@docker_ru
Konstantin31.05.2017
16:41:42
16:41:42
Можно и с nginx
Никита31.05.2017
16:42:02
16:42:02
Ты прав, вас таких много. Потому что делаете всё не правильно (
Я так понимаю тут парадигменное противоречие но вот в чем оно пока не догоняюKonstantin31.05.2017
16:43:52
16:43:52
Какая имена проблема с доступом к контенту контейнера?
GoogleНикита31.05.2017
16:46:51
16:46:51
Запуская nginx в дефолтной конфигурации, работает. Далее хочу долго и упорно править конфиг, так как nginx не настолько круто знаю, чтобы с первого раза написать проксирование для десятка сервисов. Хочу примонтировать папку /etc/nginx к хосту. Получаю пустую папку в контейнере.
Konstantin31.05.2017
16:56:02
16:56:02
Монтирование после запуска контейнера и соответственно появится контент который после запуска и создается
Делай cp и монтируй конфиг в контейнер
А так ты пытаешься к образу примонтироваться
Можно ещё в самом контейнере менять, но лучше вытащить и примонтировать
А так много образов с враперами, переменные подаешь и и он генерит
Alex31.05.2017
18:20:25
18:20:25
Посоны, я новый логотип принес
Egor31.05.2017
18:21:21
18:21:21
мочи
Alex31.05.2017
18:21:37
18:21:37
Egor31.05.2017
18:22:51
18:22:51
запредельное количество страдания в одной картинке
Никита31.05.2017
18:42:58
18:42:58
Google
Igor31.05.2017
19:12:17
19:12:17
Господа .env автоматом в сервисы подбрасываеться?
Konstantin31.05.2017
19:23:51
19:23:51
нет конечно
Роман01.06.2017
08:13:46
08:13:46
Странно, но порты, открытые только в докер контейнере (по отношению к докер-сети), которые отображаются netstat'ом:
tcp6 0 0 :::22 :::* LISTEN 542/sshd
tcp6 0 0 :::5432 :::* LISTEN 20633/docker-proxy
tcp6 0 0 ::1:25 :::* LISTEN 1716/exim4
тоже открыты во внешнюю сеть. Это нормальное поведение докера?
Но вопрос мой не в этом. Я хочу их закрыть и хорошим решением считаю такую штуку:
iptables -I DOCKER -i $external_if -j DROP
Но, например, после рестарта докера (а ещё не понятно, как будет при просто пересборке контейнера) это правило пропадает. Куда его можно записать, чтобы при рестарте докера или при пересборке контейнера, оно снова появлялось? Какой-то рестарт хук?
Basil_Snowman01.06.2017
08:42:07
08:42:07
может это спасет: https://docs.docker.com/engine/reference/builder/#entrypoint
Роман01.06.2017
08:53:46
08:53:46
может это спасет: https://docs.docker.com/engine/reference/builder/#entrypoint
Речь о хост-системе, а не о контейнерах.Basil_Snowman01.06.2017
08:55:19
08:55:19
приношу извинения, не сообразил.
Роман01.06.2017
11:48:29
11:48:29
Отвечу сам себе, может пригодится кому-нибудь.
Можно не трогать докеровские правила iptables, а создать свою цепочку в таблице mangle, в которую отправлять все пакеты с внешнего интерфейса. Назначить ей политику DROP по умолчанию и разрешить только то, что надо.
Konstantin01.06.2017
12:30:40
12:30:40
Роман01.06.2017
12:31:11
12:31:11
Да, либо в докере выключить iptables
Ну это руками придётся настраивать постоянно при рестарте контейнера.Konstantin01.06.2017
12:32:23
12:32:23
+/-
А вообще изначальный вопрос не понял, что значит открыты только в докер?
Oleg ?01.06.2017
13:46:02
13:46:02
Ребят всем привет. Не понимаю что не так. Создаю docker service create -e NAME="myname" -e BUCKET="s3bucket" -e ... image
поднимается сервис.
внутрь захожу, вижу что env подцепил. но скрипт который внутри почему то не хавает NAME переменную. все остальные правильно вставляет, а ее нет. менял на другие значения key=value, все равно не хочет.
есть идеи?
нашел в баше ошибку
Роман01.06.2017
14:46:20
14:46:20
А вообще изначальный вопрос не понял, что значит открыты только в докер?
Я имел в виду, что я не делал -p 80:80 и порт доступен только из соседнего контейнера, который в этой же сети (docker-compose'ом собирал)Роман01.06.2017
14:48:16
14:48:16
Правильно ли то, что этот порт доступен из интернета?
