Тогда, васян топишь х-ню, топи в тематическом чате

Ну я хоть про распилы/разливы бабла в паблике не рассуждаю. значит не такой уж и плохой мальчик

не то что некоторые пиздюки

Еще раз, по теме?

Еще раз, по теме?

да

А тут каждый день спецолимпиада, а докер - всего лишь ее прикрытие, да?

@hitmaker может уже пора? - "Флуд и непрофессиональное поведение запрещено"

Скандальчики, интрижки, расследовашки

Денежки

Я хз откуда он про деньги и распилы собрал, у него хватило фантазии про байткод придумать)

Народ, а можно ли как-то просто запилить репликацию между двумя регистри?

Это вообще был вопрос про ассемблер, типа что же такое ассемблер, если не низкоуровневый язык, он что в байткод мнемоники компилит)

Народ, а можно ли как-то просто запилить репликацию между двумя регистри?

Я поднимал на попробовать replicated, оно зеркалирует образа

подскажите как лучше организовать docker-compose если сервер и клиент лежат в разных репозиториях

нужен отдельный скрипт который будет билдить 2 контейнера, заливать их на хаб и docker-compose который depends на эти 2 контейнера

или это неверное направление

Докер композ может с разных файлов конфигурации подыматься, только это будут разные сети

Можно заморочиться, зафиксировать айпи, но лучше сделать единый файл конфига для сервисов, которые будут в одной сети

да это понятно, с этим есть опыт делал nginx-proxy + client app

вопрос в том как разрулить то что сорсы лежат не в одном репозитории

то есть для полного компоуза нужен клиент и сервер контейнеры docker-compose лежит в репозитории клиента

как оттуда правильнее забрать серверный контейнер? чтобы как раз его как сервис там использовать

У меня указан image в начале докер-композа

Его собирает гитлаб каждый раз при сборке мастера

и пушит на докер хаб

а компоуз потом подтягивает оттуда, верно?

Но там жесть с именованием сервиса, почитай доки, он автоматом три алиаса на хостмашине в етц хостс пихает

Да, все верно

можешь кинуть пример docker-compose? или может есть open source, не могу найти хороших, везде одни hello world

btw спасибо за направление уже лучше

Что такое удобный способ управления образами?

Ну я так понял нет нормального способа посмотреть образы в локальном реестре, удалять их оттуда, искать только в нем

я правильно понимаю что для registry:2 нет удобного способа управления образами?

Есть harbor от VMware

Удобная штука

я бы не сказал

Возможно, я не прав, но если не брать это в учет, то зачем нужны волумы? Что бы напрямую не прокидывать папку из хоста?

Возможно, я не прав, но если не брать это в учет, то зачем нужны волумы? Что бы напрямую не прокидывать папку из хоста?

Волумы не дропаются по умолчанию, например

Есть harbor от VMware

я вот чет перед сном полез смотреть ее как то, и понял что она какжется сложная. С ней реально разобраться за денек? или там на недельку зависнуть можно?

А удаленные образы как работают? Они выкачивают данные и потом доступны или тормозят исходя из скорости сети?

Волумы не дропаются по умолчанию, например

Проброшенные файлы в хостовую систему тоже не дропаются)

я вот чет перед сном полез смотреть ее как то, и понял что она какжется сложная. С ней реально разобраться за денек? или там на недельку зависнуть можно?

Я поставил часа за 2, но мне нужно было избавится от их nginx. Так то на отдельном сервере ее можно развернуть чисто через их docker-compose.yml. Базовый фунционал достаточно простой. Просто поставил, создал пользователей, docker login и пошел фигачить репо. В целом, за день-другой можно совсем разобратся, а работать уже через часик-другой.

Разве что еще с https нужно будет возится, я этого счастливо избежал, потому что мне nginx мой давал https

https://www.youtube.com/watch?v=c5GZC3KYtLQ

оно ещё актуально или что-то новее есть?

