому что контейнер, очевидно, не имеет доступа к приватной репке.

Если я это делаю просто на своем компе это работает, потому что мой комп имеет доступ к приватной репке. Если я это делаю при билде образа, то при попытке скачать зависимость все ломается, потому что контейнер, очевидно, не имеет доступа к приватной репке.

ну так добавь деплой ключи

а у тя циркл...хз ну как минимум переменные там есть.

а у тя циркл...хз ну как минимум переменные там есть.

дело же не в том, какой сиай, как с локальной машины это сбилдить?

ну так добавь деплой ключи

деплой ключи добавлять нужно пер проджект, это муторно

Ну доступ к доступ по ключу к репе?

или по логин-паролю/токену

Погоди а почему ключ не скопировать при билде с хостовой машины

копировать приватный ключ? жуть.

а если DOCKER_HOST remote? заходи кто хочешь, бери мой ключ кто хочешь?

Ну ты обрисовал всё сразу..без если

копировать приватный ключ — хреновая идея безо всяких если

ну у меня собирается в одном из проектов в гилабе ,и проблем нет...есть деплой ключи.

сегодня не remote, завтра remote. А мейкфайлы, докерфайлы, сиайконфиги уже написаны для пары десятков проектов и переписывать их никто не будет за один день

сегодня не remote, завтра remote. А мейкфайлы, докерфайлы, сиайконфиги уже написаны для пары десятков проектов и переписывать их никто не будет за один день

я не вижу выхода..ты же понимаешь раз репа приватная доступ как никак нужен.

ладно, я думал мож кто предложит вот это и тогда я спрошу насколько оно стабильно: https://docs.docker.com/develop/develop-images/build_enhancements/

ты хочешь при билде копировать ... не передавая крединталы

ты хочешь при билде копировать ... не передавая крединталы

я ключ не хочу копировать приватный. Передать секрет (токен или пароль), я в целом не против.

я ключ не хочу копировать приватный. Передать секрет (токен или пароль), я в целом не против.

блин всё равно передаёшь...и при чём тут приватный

Погоди а почему ключ не скопировать при билде с хостовой машины

а какой это ключ если не приватный?

если сильно морочиться по секурности, то тогда через гит апи создать ключ, после чего удОлить)

https://developer.github.com/v3/users/keys/#create-a-public-key

если сильно морочиться по секурности, то тогда через гит апи создать ключ, после чего удОлить)

копировать свой собственный ключ — это вообще не морочиться по секурности. То есть можно его сразу распечатать и повесить в офисе на стенку.

короче, я пока сделал через эту экспериментальную фичу с монтированием секретов для конкретного RUN шага, но не знаю, насколько это стабильно

я может не очень понимаю вас: просто в моем видении это примерно так 1) при запуске пайплайна генерить НОВЫЙ ключ через гитапи 2) подкладывать ключ в контейнер 3) качать всё что вам надо 4) удОлять ключ

ну да, тоже вариант, но чо-то много слишком шагов. Если 2 или 3 упало, то надо писать обработчик, который удостоверяется, что 4 отработало и т.д. Сложнааа.

а какой это ключ если не приватный?

Приватный ... но его тоже можешь удОлять на сл шаге .

Приватный ... но его тоже можешь удОлять на сл шаге .

вот его и угонят пока зависимости качаются

Как это?) кто

Как это?) кто

любой, кто имеет доступ к докер билд хосту

оууу...так он не твой..

вот его и угонят пока зависимости качаются

фигасе вы загонный) у нас на проекте вон как создали единый ключ к проду года этак три назад - так и пользуются, люди уходят, приходят, а ключ не меняется

любой, кто имеет доступ к докер билд хосту

собирай у себя

вот его и угонят пока зависимости качаются

это во-первых, во-вторых, шаг качания зависмостей может упасть и поэтому шаг удаления ключа может никогда не наступить и останется висеть dangling image с моим приватным ключом

как всё плохо...

собирай у себя

у себя где? под подушкой? реальность чуть суровее

Реальность что должны быть машины для сборки

Всем привет. Два контейнера, один образ docker:dind, второй убунту. Когда пыюась обратиться, то root@61633906cab8:/code# docker ps Error response from daemon: Client sent an HTTP request to an HTTPS server. подскажите, чем лечить

Реальность что должны быть машины для сборки

ну я про них и говорю, к ним очевидно не я один имею доступ

Ну значит костыль

что костыль?

