Парни привет. Подскажите, как можно закрыть все исходящие соединения контейнеру? Чтобы из него никакой скрипт или программа не могли соединиться с внешним миром?

iptables?

Ага, в принципе неплохой вариант. А есть что-то более радикальное?

Ага, в принципе неплохой вариант. А есть что-то более радикальное?

Оторвать сеть вообще?

Да, важное условие, конечно же входящие надо оставить

Чтобы можно было обратиться к нему и скрипт выполнял свою работу (скрипту и в офлайне хорошо). Но надо наверняка ограничить любую возможность исходящего коннекта

Ну в общем-то да. iptables наверное достаточно, спасибо)

Ну в общем-то да. iptables наверное достаточно, спасибо)

Как вариант - днс ему отрубить или прописать левый

Как вариант - днс ему отрубить или прописать левый

Так исходящие нужны, кому там днс обрубать?

Всем привет. Я запускаю из докера графическое приложение, которому нужно уметь сохранять пароли от аккаунтов, а именно в логах оно ругается на отсутствие org.freedesktop.secrets, как это лечить?

Гуглить и курить доки своего приложения, докер тут непричем

Гуглить и курить доки своего приложения, докер тут непричем

Я не могу из хоста прокинуть в контейнер нечто, предоставляющее этот сервис?

Если это "нечто" есть на хосте то можно прокинуть, в вот что прокилывать уже смотри сам

Скорее всего Unix socket какой нибудь

Подскажите плз есть упавший контейнер который не может стартануть, нужно попасть к нему внуть,но т.к он не запускается я не могу подключиться с помощь exec

как выполнить команду до ентрипоинта?

Override entrypoint

Ну в общем-то да. iptables наверное достаточно, спасибо)

Создать виртуальную сетку без шлюза?

Создать виртуальную сетку без шлюза?

нет, сетка не нужна, нужен контейнер с изоляцией сети на исходящий коннект

нет, сетка не нужна, нужен контейнер с изоляцией сети на исходящий коннект

--internal Restrict external access to the network

--internal Restrict external access to the network

Ну тоже как вариант, правда не хотелось бы трогать сеть докера. Просто есть один контейнер и ему надо зарезать исходящий коннект

Как можно сделать, чтобы pull автоматически делался при каждом docker-compose up? или может есть возможность, чтобы автоматом проверяло наличие новой версии и обновляло само?

Оффтоп почистил. Продолжится -- накажу.

Как можно сделать, чтобы pull автоматически делался при каждом docker-compose up? или может есть возможность, чтобы автоматом проверяло наличие новой версии и обновляло само?

Скрипт в кроне? docker-compose pull && docker-compose restart, что-то такое... Но лучше, наверно, скриптом проверять есть ли в аутпуте pull строка "Status: Image is up to date" и если нет - тогда делать рестарт.

Как можно сделать, чтобы pull автоматически делался при каждом docker-compose up? или может есть возможность, чтобы автоматом проверяло наличие новой версии и обновляло само?

Я обычно делаю docker-compose up --build, но сейчас задумался, а будет ли произведён pull если базовые образы обновились? В документации к команде up ничего такого не нашёл: https://docs.docker.com/compose/reference/up/ зато есть отдельная команда docker-compose build --no-cache

И docker-compose build --pull

https://docs.docker.com/compose/reference/build/

docker-compose pull && docker-compose up ?

Получается так

Ну вообще по идее образ если обновляется у него тэг должен меняться

Ну, если по тегам, а не latest - то надо и compose файл обновлять. Тогда уже пилить CI джобу, котоарая будет sed-ом апдейтить файл, и тогда при up compose сам запулит новые образы...

latest это вообще не очень хорошая идея

+

Даже если не latest, тег зачастую не меняется, а образ меняется, например я тяну httpd:2.4

как вообще по хорошему должна выглядеть структура вся? я делаю push в гит, в master

потом автобилд из гита тянет при пуше и делает билд в хаб докера

в latest

- push to git - build image + set new tag - update compose with new tag - pull как-то так в идеале как говорили - latest зло

Даже если не latest, тег зачастую не меняется, а образ меняется, например я тяну httpd:2.4

Однако шансы что, что-то сломается из-за того, что прилетел какой-нибудь минорный апдейт остаются.

Однако шансы что, что-то сломается из-за того, что прилетел какой-нибудь минорный апдейт остаются.

Да, именно так - получаю минорные апдейты на автомате, но рискую, что всё сломается после пересборки. Надо бы над этим подумать, может зря я так делаю?

Я приколачиваю версии максимально жестко. Один раз поимел проблем...

всё, нашёл инфу - вопрос закрыт

Ребят, привет, насколько сильно Docker зависим от CPU. Допустим если есть вот такой Atom™ N2800. На нем докер апнится? Я просто гугл. не могу найти CPU support docker

Заведётся

Спасибо

Вроде нашел)

Здравствуйте. Как можно изменить размер уже созданного Docker Volume, если в качестве хранилища используется btrfs?

всем привет) я новичек в докере, тем более в docker-compose. решил собрать окружение из nginx, php-fpm, composer, mysql. запустил контейнер, добавились все зависимости, но что то не могу запустить нгинкс через назначеный порт

может кто чего подскажет? https://github.com/artemzakholodilo/rest-api-framework

нужно чтобы localhost:4400 смотрел на public/index.php

День добрый господа