sysctl: setting key "vm.nr_hugepages": Read-only file system

в гугле куча github-issue с простынями обсуждений, и никакого решения

никак, применяется конфигурация sysctl с хостовой машины

а если у меня Docker for Mac?

а, предлагают запускать с --privileged

Кто-то конфигурил openvpn по этой инструкции? https://www.digitalocean.com/community/tutorials/how-to-run-openvpn-in-a-docker-container-on-ubuntu-14-04 У меня не получилось выйти в интернет, все остальное работает :)

не по инструкции, но да

юзаю его

не по инструкции, но да

Подскажешь, как сделать так, что бы доступ в интернет был? Вроде все сделал + сам настроил nat

MASQUERADE all — 178.157.0.0 anywhere MASQUERADE all — 178.158.0.0 anywhere

def gateway?

Конфиг как-то так выглядит

https://gist.github.com/SirEdvin/83f1b22ac6dcfe719b4319a99c56171b

Возможно, я что-то забыл?

net.ipv4.ip_forward = 1 это есть?

на хосте firewall по дефолту или что-то настраивал?

net.ipv4.ip_forward = 1 это есть?

Да, вроде настроил, firewall только от iptables + docker, ничего там не менял. Разве что forward стоит drop nat как-то так выглядит: Chain PREROUTING (policy ACCEPT) target prot opt source destination DOCKER all -- anywhere anywhere ADDRTYPE match dst-type LOCAL Chain INPUT (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination DOCKER all -- anywhere !127.0.0.0/8 ADDRTYPE match dst-type LOCAL Chain POSTROUTING (policy ACCEPT) target prot opt source destination MASQUERADE all -- 172.22.0.0/16 anywhere MASQUERADE all -- 172.17.0.0/16 anywhere MASQUERADE all -- 172.21.0.0/16 anywhere MASQUERADE all -- 172.18.0.0/16 anywhere MASQUERADE all -- 172.20.0.0/16 anywhere MASQUERADE all -- 172.19.0.0/16 anywhere MASQUERADE all -- 192.168.255.0/24 anywhere MASQUERADE all -- AC9E0000.ipt.aol.com/16 anywhere MASQUERADE all -- 10.8.0.0/24 anywhere MASQUERADE all -- 10.8.0.0/24 anywhere MASQUERADE all -- 10.8.0.0/24 anywhere MASQUERADE all -- AC9E0000.ipt.aol.com anywhere MASQUERADE all -- AC9E0000.ipt.aol.com/24 anywhere MASQUERADE all -- 178.157.0.0 anywhere MASQUERADE all -- 178.158.0.0 anywhere MASQUERADE all -- AC9E0000.ipt.aol.com anywhere Chain DOCKER (2 references) target prot opt source destination RETURN all -- anywhere anywhere RETURN all -- anywhere anywhere RETURN all -- anywhere anywhere RETURN all -- anywhere anywhere RETURN all -- anywhere anywhere RETURN all -- anywhere anywhere

https://github.com/kylemanna/docker-openvpn/blob/master/bin/ovpn_run

т.е. iptables не трогай

я def route не использую и не скажу точно что да как, сейчас голова забита, но судя по твоим роутам - тебе тоже деф роут не нужен

Судя по всему, мне нужно попробовать добавить пару переменных окружения OVPN_NAT. Ну, route нормально отрабатывают и до нужного сервера пакеты доходят, а дальше бульк (

docker run -v $OVPN_DATA:/etc/openvpn —rm openvpn ovpn_genconfig -u udp://vpn.company.com -N -d -n 172.21.0.2 -p "route 172.21.32.0 255.255.240.0" -p "route 172.21.0.0 255.255.240.0"

как генеришь конфиг?

Судя по всему, мне нужно попробовать добавить пару переменных окружения OVPN_NAT. Ну, route нормально отрабатывают и до нужного сервера пакеты доходят, а дальше бульк (

https://github.com/kylemanna/docker-openvpn/blob/892a3c9a1ce9ab2d5ceed5b67805e8a531c22597/bin/ovpn_genconfig#L84 смотри help

всё что тебе нужно: cap_add: - NET_ADMIN

и правильный конфиг сгенерить

Вот такой командой ovpn_genconfig -u udp://server_ip:1194 -s 172.158.0.0/16 -r 172.158.0.0/16 -N -d

А роуты, похоже, нужно передавать так в конфиг просто прописать не получится, да?)

Печалька, а то там все грустновато (Как-то так https://github.com/zhovner/zaborona_help/blob/master/config/openvpn/ccd/DEFAULT) Но попробую, спасибо)

Печалька, а то там все грустновато (Как-то так https://github.com/zhovner/zaborona_help/blob/master/config/openvpn/ccd/DEFAULT) Но попробую, спасибо)

ты главное это почини - 172.158.0.0

https://ru.wikipedia.org/wiki/%D0%A7%D0%B0%D1%81%D1%82%D0%BD%D1%8B%D0%B9_IP-%D0%B0%D0%B4%D1%80%D0%B5%D1%81#IPv4

Я выделяю сети как мудак, да)

@SirEdvin можешь попробовать банально вот так за 2 команды запустить, http://p.umputun.com/p/2014/08/12/svoi-sobstviennyi-vpn-za-3-minuty/

нет довария Умпутуну

Это не совсем его проект, оригинал тут: https://github.com/jpetazzo/dockvpn :)

Это не совсем его проект, оригинал тут: https://github.com/jpetazzo/dockvpn :)

нет доверия к выбору Умпутуна :)

Ну

Зато заработало

Осталось выяснить в чем магия и перенести на решение до этого

магия в врапере, jpetazzo/dockvpn - тут просто конфиг суёшь, в том генерится

кстати, —privileged не стоит, -cap_add NET_ADMIN должно хватить

кстати, —privileged не стоит, -cap_add NET_ADMIN должно хватить

Кажись, в net host может быть проблема) Будет дома, проверю

Ты через хост нет?