Konstantin01.06.2017
14:49:17
14:49:17
только при публикации и —host кажется, не юзаю host не скажу точно
GoogleРоман01.06.2017
14:50:05
14:50:05
В том и дело, что это не —host. Докер-композ создаёт свою сеть. В ней располагает контейнеры, которые видят порты друг друга.
И эти порты видят все в интернете)
Konstantin01.06.2017
14:52:30
14:52:30
Konstantin01.06.2017
14:57:32
14:57:32
Версия докера актуальная? Docker_opts стандартный?
Роман01.06.2017
14:59:07
14:59:07
Что-то я заработался похоже. Порты же открыты на 0.0.0.0 через -p. Сорян. Так и должно быть).
Роман01.06.2017
15:02:12
15:02:12
Да. Я рассматривал этот вариант. Контейнеров слишком много, чтобы каждый править. Проще на уровне хост-системы в iptables было разрешить только то, что нужно.
Konstantin01.06.2017
15:03:13
15:03:13
угу, ну допустим если прокси(nginx, haproxy) на хосте, то и смысла нет публиковать на все интерфейсы
Anton01.06.2017
20:30:48
20:30:48
А кто как борется с докером на маке?
Сегодня обнаружил, что после очистки контейнеров какой-то файл занимает 67G
67G, Карл!
Ilya01.06.2017
20:31:34
20:31:34
Образы? Вольюмы?
Anton01.06.2017
20:32:09
20:32:09
Все удалил
Собственно баг описан в docker for mac. Я хотел спросить может кто-то разбирался и знает лучшие методы нежели удаление докера каждые несколько дней.
Google
Dmitriy01.06.2017
20:33:33
20:33:33
удали мак, поставь нормальную ось
Anton01.06.2017
20:33:39
20:33:39
Хм, завтра попробую, когда там опять несколько гб будет
Я не могу удалить мак
Andrey01.06.2017
20:33:46
20:33:46
не пробуй
Anton01.06.2017
20:33:52
20:33:52
я хипстер а не девопс какой-то
AdminERROR: S client not available
Andrey01.06.2017
20:33:53
20:33:53
не надо, докер не для мака)
вообще, это как бы признак latest)
кто-то очень любит не фиксировать версии
Anton01.06.2017
20:34:40
20:34:40
В смысле?
Andrey01.06.2017
20:34:48
20:34:48
у меня все вольюмы при восьми проектах не превышают 5 гигов
Anton01.06.2017
20:34:57
20:34:57
А
Так вольюмов у меня 0
Там толстый контейнер с андроидом и эмулятором
Он сам по себе 5G
Но это уже отдельная история
Anton01.06.2017
20:36:06
20:36:06
я уже в бешенстве
Dmitriy01.06.2017
20:36:12
20:36:12
кто-то очень любит не фиксировать версии
да у меня сегодня с adminer проблемка была, проставил версию не последнюю заработалоGoogleAnton01.06.2017
20:37:12
20:37:12
Но про лейтест хорошее замечание, спасибо!
Вся эта пижня на circleci собраться и оттестироваться не может, и вот я решил что я умнее парней из circleci и соберу свой образ с эмулятором и SDK
Alexander01.06.2017
21:12:00
21:12:00
а когда новая стабильная версия докера выйдет?
я ждал сегодня
( у меня Docker 17.03.1-ce-mac12 )
я немного не понял их релиз-цикл, вот они вроде как выпустили новую версию, но она почему-то только в Docker Cloud'е доступна и с пометкой Edge, а для маков когда?..
Anton01.06.2017
21:14:25
21:14:25
Там в тикетах люди какие-то rc ставят, так что скоро
Alexander01.06.2017
21:15:12
21:15:12
то есть лучше подождать, да? нет смысла переходить на эти ежемесячные релизы?
Anton01.06.2017
21:15:41
21:15:41
там вроде в настройках можно пыцку поставить, что мол я сумасшедший и хочу сидеть на бете
Alexander01.06.2017
21:15:57
21:15:57
я думал, там выбор между раз в 3 месяца и раз в месяц
меня раз в 3 месяца устраивает
но если это раз в полгода, а не раз в 3 месяца - я ушёл бы на бету
Anton01.06.2017
21:16:53
21:16:53
Да я чет вообще не задумывался на каком я там сижу
Пока сегодня файл размером 67G не увидел
Alexander01.06.2017
21:17:06
21:17:06
ну вот я пользуюсь —squash, к примеру
Anton01.06.2017
21:17:11
21:17:11
И понеслась
Открыть в Telegram