docker pull ubuntu Using default tag: latest Error response from daemon: received unexpected HTTP status: 503 Service Unavailable

https://status.docker.com/pages/history/533c6539221ae15e3f000031

Юзай TLS

@LychanginAV Что ? Ты имеешь ввиду авторизацию по сертификатам ? Или просто SSL прикрыть сокет ? Чтобы любой запускал что угодно на тачке ?

@LychanginAV Что ? Ты имеешь ввиду авторизацию по сертификатам ? Или просто SSL прикрыть сокет ? Чтобы любой запускал что угодно на тачке ?

я хотел удаленно выполнять деплой docker stack. Ну и насчет безопасности надо разумеется подумать, не хотелось бы всему миру доступ открывать

я хотел удаленно выполнять деплой docker stack. Ну и насчет безопасности надо разумеется подумать, не хотелось бы всему миру доступ открывать

ci типа дрона или гитлаба.

ci типа дрона или гитлаба.

это не то

чем не устраивает ?

чем не устраивает ?

я один фиг через ci запускаю джобу

так, агент по ssh сходит куда надо и не надо ничего шарить. винвин ж.

так, агент по ssh сходит куда надо и не надо ничего шарить. винвин ж.

Есть docker stack yaml , в джобе есть таска на деплой, с раннера запустить деплой не получится и тут есть вариант либо через ssh сходить, либо апи открыть

Есть docker stack yaml , в джобе есть таска на деплой, с раннера запустить деплой не получится и тут есть вариант либо через ssh сходить, либо апи открыть

чем ssh воркеры-то не устроили. в любых CD утилитах есть плагин ssh - когда агент идёт по ssh на нужный хост и выполняет последовательность команд. Что не так-то ?

Первый вариант имеет право на жизнь, меня интересует есть ли в сварме вариант а-ля хелм чарта

чем ssh воркеры-то не устроили. в любых CD утилитах есть плагин ssh - когда агент идёт по ssh на нужный хост и выполняет последовательность команд. Что не так-то ?

Я не говорил что не устроили

Первый вариант имеет право на жизнь, меня интересует есть ли в сварме вариант а-ля хелм чарта

что именно от чарта ты хочешь ? (на самом деле swarm не юзаю)

В кубере то уже реализовали, может в сварме что подобное есть

что именно нужно.

что именно от чарта ты хочешь ? (на самом деле swarm не юзаю)

Если не юзаешь, тогда смысл дальше дискутировать

потому что насколько я понял твой вопрос - я это уже сделал. для того, чтобы понять насколько моё решение подойдёт тебе - нужны подробности задачи.

Зачем мне удаленно копировать компос файлы, париться с ssh доступом до одной из нод, если я могу удаленно к апишке докера подключиться и сказать ему что хочу задеплоить

Собственно что в кубере и было сделано

да коннекться - публичным только не делай - файрволом или авторизацией закрыть не забудь. не пойму что тебе деплоиться внутри кластера мешает.

да коннекться - публичным только не делай - файрволом или авторизацией закрыть не забудь. не пойму что тебе деплоиться внутри кластера мешает.

Что значит деплоиться внутри кластера?

Что значит деплоиться внутри кластера?

запустить внутри кластера CD агента, который в свою очередь будет ходит в докеру в гости и сообщать указания.

Есть раннер, на нем лежит репозиторий с компосами, ее надо доставить до площадки, оттуда поднять себе привилегии, чтоб задеплоиться

запустить внутри кластера CD агента, который в свою очередь будет ходит в докеру в гости и сообщать указания.

Уже звучит странно

Есть раннер, на нем лежит репозиторий с компосами, ее надо доставить до площадки, оттуда поднять себе привилегии, чтоб задеплоиться

это базовый функционал любого раннера. Зачем ему поднимать привелегии - в группу докер включи и пускай деплоит что тебе нужно.

это базовый функционал любого раннера. Зачем ему поднимать привелегии - в группу докер включи и пускай деплоит что тебе нужно.

Что за cd агент ты имеешь ввиду? Приведи пример

drone-agent, gitlab-runner собсна то, с чем работал. ты с чем работаешь ?

drone-agent, gitlab-runner собсна то, с чем работал. ты с чем работаешь ?

Ты предлагаешь gitlab runner поднять на одной из нод сварма?

Ты предлагаешь gitlab runner поднять на одной из нод сварма?

давай с истории мира начнём - какой у тебя CI и CD а то мы так перекидываться вопросами до утра будем.

давай с истории мира начнём - какой у тебя CI и CD а то мы так перекидываться вопросами до утра будем.

Ну я понял в принципе к чему ты клонишь, такой вариант не очень для меня

почему ? Что не так-то ?

почему ? Что не так-то ?

Раннер на проде поднимать так себе идея

потому что что ? сборка контейнера кучу ресурсов съедает или что ?

Не говорю что это плохо, просто в моем мировоззрении тащить такие вещи не надо

потому что что ? сборка контейнера кучу ресурсов съедает или что ?