коллеги, а кто-нибудь сталкивался с проблемой – в docker swarm mode иногда коннект между контейнерами пропадает: connection refused?

коллеги, а кто-нибудь сталкивался с проблемой – в docker swarm mode иногда коннект между контейнерами пропадает: connection refused?

Нет, а что по нагрузке?

Нет, а что по нагрузке?

В том то и дело, что нагрузки нет, есть 3 контейнера одного сервиса, два из них по своим IP прекрасно отвечают на curl из других контейнеров, а третий нет. Причем на сам в сам контейнер можно зайти и сделать там curl на себя и все работает.

Пробовали tcpdump ить ingress сеть ничего необычного не нашли

одна нода?

3 ноды

2 кластера

В каждом кластере есть такой контейнер

Я ещё не пробовал их даунскейлить

При рестарте контейнеров ситуация не меняется

в логах докера нет ошибок? ntp настроен?

на момент потери сети - сравни вывод iptables, должен быть одинаков

3 ноды - все manager?

Вместо рнрмайадмин я пихаю adminer, он полегче и хост указать можно

складывается впечатление, что некоторые выбирают инстументы по каким-то туториалам

какой туториал нашли - то и юзают

Ты через хост нет?

Да, как оказалось, host=net все портит, у контейнера очень тонкая огранизация внутри :) Но мне в целом это даже норм

Большое спасибо за помощь! : )

Да, как оказалось, host=net все портит, у контейнера очень тонкая огранизация внутри :) Но мне в целом это даже норм

ну если ты используешь host (хотя в доках наоборот), то и -s 172.158.0.0/16 -r 172.158.0.0/16 не актуально, это же сеть внутри докера

ERROR: S client not available

Возможно будет полезно https://www.youtube.com/watch?v=lJsqRwULRVA

Всем, добрых выходных. Парни, помогите раскопать причну. FROM ubuntu:16.04 RUN apt-get update && apt-get install -y liquidsoap \ && rm -rf /var/lib/apt/lists/* \ && apt-get clean -y \ && apt-get autoremove -y #COPY ./entryscript.sh /home/liquidsoap/entryscript.sh #RUN chmod 777 /home/liquidsoap/entryscript.sh COPY config/radio.liq /home/liquidsoap/config/radio.liq RUN mkdir /home/liquidsoap/log RUN touch /home/liquidsoap/log/basic-radio.log RUN chown -R liquidsoap:liquidsoap /home/liquidsoap/ RUN chmod -R 775 /home/liquidsoap/ USER liquidsoap CMD ["liquidsoap", "-v", "/home/liquidsoap/config/radio.liq"] После сборки образа и запуска конейнера, докер останавливает контейнер с ошибкой liquidsoap_1 | init: exception encountered during start phase: liquidsoap_1 | Sys_error("/home/liquidsoap/log/basic-radio.log: Permission denied") Вижу причну. Но не понимаю, почему прав нет? Я же при билде контейнера выдал их пользователю liquidsoap

Я сейчас подумал... Проблема в том, что через Compose я монтирую каталог log, а он пустой на момент монтирования, следовательно содержимое в контейнере затирается... Опять, те грабли... Простите, кого отвлек

Но остается вопрос, как грамотно вести логирование в такой ситуации

Народ, всем привет. Объясните новичку, чем докер лучше виртуальной машины на kvm ?

Народ, всем привет. Объясните новичку, чем докер лучше виртуальной машины на kvm ?

KVM - Уровень гипервизора, Docker - Уровень ОС

KVM - Уровень гипервизора, Docker - Уровень ОС

Наверное Docker уровень процесса? ))

На уровне ОС - openvz

Наверное Docker уровень процесса? ))

Цитирую Википедию :)

Для админов это что значит? Работает быстрее или наоборот медленнее ?

Для админов это что значит? Работает быстрее или наоборот медленнее ?

KVM будет виртуализировать аппаратное обеспеченеи, Докер не будет. Понятно, что KVM нужно больше ресурсов

Ну падение производительности на 3-5% вполне терпимо.

Ещё какие аргументы будут ?

Ещё какие аргументы будут ?

У меня больше их нет :)

Для меня выбор в пользу докера исключительно в удобстве и быстроте разворачивания сервисов с сохранением окружения

Можно ли в докере зафризить контейнер, сделав его снапшот, как в libvirt/kvm, временно выключив, а потом возобновив выполнение ?

Например нужно перезагрузить физический сервер, и чтобы на контейнеры это никак не почувствовали ?

В случае kvm - Это фриз всех машин с сохранением состояния, ребут, а потом восстановление с прежней точки сохранения

А в докере как?

А в докере как?

Возобновить выполнение контейнера нельзя. Каждый раз контейнер будет создан снова из образа, который вы создаете заранее или берете готовый из репозитория

То есть если вы хотите перезагрузить докер хост, то контейнеры нужно пересоздать на этом хосте

Поэтому в контейнерах нельзя хранить persistent информацию, ее нужно выносить вне. Например логирование, базы данных...

Процедура перезапуска легко автоматизируется и даже не требует вашего участия. Нужно только убедиться, что контейнеры завелись и работают так, как нужно

Получается вы можете переносить образы на любые докер хосты и разворачивать аналогичные окружения на множестве хостов

Хорошо, спасибо

Хорошо, спасибо

Пожалуйста

Поэтому в контейнерах нельзя хранить persistent информацию, ее нужно выносить вне. Например логирование, базы данных...

Wtf?

Wtf?

Я не прав?

Конечно не прав

Ты до сих пор не разобрался с volume/mount?