По идее, дев тебя вообще не волнует — там разработчики делают что хотят.

А в прод попадает только то что прошло все тесты в стейджинге

Ансибл то понятно. Ладно на счёт конфигов подумаю как правильно. Мысль что они в контейнеры не изменяемые - мне нова.

Так что спасибо за наводку

Велкам.

Всем привет. Вот у меня есть такой кусок в RUN && mkdir -p /var/jenkins_home/.m2 \ && chown -R 1000.1000 /var/jenkins_home/.m2 \ && ls -la /var/jenkins_home/но почему-то когда я запускаю контейнер, владелец директории у меня root :( что я не знаю?

мм, а сепаратор юзер/группы разве бывает точкой?

да. точно, это было давно.

да. точно, это было давно.

При билде, я вижу что пользователь назначен верно в логах. Но при старте права уже другие.

что такое 1000? неймспейс в контейнере и в хосте разные.

причём, мне помнится, что назначать из контейнера права на артефакты даже по верному гуиду с хоста — не айс идея.

Я сейчас ссылку не вспомню, но идея была простая: при смене версии контейнера у тебя может смениться гуид контейнерного юзера и всё пойдёт по влажному.

что такое 1000? неймспейс в контейнере и в хосте разные.

это пользователь jenkins, я его id поставил, уже как эксперимент.

services: minio1: image: minio/minio:RELEASE.2018-06-09T03-43-35Z volumes: - data1:/data ports: - "9001:9000" environment: MINIO_ACCESS_KEY: minio MINIO_SECRET_KEY: minio123 # command: server http://minio1/data http://minio2/data http://minio3/data http://minio4/data command: server http://minio1/data volumes: data1: driver: host driver_opts: source: /home/sat/minio-test/volumes/data1 Ребят как правильно ссылки на тома описывать? Дока в подробности не сильна

я объявил проброс томов для сервиса и хочу в конце композа указать где том лежит

Привет всем

почему он не может с 2 параметрами запуститься?

подскажите что не так docker run -d --net=host --name=mtproto-proxy --restart=always \ -v proxy-config:/data -e SECRET=secret TAG=tag \ telegrammessenger/proxy:latest

ошибка то какая

ошибка то какая

docker: Error parsing reference: "TAG=tag" is not a valid repository/tag: invalid reference format. See 'docker run --help'.

тэг заменил, шоб не палить

может тег не разрешен тут?

вы же тег образа указали уже

может тег не разрешен тут?

разрешен, просто там 2 команды, одна на запуск с тэгом, вторая на запуск с секретом docker run -d --net=host --name=mtproto-proxy --restart=always \ -v proxy-config:/data -e TAG=85174e9e0ffa43c0d3a7167e52175268 \ telegrammessenger/proxy:latest и docker run -d --net=host --name=mtproto-proxy --restart=always \ -v proxy-config:/data -e SECRET=b7e70329dcf3721c4239b86ad32a90b8 \ telegrammessenger/proxy

я решил объединить, но он ругается

а без latest дает два указать?

различие чисто в этом

а без latest дает два указать?

нет, такая же ошибка

а в issues на гитхабе че

хотя это ошибка докера а не образа

ммм, а разве когда много энв переменных - не нужно указывать -e на каждую?

подскажите что не так docker run -d --net=host --name=mtproto-proxy --restart=always \ -v proxy-config:/data -e SECRET=secret TAG=tag \ telegrammessenger/proxy:latest

-e SECRET=xxx -e TAG=xxx

типа -e SECRET=secret -e TAG=tag

типа -e SECRET=secret -e TAG=tag

Спасибо огромное

-e SECRET=xxx -e TAG=xxx

Спасибо огромное

Не встречали удобного docker образа с django, чтобы сразу можно было указать тип базы данных, хост и прочие данные через переменные среды (-е) ?

Не встречали удобного docker образа с django, чтобы сразу можно было указать тип базы данных, хост и прочие данные через переменные среды (-е) ?

нет, ищи композ в гитхабе

нет, ищи композ в гитхабе

Так данные для подключения к БД джанге надо руками указывать

а в композе в чем проблема

тот же докер только без наркомании в три строки CLI

ты кубер-манифесты тоже в cli будешь на образ расписывать для деплоя?)

команду на 100 строк

а в композе в чем проблема

Я через композ могу указать в django данные для подключения к БД?

ты можешь там хоть 10 образов указать с тонной командных выражений, сетей, томов

Композ удобен,я его использую. Но мне нужен образ django, где я могу прописать db credentials

Вот и все

commands: - пишешь и все

собирай свой и указывай что хочешь

а че все джангу-докер-базу то юзают) че не gradle/sbt туда засунуть)

шобы поинтереснее

Привет всем, расскажите плиз кто как подписывает docker images? Какие бест практики?

