так вот , еще вопрос по поводу организации хостовой машины, если убрать kvm или любую другую виртулизацию для нарезки сервера, а сразу докер юзать, будет правильно?

и такой еще вопрос, если нарезать сервак не виртуалками под проекты, а использовать докер для этих целей, на сколько это будет правильно?)

как тебе удобнее

как тебе удобнее

просто я не очень предстовляю, как это организовать, по классической схеме дал образ в kvm и чувак только туда доступ имеет и делает что хочет, а как в докере такое оганизовать

просто я не очень предстовляю, как это организовать, по классической схеме дал образ в kvm и чувак только туда доступ имеет и делает что хочет, а как в докере такое оганизовать

Докер, это просто процесс, немного изолированный. К процессу доступ обычно не дают. Хотя можно зайти внутрь контейнера можно немного.

Докер, это просто процесс, немного изолированный. К процессу доступ обычно не дают. Хотя можно зайти внутрь контейнера можно немного.

я понимаю что можно, вопрос в том, что не совем понимаю как хостинг нарезать на докере, может есть что читануть на тему?

я понимаю что можно, вопрос в том, что не совем понимаю как хостинг нарезать на докере, может есть что читануть на тему?

Это не про хостинг. Содержимое контейнера исчезает как только процесс будет закончен.

это понимаю) только если конфиги

я понимаю что можно, вопрос в том, что не совем понимаю как хостинг нарезать на докере, может есть что читануть на тему?

докер, он по сути только форк процесса делает. Это вообще не про хостинг

возможно что нить придумали, как этим можно управлять, вот и спрашиваю, есть хорошие способы использовать на хосте докер и нарезать их под проекты

докер, он по сути только форк процесса делает. Это вообще не про хостинг

ну тут написал про exec, что все что ты поставишь когда перезапустишь контейнер этого не будет, понятно

Это не про хостинг. Содержимое контейнера исчезает как только процесс будет закончен.

Да не правда

Оно пропадет если удалить контейнер

не совсем понимаю к чему это все:) с помощью докера можно хостинг организовать? или все же решения через kvm универсальнее?

не совсем понимаю к чему это все:) с помощью докера можно хостинг организовать? или все же решения через kvm универсальнее?

а зачем докер?

P(process)aaS?

Можно истользовать для проектов - но для клиентов не оч. Решение, так как можно из докера выйти на уровень хост машины и есть вероятность такой хостинг похакать

не совсем понимаю к чему это все:) с помощью докера можно хостинг организовать? или все же решения через kvm универсальнее?

Можно

не совсем понимаю к чему это все:) с помощью докера можно хостинг организовать? или все же решения через kvm универсальнее?

LXC / LXD возьми, тоже самое, только не исчезает.

не совсем понимаю к чему это все:) с помощью докера можно хостинг организовать? или все же решения через kvm универсальнее?

А у вас в контейнере что именно будет?

Прям весь стэк?

Можно истользовать для проектов - но для клиентов не оч. Решение, так как можно из докера выйти на уровень хост машины и есть вероятность такой хостинг похакать

И как же ты выходишь из контейнера?

И как же ты выходишь из контейнера?

Загугли, много способов есть

Загугли, много способов есть

Ага, держи в курсе ?

Ага, держи в курсе ?

Ну вот я погуглил за вас) https://www.electricmonk.nl/log/2017/09/30/root-your-docker-host-in-10-seconds-for-fun-and-profit/

Ну вот я погуглил за вас) https://www.electricmonk.nl/log/2017/09/30/root-your-docker-host-in-10-seconds-for-fun-and-profit/

Надо иметь изначально доступ к хосту для всех необходимых шагов

https://github.com/jwilder/nginx-proxy

кстати, а есть вариант как-то один хост проапдейтить по сертификату?

Надо иметь изначально доступ к хосту для всех необходимых шагов

Вот без доступа https://www.slideshare.net/mobile/BorgHan/hacking-docker-the-easy-way Они постоянно фиксят много чего по безопасности. Возможно что уже часть вещей не пашет, но такая вероятность остаётся.

кстати, а есть вариант как-то один хост проапдейтить по сертификату?

В каком смысле?

В каком смысле?

