Поэтому идея с мак адресами возникла)

У тебя л2 везде?

пароль поставь блин http auth

и все )

пароль поставь блин http auth

Не должны заходить с других мест)

и все )

Идея доступа только из офиса

ойвсе

У тебя л2 везде?

Не понял)

ойвсе

Не всё так просто)

Не понял)

Если у тебя сеть не плоская ты увидишь мак шлюза

Если у тебя сеть не плоская ты увидишь мак шлюза

На той стороне стоит роутер и компы на вайфае) я не мог сейчас знать какая сеть) что значит не плоская?)

Тебе надо ограничить с помощью iptables на роутере и всё. Или в приложении прописать список разрешенных айпи-адресов. Если разрешенных адресов много можно использовать iptables+ipset

Тебе надо ограничить с помощью iptables на роутере и всё. Или в приложении прописать список разрешенных айпи-адресов. Если разрешенных адресов много можно использовать iptables+ipset

Это ограничит доступ к всему серверу, верно?

Да

Да

А нужно только к контейнеру докера)

На той стороне стоит роутер и компы на вайфае) я не мог сейчас знать какая сеть) что значит не плоская?)

Ты н увидишь клиентских маков

А нужно только к контейнеру докера)

так внеси только его порт в иптаблес

Что у тебя в докере запущено?

Ты н увидишь клиентских маков

Ну мак шлюза же увижу?

Что у тебя в докере запущено?

в этом контейнере?

Ну мак шлюза же увижу?

абсолютно все фреймы извне будут иметь мак шлюза

так внеси только его порт в иптаблес

порт контейнера или порт который видно в сети?

порт контейнера или порт который видно в сети?

в сети

в сети

в сети это 80 порт)

потмоу что nginx-proxy)

через него всё)

сорри, я перестал понимать

Ладно) попробую в интернете че нить поискать еще) спасибо за мысли) че нить попробую придумать)

думал что может быть как nginx может обрабатывать доступ

Ух, ёпт, налетели-то как ) Вы серьёзно используете докер на боевом сервере?

Да, серьёзно. Вы так говорите, будто это что-то плохое

Да, серьёзно. Вы так говорите, будто это что-то плохое

Ну люди прочитали Хабр, где сказали что докер - говно.

Да, серьёзно. Вы так говорите, будто это что-то плохое

Я полагал до этого момента, что докер на проде вообще не нужен. И ещё слышал, что это не безопасно. Но, видимо, я ошибся.

Ну люди прочитали Хабр, где сказали что докер - говно.

Одна догадка интереснее другой. Меня уже сегодня назвали сперва пиз**ком, 98-го года рождения, хомяком, который прибежал в Телегу после блокировки РКН, теперь, вот хейтером докера.

Я полагал до этого момента, что докер на проде вообще не нужен. И ещё слышал, что это не безопасно. Но, видимо, я ошибся.

Просто его надо настраивать также как на проде, а не отдавать все во власть рута

Я использую сегодня докер только для локальной разработки.

Ух, ёпт, налетели-то как ) Вы серьёзно используете докер на боевом сервере?

Скажи это badoo

Я использую сегодня докер только для локальной разработки.

Всем на тебя похуй)

Можно продолжить рубрибку глупые вопросы? Только просьба без холиваров

Народ, кончай флудить, давайте по теме.

Вот есть контейнер запущенный работающий. У контейнера планируются побочные файлы: 1) Конфиг файл 2) Лог файл. 3) Докер компос Где разумней хранить все эти файлы? Отдельно создать пользователя и в него писать и читать эти файлы? или размазать все эти файлы по файловой системе хоста Задача состоит в том, чтобы перезд на другой хост занимал минимальное количество времени и настроек

Спасибо

Ну смотри, создал такую структуру: content/ docker-compose.yml php/Dockerfile nginx/Dockerfile

типа того

а вообще поищи по поиску структура

Вот есть контейнер запущенный работающий. У контейнера планируются побочные файлы: 1) Конфиг файл 2) Лог файл. 3) Докер компос Где разумней хранить все эти файлы? Отдельно создать пользователя и в него писать и читать эти файлы? или размазать все эти файлы по файловой системе хоста Задача состоит в том, чтобы перезд на другой хост занимал минимальное количество времени и настроек

пускай гуру меня поправят: 1) конфиг писать внутрь контейнера, "явки и пароли" указывать во время монтировки контейнеров, чтобы в ясном виде нигде не хранились 2) логи только на хосте, лучше централизованно, почитать здесь (https://jaxenter.com/docker-logging-gotchas-137049.html) и здесь (https://jpetazzo.github.io/2014/08/24/syslog-docker/) 3) может не понял вопрос, наверное хранить на приватном гитхаб\битбакет аккаунте?