вопрос знатокам. делаю из контейнера файлы ,получается в системе где докер (папка замаунчена в контейнер) появляется файл не от моего пользователя, естесно нужно делать chmod чтоб в файлы можно вносить данные с IDE. Как сделать чтоб права были от моего пользователя? вопрос не тривиален, просто бесит

Контейнер запустить от правильного пользователя

имеется ввиду не от судо?

sudo

Да

Можно запустить от другого пользователя. В идеале, можно узнать свой номер пользователя и запустить от него

https://docs.docker.com/engine/reference/run/#user

ого https://github.com/moby/moby/pull/32691

говорю же

переименовываемся

Moby - Natural Deploys

и фото хвоста как лого, чтобы под хвост)

вопрос знатокам. делаю из контейнера файлы ,получается в системе где докер (папка замаунчена в контейнер) появляется файл не от моего пользователя, естесно нужно делать chmod чтоб в файлы можно вносить данные с IDE. Как сделать чтоб права были от моего пользователя? вопрос не тривиален, просто бесит

это немного хак, но если зашарен вольюм то можно просто права для uid:1000 проставить

я для нгинкса делаю в конце RUN usermod -u 1000 www-data

можно конечно проставить USER и заморочиться на создания правильного пользователя, но это имхо если очень хочется)

Так что такое Moby? Сборка целой ОС налету? КТо уже попробовал?)

Возможно, я не прав, но если не брать это в учет, то зачем нужны волумы? Что бы напрямую не прокидывать папку из хоста?

их сделали какие-то ограниченные люди по своим непонятным мотивам

уже потом туда подкинули всякие плагины

Можно запустить от другого пользователя. В идеале, можно узнать свой номер пользователя и запустить от него

oh my

oh my

Я настолько неправ, что меня пора закидать арбузами7)

когда запускаю контейнер пишет "I have not name!" ладно, фих с ним

Я настолько неправ, что меня пора закидать арбузами7)

зачем вам вообще всякие www-data в контейнере?

Хм ... секьюрность, однако)

ERROR: S client not available

секьюрность чего?

Некоторые приложения принципиально не запускаются от рута

файлов, которые идут в стандартном дистрибутиве и которые можно скачать простым докер пулл?

Например, твоего приложения. Рутовский доступ все-таки рутовский, пусть даже в контейнере

Если туда попасть, то ты получаешь под свое управление весь контейнер

Что теоретически, может привести к проблемам

Например, твоего приложения. Рутовский доступ все-таки рутовский, пусть даже в контейнере

если у пользователя, под которым бегает контейнер, нет доступа к твоим файлам, то чем вообще занимается контейнер?

А так же за тем, что бы правильно управлять правами файлов

ну веб сервер под ввв-датой гоняется

ну веб сервер под ввв-датой гоняется

дак зачем

это логично, можно конечно gosu впилить

если у пользователя, под которым бегает контейнер, нет доступа к твоим файлам, то чем вообще занимается контейнер?

Доступ к файлам есть. Доступ к разделу есть. А админских прав то нет

это частный случай, политика партии

и как это спасет?

это не "политика партии", это "я не хочу думать"

я может чет не то делаю.. но при поднятии конейнеров через докер-компоуз, я не могу зайти в контейнер от пользователя который я указываб

Невозможность модифицировать контейнер изнутри, например?

только рут

так а что там модифицировать?

/etc/shadow?

Скажем, никто не зайдет на контейнер и не понаставить там червяков и еще какой-то ереси

в /tmp что ли записать не сможет?

если он пробрался в контейнер, он уже видит все секреты и имеет возможность удаленного выполнения кода

ему даже модифицировать ничего не нужно

И чем ему это поможет, если это, например, контейнер с nginx?

У него есть только статика и unix-socket к сайту

unix-сокет?

а вы хорошо контейнеры организуете

Ну, я сайты прокидываю через unix-socket, простите)

в том и дело, что зачем там ебаться с www-data, если это ничего не дает

частные кейсы, когда стоит переключиться с рута, есть. но в большинстве случаев любой другой пользователь уже экспоузит все, что может быть нужно злоумышленнику.

это не защита, это "защита"