нет

https://docs.docker.com/network/host/

Как тогда сделать only host?

А что нужно? Сеть общая с хостом но без интернетов?

А что нужно? Сеть общая с хостом но без интернетов?

именно

именно

создай отдельную сетку и запрети из нее ходить наружу

создай отдельную сетку и запрети из нее ходить наружу

а тип сети какйо должен быть ?

честно вообще не сталкивался еще

честно вообще не сталкивался еще

Бридж мне кажется https://docs.docker.com/network/bridge/

Допустим, бридж. Но как я вижу, по дефолту контенеры с ним тоже имеют доступ в интернет

Каким образом запретить доступ в интернет? Возможно, лучше использовать сеть none и прокинуть нужные порты? есть возможность прокинуть не из наружи во внутрь, а наоборот, из нутри контейнера наружу?

такая сеть есть по умолчанию...

такая сеть есть по умолчанию...

какая такая? У вас тут принято общатся односложными предложениями? Я знаю, что есть сеть none, но если спользовать ее то нужно дать ответ на вторую часть вопроса, а именно как дать возможность из контейнера подключится к одному порту на хосте

когда запускаете контейнер - вы какие сети видите на контейнере в ifconfig?

через что запускаете контейнер? не пользуетесь случайно cloud.docker.com?

запускаю просто docker run

потому что если запускать через облако - устанавливается отдельный контейнер и прописывается сеть weave в которой все контейнеры доступны друг другу

если сами запускаете - определите при запуске или в докер-композе сети и будет вам сеть

inet addr:172.17.0.2 Bcast:0.0.0.0 Mask:255.255.0.0 и локал хост

из контейнера будет видна в ifconfig

да, но как запретить доступ в интернет

из контейнера?

да

только хост

это и был вопрос

какая ось в контейнере?

docker run -it —rm —name tmp_default alpine ash

alpine

но в принцепе могу юзать любую

в контейнере запусти ifdown eth0 - посмотри если сеть отключится такой командой

ну и гугл может помочь - https://stackoverflow.com/questions/47001200/restrict-internet-access-to-docker-container

в контейнере запусти ifdown eth0 - посмотри если сеть отключится такой командой

так я смысла не пойму, ну отлючится и че ?я же к хосту тоже не смогу получить доступ

ну и гугл может помочь - https://stackoverflow.com/questions/47001200/restrict-internet-access-to-docker-container

вот, это уже похоже на правду. щас проверю и отпишусь!

Отлично, работает

спасибо всем. Не знаю почему не смог найти этот ответ

покажи ip ro в контейнере, что выводит?

default via 10.1.1.1 dev eth0 10.1.1.0/24 dev eth0 scope link src 10.1.1.2

т.е. дефолтный роут оставляет, а интернет отключает?

т.е. дефолтный роут оставляет, а интернет отключает?

интернета нету на уровен докера

грубо говоря, не происходит nat для пакетов из этой сети

нашел еще решение, если сеть для контейнеров построена через —network host

docker run —network host —cap-add=NET_ADMIN -it debian:stretch bash а потом внутри контейнера просто удалять дефолтный роут ip route del default

docker run —network host —cap-add=NET_ADMIN -it debian:stretch bash а потом внутри контейнера просто удалять дефолтный роут ip route del default

да, это решение приходило мне в голову, но по факту что мешает потом вернуть потом дефаул вей, если нехоерошее приложение захочет в сеть

ну можно рутом только вернуть, а приложение запустить изпод пользователя. или о ком речь, кто может вернуть -я не очень понял

ну можно рутом только вернуть, а приложение запустить изпод пользователя. или о ком речь, кто может вернуть -я не очень понял

ну как вариант тоже сойдет

еще можно заблочить в сеть на урочне файрфола хоста - типа iptables -A INPUT(или какаято соотв цепочка) -s ip_контейнера ! -d внутренняя подсеть -j REJECT

помоему по умолчанию не вкл Iptables

докер форвардит порты через iptables же

помоему по умолчанию не вкл Iptables

включены они. они всегда включены. вот всякие утилиты чтобы ими управлять могут быть не включены

не подскажете как в докерфайле скопировать файл из образа на хост?

add? или copy?

доку смотри...

ок

docker run —network host —cap-add=NET_ADMIN -it debian:stretch bash а потом внутри контейнера просто удалять дефолтный роут ip route del default

поправка . ip ro del default внутри контейнера удаляет дефолтный роут на хосте тоже

ребята, а не подскажите что может быть причиной вот такой ошибки: [ 1320.672044] INFO: task dockerd-current:2570 blocked for more than 120 seconds.

при этом любая команда docker виснет

ребята, а не подскажите что может быть причиной вот такой ошибки: [ 1320.672044] INFO: task dockerd-current:2570 blocked for more than 120 seconds.

зачастую это индикатор хардварных проблем с ЦПУ, возможно также специфичный баг в ядре и нужно обновиться

да, сервак уже целиком помер ?

сейчас железячники проблему ищут

да, сервак уже целиком помер ?

пусть земля ему будет пухом )

да уж. скорее всего диск

Коллеги, привет! Вопрос такой, допустим у меня на CentOS 7 крутится два hdd, один (/dev/sda) смонтирован в корень, второй не размечен. Можно ли как-то заставить докер использовать второй диск (/dev/sdb) ?

Листаю документацию на эту тему, но пока что-то полезной инфы не нашел

так разметь и замонтирую в /var/lib/docker

Оно LVM2 поддерживает? Всмысле могу ли я смонтировать в какой-нибудь /volumes/ и симлинком прокинуть в /var/lib/docker ?

Оно LVM2 поддерживает? Всмысле могу ли я смонтировать в какой-нибудь /volumes/ и симлинком прокинуть в /var/lib/docker ?

Ну доку открой там есть лвм стораж

Оок

Оно LVM2 поддерживает? Всмысле могу ли я смонтировать в какой-нибудь /volumes/ и симлинком прокинуть в /var/lib/docker ?

Что поддерживает: https://docs.docker.com/storage/storagedriver/select-storage-driver/#supported-backing-filesystems

Что поддерживает: https://docs.docker.com/storage/storagedriver/select-storage-driver/#supported-backing-filesystems

Пасиб.

Пасиб.

Велкам Сам я взял btrfs-раздел зеркальный и смонтировал в /var/lib/docker, насчет симлинки не уверен, не пробовал

Понял, ок

Привет всем. Кто может подсказать - может ли быть конфликт Node , установленный локально и в контейнере?

много варнов при билде пишет что разные версии найдены. а потом крэшится с сообщением groupadd: group 'node' already exists

много варнов при билде пишет что разные версии найдены. а потом крэшится с сообщением groupadd: group 'node' already exists

Какой образ при сборке используешь?

FROM node:0.12-slim

Другой не пробовал?

хз, попробую

Ещё любопытно посмотреть что у тебя там группу node добавляет

Образ то готовый он ничего не добавляет при сборке

сча скину лог, я указал использовать такую же версию ноды, какая глобально установлена

А где он ее возьмёт?