насколько я знаю он после рестарта проходит по всем

Вот без доступа https://www.slideshare.net/mobile/BorgHan/hacking-docker-the-easy-way Они постоянно фиксят много чего по безопасности. Возможно что уже часть вещей не пашет, но такая вероятность остаётся.

У виртуалок тоже

В каком смысле?

но меня интересует возможность обновить один хост без рестарта докер контейнера

насколько я знаю он после рестарта проходит по всем

Так он автоматически смотрит добавление/удаление virtual host и в зависимости от этого генерит конфиг и рестартует нжинкс

Так он автоматически смотрит добавление/удаление virtual host и в зависимости от этого генерит конфиг и рестартует нжинкс

вот случилась фигня и он подвис и серт нужно обновить

Ну тогда рестарт, да. Вроде он не сверяет контрольные суммы файлов в вольюме

Как вариант, допиши, сделай пул реквест.

а нормально ли пробрасывать всю диру /etc/nginx и /etc/php со всеми конфигами? Или обычно к примеру для nginx пробрасывают только /etc/nginx/nginx.conf? Просто в этих дирах еще какие то файлы и не вкурсе есть ли от них какие либо зависимости для определенных версий nginx и php

а нормально ли пробрасывать всю диру /etc/nginx и /etc/php со всеми конфигами? Или обычно к примеру для nginx пробрасывают только /etc/nginx/nginx.conf? Просто в этих дирах еще какие то файлы и не вкурсе есть ли от них какие либо зависимости для определенных версий nginx и php

А ты разобрался в вопросе

А ты разобрался в вопросе

ты не вкурсе?

ты не вкурсе?

Я в курсе, но за тебя работу делать не буду

Привет, у меня есть вопрос про volumes. У меня есть yml файл, где описаны volumes, далее создается контейнер и в контейнере в папках, которые описаны в volumes появляются файлы, но на хосте их нет

Значит что-то недомонтировалось

Ребят, а можно как-то в docker-compose тег образа через переменную задать?

Ребят, а можно как-то в docker-compose тег образа через переменную задать?

можно через переменную окружения

Есть ci teamcity, контейнеры поднимаю через docker-compose и хочу тегом передавать commit id

можно через переменную окружения

как именно?

image: your_image:${TAG_ID}

ну и соответственно деплоите TAG_ID=blabla docker-compose..

у меня и компоуз и сварм так деплоится

Значит что-то недомонтировалось

там файлы появляются при билде

там файлы появляются при билде

где там?

где там?

в контейнере, а на хосте пусто

в контейнере, а на хосте пусто

криво примонтировалось

посмотрите через docker inspect

еще есть такая проблема, контейнер запускается и сразу выключается

Значит программа внутри контейнера завершается

я с помощью $ docker run -it name sh просматриваю содержмое контейнера, там проекс сбилдился в папку, которую я указывал в volumes, но на хосте пусто

не подскажите что делать?

Тебе же уже сказали

не подскажите что делать?

примаунтить нормально

Подскажите чем можно проксировать http к другому сервису внутри compose? Для nginx нужно свою конфигурацию класть / собирать, хотелось бы что бы через переменные окружения просто указать адрес сервиса и выбросить 80 порт.

Подскажите чем можно проксировать http к другому сервису внутри compose? Для nginx нужно свою конфигурацию класть / собирать, хотелось бы что бы через переменные окружения просто указать адрес сервиса и выбросить 80 порт.

Можно в nginx через envsubst закостылить

Можно в nginx через envsubst закостылить

как?

это всё равно потребует сборки

https://hub.docker.com/_/nginx/

это всё равно потребует сборки

нет

своего Dockerfile

своего Dockerfile

compose only

нет

хм, посмотрю спасибо

compose only

не понял

у меня swarm (тот же композ)

Dockerfile не нужен, изменения вносяться только в параметры запуска.

ну там правда всё равно надо будет маунтить темплейт конфига )

вот-вот ) только хотел написать

Подскажите чем можно проксировать http к другому сервису внутри compose? Для nginx нужно свою конфигурацию класть / собирать, хотелось бы что бы через переменные окружения просто указать адрес сервиса и выбросить 80 порт.

