всем привет! а насколько это плохая практика — делать специализированный ssh ключ на чтение из приватных репозиториев, чтобы при билде образа докер мог стягивать приватные зависимости? (ключ в итогое изображение не попадает)

пытался прокидывать ssh ключи из окружения при билде, но это не всегда работает. в частности в CI нету ключа, есть только ssh агент, который создается на время билда. если пробросить агента, то пользователь будет другой.

всем привет! а насколько это плохая практика — делать специализированный ssh ключ на чтение из приватных репозиториев, чтобы при билде образа докер мог стягивать приватные зависимости? (ключ в итогое изображение не попадает)

Как насчет скачать зависимость средствами CI, а в образ копировать с помощью простого COPY?

всем привет! а насколько это плохая практика — делать специализированный ssh ключ на чтение из приватных репозиториев, чтобы при билде образа докер мог стягивать приватные зависимости? (ключ в итогое изображение не попадает)

А докер тут причем? Не та группа

Как насчет скачать зависимость средствами CI, а в образ копировать с помощью простого COPY?

раньше так и было, но когда решил, что собираться тоже должно в идентичном окружении и стал использовать multi stage builds, то появилась такая проблема.

А докер тут причем? Не та группа

sorry, не совсем понял

всем привет! а насколько это плохая практика — делать специализированный ssh ключ на чтение из приватных репозиториев, чтобы при билде образа докер мог стягивать приватные зависимости? (ключ в итогое изображение не попадает)

В целом не очень хорошо - твой образ становится зависимым от приватного репозитория, но если только для личного пользования, то не вижу ничего в этом страшного

sorry, не совсем понял

О, da vi iz anglii

Как насчет скачать зависимость средствами CI, а в образ копировать с помощью простого COPY?

+

В целом не очень хорошо - твой образ становится зависимым от приватного репозитория, но если только для личного пользования, то не вижу ничего в этом страшного

в каком смысле зависимым? при сборке все зависимости стягиваются и образ от них уже не зависит. к тому же, он так или иначе все-равно из приватного репозитория собирается.

в каком смысле зависимым? при сборке все зависимости стягиваются и образ от них уже не зависит. к тому же, он так или иначе все-равно из приватного репозитория собирается.

Сборка будет падать

Хотя да, если всё равно всё это лежит в одной репе, то норм

Сборка будет падать

а, понял.

Я прокидывал ключи, что лежат на сервере, где идёт сборка, более логичный подход, как по мне

дело в том, что зависимости стягиваются менеджером пакетов, который стягивает пакеты под конкретную платформу. поэтому хочется запускать менеджер пакетов из окружения в котором сервис и будет выполняться. + если lock файл с пакетами не менялся, то менеджеру пакетов даже не надо запускаться, т.к. слой закеширован при прошлом билде. короче, у такого подхода есть плюсы.

Вообще подход может быть интересный. Если сделать "билд" образ со всеми ключами, скриптами и зависимостями И использовать его как первый степ в мультистейдже то может и не плохая затея. Но если это использовтать в в CI то получится билд образ внутри билд ноды.

ну, типа того, ага... зато один и тот же образ можно будет везде легко собрать, как локально, так и на билд ноде, не настраивая окружения для билда. ну ладно короче, поэкспериментирую. спасибо)

Привет! Подскажите плс, работает ли docker на подсистеме WSL ? Для тестового стенда, для экономии на виртуалках

Шта

Привет! Подскажите плс, работает ли docker на подсистеме WSL ? Для тестового стенда, для экономии на виртуалках

Нет, клиент только

Нет, клиент только

Спс

Привет! Подскажите плс, работает ли docker на подсистеме WSL ? Для тестового стенда, для экономии на виртуалках

Для экономии можно lcow взять, переключить на виндовс контейнеры. Но я там ничего не скажу, особо не тестил

Джокер мы согласовали Ядвиге. Дане пока рано, смысла нет. Тебе Девоопс согласовали. Олег очень попросил о следующем, цитирую:

Пусть сходит и обязательно потом сделает доклад по мониторингу - Мониторинг и аудит приложений (Prometeus, OkMeter, DataDog, BPF, Dynatrace, XRebel, Glimpse, Zipkin, OpenTrace и другие); И пообщается с Андреем Ермаковым из Tinkoff как у них выстроен этот процесс.