у меня, наверное, нубский вопрос, я не силен в сетях. есть сервер A(gitlab), я могу до него достучаться с сервера Б, но из контейнера на сервере Б уже не могу, при этом в инет ходит нормально. тисипидамп на хосте показывает, что запросы из контейнера уходят, но хост как будто не знает в какой контейнер ответ засылать. вроде как с натом связано, но непонятно как пофиксить

у меня, наверное, нубский вопрос, я не силен в сетях. есть сервер A(gitlab), я могу до него достучаться с сервера Б, но из контейнера на сервере Б уже не могу, при этом в инет ходит нормально. тисипидамп на хосте показывает, что запросы из контейнера уходят, но хост как будто не знает в какой контейнер ответ засылать. вроде как с натом связано, но непонятно как пофиксить

а ты по имени с контейнера стучишься?

а контейнер с адреса хоста выходит или свой имеет?

Привет всем, расскажите плиз кто как подписывает docker images? Какие бест практики?

подписывает чем

а ты по имени с контейнера стучишься?

я из контейнера хочу репу склонировать из сервака с гитлабом, он доспун просто по ip

я из контейнера хочу репу склонировать из сервака с гитлабом, он доспун просто по ip

т.е с хоста пингует а с докера нет?

да

а network:host выставить тоже нет?

commands: - пишешь и все

Как мне в конфиг джанги командой записать пароль от БД?

Как мне в конфиг джанги командой записать пароль от БД?

я же сказал, универсал образов нет пилите свой билд джанги и указывайте ей че хотите

а network:host выставить тоже нет?

где выставить? можно пример?

подписывает чем

В этом то и вопрос )) какие практики? Как убедиться в том что имедж который ты выложил на докер хаб и потом запулил у себя на сервере один и тот же, что его не подменили

где выставить? можно пример?

version: '3' services: elasticsearch: container_name: elasticsearch-centos build: ./elastic-image ports: - "9300:9300" - "9200:9200" network_mode: host volumes: - /mnt/services/elasticsearch:/usr/share/elasticsearch/data restart: always

В этом то и вопрос )) какие практики? Как убедиться в том что имедж который ты выложил на докер хаб и потом запулил у себя на сервере один и тот же, что его не подменили

мейнтейнера рази что внутри)

ERROR: S client not available

вообще докер не особо секурен, поэтому проду все пилят на собственноручно собранных билдах в локальных репах

version: '3' services: elasticsearch: container_name: elasticsearch-centos build: ./elastic-image ports: - "9300:9300" - "9200:9200" network_mode: host volumes: - /mnt/services/elasticsearch:/usr/share/elasticsearch/data restart: always

работает, но это не выход. каждый контейнер должен иметь уникальный ip, из будет много

работает, но это не выход. каждый контейнер должен иметь уникальный ip, из будет много

не, это то понятно, я просто исключил бриджу из цепочки значит там дело

как вариант я нашел в доках выставлять DOCKER_CONTENT_TRUST=1 И таким образом подписывать sha256....но не знаю что еще можно ? у кого какой опыт?

как вариант я нашел в доках выставлять DOCKER_CONTENT_TRUST=1 И таким образом подписывать sha256....но не знаю что еще можно ? у кого какой опыт?

не юзать публичные облака для проды

можно в крайняк свою репу приватную в хабе взять

ну а как? все тот же амазон )) как без него

ну а как? все тот же амазон )) как без него

причем тут амазон? или вы не про хаб говорите

ну мы так и так private registry юзаем

так а в чем вопрос тогда?

тонель подняли туда

и не паритесь

никто у вас по пути его не перехватит

прод на серверах амазона, имеджы в докерхабе в приватном, просто заказчик еще хочет больше секьюрности. подписывать имеджы сертификатами или как то еще. Вопрос - какие практики есть на текущий момент.

никаких

строить канал и собирать только свое

вы все равно пушите\пуллите по ssh

с ключами от сервера и обратно

куда еще то секурнее

прод на серверах амазона, имеджы в докерхабе в приватном, просто заказчик еще хочет больше секьюрности. подписывать имеджы сертификатами или как то еще. Вопрос - какие практики есть на текущий момент.

выглядит так как будто заказчик - государство и оно хочет везде криптопро подписывать))

даже докер образы))0

да - очень большое желание обезопасить себя везде и во всем

можете 4096 ключами защищаться)))

строить канал и собирать только свое

вы все равно пушите\пуллите по ssh

с ключами от сервера и обратно

просто с теории иб, вот у вас тонель шифрованый вот у вас обмен по ssh 4096 как вам изменят на лету образ?

ну может не на лету, могут приватный репо взломать и поменят имедж

тогда это безопасность репы а не имеджа

а безопасность репы = бизопасность инфры а если у инфры нет безопасности, о чем вообще речь)))

об облачном решении )) идет речь - когда сервера поднимаются на AWS, а имеджы кладутся в dockerhub private registry

так у вас ssh же есть