я может не очень понимаю вас: просто в моем видении это примерно так 1) при запуске пайплайна генерить НОВЫЙ ключ через гитапи 2) подкладывать ключ в контейнер 3) качать всё что вам надо 4) удОлять ключ

Это

Хотя уверен что все правильно поняли задачу

копировать свой собственный ключ — это вообще не морочиться по секурности. То есть можно его сразу распечатать и повесить в офисе на стенку.

?‍♂

Это

это слишком сложно

Ты костылестроитель

это слишком сложно

Самое простое решение очевидно неверное

Всем привет. Два контейнера, один образ docker:dind, второй убунту. Когда пыюась обратиться, то root@61633906cab8:/code# docker ps Error response from daemon: Client sent an HTTP request to an HTTPS server. подскажите, чем лечить

В гитлабе ?

Ты костылестроитель

то есть надо приватный ключ копировать?

Всем привет. Два контейнера, один образ docker:dind, второй убунту. Когда пыюась обратиться, то root@61633906cab8:/code# docker ps Error response from daemon: Client sent an HTTP request to an HTTPS server. подскажите, чем лечить

а тбе нужен dind?

а тбе нужен dind?

нужен

собираешь контейнеры в контейнере?

или что то круче?

то есть надо приватный ключ копировать?

Не обязательно свой. Можешь завести фиктивного юзера и добавить его в обе репы, можешь деплой ключ, можешь вообще заюзать вольт и тащить ключ из него

собираешь контейнеры в контейнере?

ну мне нужна возможность внутри контейнера с убунтой создать другой контейнер

Но концептуально все крутится вокруг ключа (токена) для доступа к конкретной репе

ну мне нужна возможность внутри контейнера с убунтой создать другой контейнер

kaniko

и жизнь станет проще

ну мне нужна возможность внутри контейнера с убунтой создать другой контейнер

https://github.com/GoogleContainerTools/kaniko

контейнер который собирает имеджы. без dind

А если надо автоматизировать работу с гитлабом, то тебе скорее всего помогут проекты (можно доступ на проект давать) и гитлаб апи

копируйте не приватный, создайте токен, запихуйте в вольт, при сборке получайте токен из вольта и качайте приватные репы, причем токен создайте изначально с обрезанными пермишенами

контейнер который собирает имеджы. без dind

А ещё можно umoci & buildah

Kaniko, например, не умеет в докер мультистейдж

А это больно

копируйте не приватный, создайте токен, запихуйте в вольт, при сборке получайте токен из вольта и качайте приватные репы, причем токен создайте изначально с обрезанными пермишенами

?

https://github.com/GoogleContainerTools/kaniko

спасибо, почитаю

Kaniko, например, не умеет в докер мультистейдж

я не напарывался. пойду проверю

копируйте не приватный, создайте токен, запихуйте в вольт, при сборке получайте токен из вольта и качайте приватные репы, причем токен создайте изначально с обрезанными пермишенами

получать его из вольта из контейнера?

откуда у контейнера доступ к вольту?

копируйте не приватный, создайте токен, запихуйте в вольт, при сборке получайте токен из вольта и качайте приватные репы, причем токен создайте изначально с обрезанными пермишенами

дя норм идея. но мог бы и так создать обрезаноГо , и не париться. Вообще это странно что билд-машина для всех и нужно бояться ...

дя норм идея. но мог бы и так создать обрезаноГо , и не париться. Вообще это странно что билд-машина для всех и нужно бояться ...

а у вас собственная билд машина только для вас одного?

а у вас собственная билд машина только для вас одного?

у меня всё через гит лаб.

не у контейнера, у сборщика есть доступ в вольт, а токен передавайте как ENV (или ARG путаюсь еще) в контейнер

и да машина для меня и не одна,так как я единственный девопс.

что мне боятся что разрабы мой ключ утянут?? )

Создали себе гемор, а теперь хз как решить...ну так се.

что мне боятся что разрабы мой ключ утянут?? )

я и говорю, можно распечатать его на стенку, кому он нужен

Kaniko, например, не умеет в докер мультистейдж

https://github.com/GoogleContainerTools/kaniko/pull/141

не у контейнера, у сборщика есть доступ в вольт, а токен передавайте как ENV (или ARG путаюсь еще) в контейнер

ну я в итоге так и делаю, только не через ENV, а через секрет

я и говорю, можно распечатать его на стенку, кому он нужен

У тебя гитлаб свой или облачный ?