Забей, на ночь глядя обсуждать я не готов

Грр, а ты можешь написать-таки - какие тулы ты используешь ? В том же gitlab раннеры для билда и деплоя можно разными сделать. например ты можешь билдить и пушить в реджистри на локальной тачке(да и раннер тут не нужен) а деплой много ресурсов агента не займёт.

В общем, да, лучше с утра тред перечитай. Мне кажется, что ты где-то не прав :) готов голосом объяснить почему, но завтра.

В общем, да, лучше с утра тред перечитай. Мне кажется, что ты где-то не прав :) готов голосом объяснить почему, но завтра.

Зачем что-то объяснять, тебе надо обязательно что-то доказать?)

У каждого есть свое мнение, я обратился не за советами, а за тулами и конкретными кейсами

Зачем что-то объяснять, тебе надо обязательно что-то доказать?)

блог ты мой. Я тебе стараюсь посоветовать. Доказывать тебе что-либо у меня цели нет. есть опасение, что в чате какие-то подробности задачи потерялись. Дело твоё.

/срач status

Не говорю что это плохо, просто в моем мировоззрении тащить такие вещи не надо

о чем базар?)

шо тут?

ой не тот канал

о чем базар?)

Ща поржёшь - мы тут о том, что запуск раннера на прод хосте зло (https://t.me/docker_ru/83132) Вместо этого лучше вывести наружу соккет докера (https://t.me/docker_ru/83074)

Ща поржёшь - мы тут о том, что запуск раннера на прод хосте зло (https://t.me/docker_ru/83132) Вместо этого лучше вывести наружу соккет докера (https://t.me/docker_ru/83074)

да оба варианта годные, но откуда там страхи (или что за проблема) с агентом внутри кластера - непонятно (

да оба варианта годные, но откуда там страхи (или что за проблема) с агентом внутри кластера - непонятно (

сокет-то на все интернеты зачем шарить ?

там докеру подвозят ssh помимо TLS, будет ещё проще всё это)

сокет-то на все интернеты зачем шарить ?

а что ему будет?

а что ему будет?

запуск произвольного контейнера на хосте ?

там же TLS

как и kubectl удалённо юзается, всё то же самое

Может ли приложение, запущенное внутри контенейнера получить доступ к ФС хоста?

Если ФС -- файловая система, то может. https://docs.docker.com/storage/volumes/

Если ФС -- файловая система, то может. https://docs.docker.com/storage/volumes/

А как это можно предотвратить? Только запуском контейнера от непривелигированного пользователя, имеющего доступ только к определённой директории?

Почитайте материал по ссылке, что я скинул

Подскажите как правильно сделать? Я сделал контейнер с небольши приложение на node и запусти в контейнере. Теперь я хочу его отредактировать. Как проще всего это сделать? Удалить контейнер и запустить новый? Или можно зайти в контенер и там отредактировать? Но там у меня нету никаких редакторов? Их нужно указывать в Dockerfile?

docker exec -it e15f81cb1866 /bin/bash - я зашел в контейнер..

или докер только для запуска уже продакшен софта?

»Удалить контейнер и запустить новый? true

а может заходить в контейнер и там редактировать?)

проще или правильнее?

проще зайти в контейнер и там всё поправить. Но это потом тебе аукнется

как вариант, завольюмить сорцы

Но это потом тебе аукнется контейнер снесу и все изменения потеряются?

нет

разве что если под "снесу" имеется в виду "rm -rf /" :)

как вариант, завольюмить сорцы

на volume исходники разместить?

Но это потом тебе аукнется контейнер снесу и все изменения потеряются?

да. А так же не сможешь повторно воспроизвести состояние контейнера.

я имел ввиду сорцы будет со старым кодом, а в контенере новый

Расскажите плиз про за-volumeть

на volume исходники разместить?

ну, все, кроме сорцов в докере, а сорцы прикрутить сбоку docker run -v флаг

но выше про "не повторить" верно сказано (хотя есть ли такая цель?)

ну, все, кроме сорцов в докере, а сорцы прикрутить сбоку docker run -v флаг

я хз как там оно в ноде

вообщем погуглить что-то типа docker source code on volume

даже про бд можешь гуглить

в данном случае примерно одно и то же, а про бд ответов больше

ну билды есть и есть сорцы и еще есть утилитка nodemon которая при изменении сорцев перезапускает node

получается правильно если то нужно снести контенер и сделать новый билд

наверное так и буду делать..=) для dev localhost=0 @v9lijj спасибо

рад помочь ?

Помогите пожалуйста)

Как я понимаю go скрипт не может обратиться к бд, но в зависимостях вроде разрешил это делать.

при сборке нельзя обращаться к другим контейнерам

откуда ж контейнеры друг друга при сборке узнают )

к тому же пытается обратиться к 127.0.0.1

Значит как я понял, надо делать это после сборки

смотря какая задача