доброй ночи

подскажите как прокинуть .env файл внутрь контейнера. Не использовать его как переменные окружения, а именно прокинуть, чтобы внутри контейнера был /var/www/.env . У меня ларавел упорото хочет видеть именно файл и все ломается без него

подскажите как прокинуть .env файл внутрь контейнера. Не использовать его как переменные окружения, а именно прокинуть, чтобы внутри контейнера был /var/www/.env . У меня ларавел упорото хочет видеть именно файл и все ломается без него

Volume сделать или COPY во время билда

а нет какого-то варианта исключения, чтобы не извращаться? ну т.е. копи выглядит логично, но периодически надо править этот файл и не хотелось бы ради этого 10 минут ждать пересборки тома

volume - вариант без пересборки, но .... возможно я не понял как. в лоб не вышло

php: build: .docker/php-fpm volumes: - ./src:/var/www/ - ./src/.env:/var/www/.env

такой volume ?

php: build: .docker/php-fpm volumes: - ./src:/var/www/ - ./src/.env:/var/www/.env

Да, так

так не хочет

Так потому что папка вся уже маунтится, отдельно файл не надо

С чего решил что не хочет, нет в контейнере его?

угумс

в контейнере его нет

root@58e5d47d032b:/var/www# ls -l total 644 drwxr-xr-x 7 root root 224 Sep 4 13:12 app -rwxr-xr-x 1 root root 1686 Sep 4 13:12 artisan drwxr-xr-x 4 root root 128 Sep 4 13:12 bootstrap -rw-r--r-- 1 root root 1527 Sep 4 13:12 composer.json -rw-r--r-- 1 root root 146775 Oct 1 19:37 composer.lock drwxr-xr-x 15 root root 480 Sep 4 13:12 config drwxr-xr-x 6 root root 192 Sep 4 13:12 database drwxr-xr-x 801 root root 25632 Oct 1 19:39 node_modules -rw-r--r-- 1 root root 482111 Oct 1 19:39 package-lock.json -rw-r--r-- 1 root root 1022 Sep 4 13:12 package.json -rw-r--r-- 1 root root 1134 Sep 4 13:12 phpunit.xml drwxr-xr-x 8 root root 256 Oct 1 19:59 public -rw-r--r-- 1 root root 3924 Sep 4 13:12 readme.md drwxr-xr-x 6 root root 192 Sep 4 13:12 resources drwxr-xr-x 6 root root 192 Sep 4 13:12 routes -rw-r--r-- 1 root root 563 Sep 4 13:12 server.php drwxr-xr-x 5 root root 160 Sep 4 13:12 storage drwxr-xr-x 6 root root 192 Sep 4 13:12 tests drwxr-xr-x 39 root root 1248 Oct 1 19:37 vendor -rw-r--r-- 1 root root 537 Sep 4 13:12 webpack.mix.js

такс

сорян

вопрос снимается. надо было просто через ls -al смотреть

Ну да ?

вопрос снимается. надо было просто через ls -al смотреть

А ещё лучше указать файл ls -l .env

век живи, век учись, дураком помрешь ?

всем доброе утро. Господа, тупой вопрос: как открыть новый порт на уже существующем контейнере? Или это противоречит философии докера, когда ты хранишь persistent state отдельно, а контейнеры с конфигурацией у тебя уничтожаются-создаются пачками автоматом?

стоп-старт не вопрос (хотя ещё лучше было бы, конечно, на лету это делать)

стоп-старт не вопрос (хотя ещё лучше было бы, конечно, на лету это делать)

если с самого контейнера порт уже открыт приложением, то прокинуть его на свою тачку не особо большая проблема (iptables правила прописать). Но проще и правильнее просто перезапустить)

если с самого контейнера порт уже открыт приложением, то прокинуть его на свою тачку не особо большая проблема (iptables правила прописать). Но проще и правильнее просто перезапустить)

залезть ручками в кишки не проблема. А как из CLI изменить конфигурацию портов?

пусть даже у остановленного контейнера

нашёл вот, что можно залезть в config.v2.json

залезть ручками в кишки не проблема. А как из CLI изменить конфигурацию портов?