пускай гуру меня поправят: 1) конфиг писать внутрь контейнера, "явки и пароли" указывать во время монтировки контейнеров, чтобы в ясном виде нигде не хранились 2) логи только на хосте, лучше централизованно, почитать здесь (https://jaxenter.com/docker-logging-gotchas-137049.html) и здесь (https://jpetazzo.github.io/2014/08/24/syslog-docker/) 3) может не понял вопрос, наверное хранить на приватном гитхаб\битбакет аккаунте?

3) нет. Насколько я понял, чтобы запускать контейнер из командной строки нужно использовать docker-compose.yml

который потом и использовать для запуска контейнеров

3) нет. Насколько я понял, чтобы запускать контейнер из командной строки нужно использовать docker-compose.yml

не обязательно. можно без docker compose

не обязательно. можно без docker compose

Тогда все параметры запуска контейнера надо будет указывать в командной строке, что неудобно

или нет?

Ну смотри, создал такую структуру: content/ docker-compose.yml php/Dockerfile nginx/Dockerfile

понял. Спасибо

Тогда все параметры запуска контейнера надо будет указывать в командной строке, что неудобно

какая разница, параметры можно указать и в shell-скрипте. Задача docker-compose в том, чтобы комплексно поднимать "связанные" контейнеры.

какая разница, параметры можно указать и в shell-скрипте. Задача docker-compose в том, чтобы комплексно поднимать "связанные" контейнеры.

Понял. Надо переварить. Все же классический линуксовый подход крепко засел в голове

у docker-compose есть поддержка файла ".env" - классно все переменные выносить туда.

у docker-compose есть поддержка файла ".env" - классно все переменные выносить туда.

А где все это хранить? Или обычно где это хранят

создать репозиторий в bitbacket.

затем на новом сервере делать git pull <репозиторий> - и все настроечные файлы лежат на новом сервере

в репозитории лучше хранить эталонный конфиг-файл (например, env.etalon), а после git pull копировать env.etalon в .env и настраивать по вкусу.

в репозитории лучше хранить эталонный конфиг-файл (например, env.etalon), а после git pull копировать env.etalon в .env и настраивать по вкусу.

Примерно догадываюсь. Спасибо огромное за объяснение. А то дока докера большая и глаза разбегаются

Примерно догадываюсь. Спасибо огромное за объяснение. А то дока докера большая и глаза разбегаются

Шикарный пример: https://github.com/evertramos/docker-compose-letsencrypt-nginx-proxy-companion

да. Примеры это полезно

Спасибо

А нужно ли мониторить операционку контейнера? И нужно ли ее настраивать отдельно? (Лимиты убирать на открытые файлы итд)

Всем на тебя похуй)

Спасибо, что рассказал ) Кстати, зачем ты мне отвечаешь?

А нужно ли мониторить операционку контейнера? И нужно ли ее настраивать отдельно? (Лимиты убирать на открытые файлы итд)

мне кажется, что это бесполезное занятие - сам контейнер изолирован от внешнего мира и особо не нуждается в апгрейдах и мейнтенансе (пока необходимое приложение работает исправно)

Хвати кормить тролля

ребята, есть у кого-нибудь проблемы с доступом к registry-1.docker.io ?

есть. он под блоком.

Да. Код 200, но страница пустая.

провайдер netbynet, Москва.

ivan4th@i4mac:~$ telnet registry-1.docker.io 443 Trying 34.200.90.16... ^C

34.200.90.16 попадает в одну из заблоченных подсетей /10

докер всё.

странно, у меня другие IP отдаются

там разные IP бывают

Йота показала белую страницу, Мегафон вообще не соединился

у меня выдавал ещё какой-то 54.x.x.x, тоже нет доступа

https://github.com/zapret-info/z-i

52.204.202.231 52.5.185.86

отдают эти ип и они не пингуются

пришлось таки запихать все нужные образы в свой регистри, давно хотел. РКН сподвиг на действия

в т.ч. для ранеров образы "docker:*" -_-

камрады, объясните плиз, что значит последняя строка в этом скрипте https://github.com/karlfloersch/docker-pyeth-dev/blob/master/validator/start.sh он дергается вот из этого Makefile, 30 строка: https://github.com/karlfloersch/docker-pyeth-dev/blob/master/Makefile то есть контейнер стартует командой make run-node

НЕУЖЕЛИ, ЭТО, БЛЯДЬ, ТАК, СЛОЖНО

это сильно сложно

ИЛИ У ТЕБЯ CTRL + C ПЛАТНЫЙ