Сам контейнер уже поднял порт?

это да, но у меня не мишн-критикал, просто стенд

т.е. я вполне могу его потушить

и править конфигурацию

забавнее всего то, что править именно эту конфигурацию из CLI нельзя :)

"ExposedPorts":{"4560/tcp":{},"5222/tcp":{},"5269/tcp":{},"5280/tcp":{},"5443/tcp":{}}

config.v2.json, угу

ejabberd, да :)

тогда можно просто бахнуть правило типо: iptables -t nat -A DOCKER -p tcp --dport 9300 -j DNAT --to-destination 172.17.0.3:9300

"PortBindings":{"5222/tcp":[{"HostIp":"","HostPort":"5222"}],"5269/tcp":[{"HostIp":"","HostPort":"5269"}],"5280/tcp":[{"HostIp":"","HostPort":"5280"}]}

и вот ещё, только это hostconfig.json

тогда можно просто бахнуть правило типо: iptables -t nat -A DOCKER -p tcp --dport 9300 -j DNAT --to-destination 172.17.0.3:9300

это костыль, про костыли вопросов не было :)

это костыль, про костыли вопросов не было :)

ты правила iptables смотрел на хосте?))

ниче что докер создает такие же?)

ниче что докер создает такие же?)

есть разница между тем, что создаёт ПО при старте и между тем, что делаешь ты

Зачем это всё? Пересоздавай с нужными настройками

Зачем это всё? Пересоздавай с нужными настройками

ну вот я в первом сообщении спросил, собственно

есть разница между тем, что создаёт ПО при старте и между тем, что делаешь ты

какая? если 1 в 1 строки одинаковые

какая? если 1 в 1 строки одинаковые

элементарно: рестарт хост-машины, миграция контейнера на другую ноду (с изменением внутреннего ip-адреса), и т.д. и т.п.

ты предлагаешь это iptables -I ... в /etc/rc.local пихать?

спасибо, не надо :)

уж проще json поправить

А json править не костыль??? ?

костыль, но более высокого уровня костыль

потому что докер хотя бы будет знать о том, что конфигурация контейнера изменилась

а тут ты по факту её не меняешь

есть нормальная практика, пересоздать контейнер правильно, хочется приключений, тогда не чурайся костылей,они все одинаковые ?

я в первом же сообщении спросил про best practices, господа :)

потому что докер хотя бы будет знать о том, что конфигурация контейнера изменилась

а ты уверен что поменяешь везде и оно взлетит после рестарта? А при миграции/смене ip и прочей дребедени которую ты описал?

я в первом же сообщении спросил про best practices, господа :)

А вообще есть гугл который дает исчерпывающий ответ на первой же странице: https://stackoverflow.com/questions/19897743/exposing-a-port-on-a-live-docker-container

у меня какая-то фигня нагуглилась, видимо запрос был не совсем корректный

я бы не стал задавать вопрос, ответ на который нашёл бы в гугле :)

"open port on running docker container". - как его еще можно задать?))

Просто вообще ситуевина выглядит как "захотелось секса поутру" ?

Просто вообще ситуевина выглядит как "захотелось секса поутру" ?

значит я ещё не такой старый, спасибо за комплимент :)

"open port on running docker container". - как его еще можно задать?))

я гуглил по "change port mappings on running container", угу

а ты уверен что поменяешь везде и оно взлетит после рестарта? А при миграции/смене ip и прочей дребедени которую ты описал?

надо погрепать и поискать. Мне этим докер и не понравился в своё время - документация вместо описания кишок рассказывает hello-world'ы разной степени замороченности. Откладывал знакомство с ним до последнего, а сейчас это отраслевой стандарт и хочешь или нет - приходится знать и работать

Нет бестпрактис, есть один единственный вариант - пересоздать

как-то так

надо погрепать и поискать. Мне этим докер и не понравился в своё время - документация вместо описания кишок рассказывает hello-world'ы разной степени замороченности. Откладывал знакомство с ним до последнего, а сейчас это отраслевой стандарт и хочешь или нет - приходится знать и работать

https://www.youtube.com/watch?v=hdVNKmru3LM

тут тебе без хелловорлдов)

пасяба