Можно сконфигурировать nginx без сборки

docker config

docker config

Как не хочется плодить конфигурации ради простой вещи :)

Привет, у меня есть вопрос про volumes. У меня есть yml файл, где описаны volumes, далее создается контейнер и в контейнере в папках, которые описаны в volumes появляются файлы, но на хосте их нет

я из-за такого поведения перешёл в docker run с -v на --mount type=bind,<прочие опции>. Делалось для одноразового скрипта, в корень проблемы не зрел. https://docs.docker.com/storage/bind-mounts/#start-a-container-with-a-bind-mount

я из-за такого поведения перешёл в docker run с -v на --mount type=bind,<прочие опции>. Делалось для одноразового скрипта, в корень проблемы не зрел. https://docs.docker.com/storage/bind-mounts/#start-a-container-with-a-bind-mount

а в docker-compose есть подобные варианты?

а в docker-compose есть подобные варианты?

https://docs.docker.com/compose/compose-file/compose-file-v2/#long-syntax

Привет, у меня есть вопрос про volumes. У меня есть yml файл, где описаны volumes, далее создается контейнер и в контейнере в папках, которые описаны в volumes появляются файлы, но на хосте их нет

а, дошло. у тебя в yml пути абсолютные? - docker run -v tmp:/asdf создаёт именованный вольюм tmp. См. docker volume ls. Твои файлы там) - docker run -v $PWD/tmp:/qwer биндит директорию.

Когда создаем несколько контейнеров, они автоматом соединяются в сеть bridge, в боевых условиях правильно оставлять эту сеть? Или все же нужно создавать новую?

Когда создаем несколько контейнеров, они автоматом соединяются в сеть bridge, в боевых условиях правильно оставлять эту сеть? Или все же нужно создавать новую?

Речь про докер компот)

народ, привет. кто-нибудь сталкивался с фаерволингом контейнеров? есть в iptables такая простыня: -A FORWARD -o docker0 -j PRE_DOCKER ....... -A PRE_DOCKER -o docker0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -A PRE_DOCKER -i docker0 ! -o docker0 -j ACCEPT -A PRE_DOCKER -m state --state RELATED -j ACCEPT -A PRE_DOCKER -i docker0 -o docker0 -j ACCEPT -A PRE_DOCKER -s 1.2.3.4/32 -i eth0 -j ACCEPT -A PRE_DOCKER -i eth0 -p udp -m udp --dport 36442 -j ACCEPT -A PRE_DOCKER -i eth0 -p udp -m udp --dport 17427 -j ACCEPT -A PRE_DOCKER -i eth0 -p tcp -m tcp --dport 36442 -j ACCEPT -A PRE_DOCKER -i eth0 -p tcp -m tcp --dport 17427 -j ACCEPT -A PRE_DOCKER -i eth0 -p tcp -m tcp --dport 443 -j ACCEPT -A PRE_DOCKER -i docker0 -o docker0 -j ACCEPT -A PRE_DOCKER -j DROP цепочка расположена следующим образом: -A FORWARD -j DOCKER-USER -A FORWARD -j DOCKER-ISOLATION-STAGE-1 -A FORWARD -o docker0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -A FORWARD -o docker0 -j DOCKER -A FORWARD -i docker0 ! -o docker0 -j ACCEPT -A FORWARD -i docker0 -o docker0 -j ACCEPT -A FORWARD -o docker0 -j PRE_DOCKER но особо ничего и не работает. не подскажете, в какую сторону копать?

с 1.2.3.4 доступ должен быть полный

так, кажись понял. докер после рестарта цепочку из начала в конец опускает

https://unrouted.io/2017/08/15/docker-firewall/

а допустимо ли делать как в статье написано, пункт A firewall that doesn’t smoosh Docker iptables rules ?

или есть лучшие практики?

я с помощью $ docker run -it name sh просматриваю содержмое контейнера, там проекс сбилдился в папку, которую я указывал в volumes, но на хосте пусто

маунт для контейнеров (docker run), а не для билда

или есть лучшие практики?

ага, забить на фаервол на нодах вообще

ну у меня на удаленном хосте cadvisor крутится, я не хочу его всему инету светить

ну у меня на удаленном хосте cadvisor крутится, я не хочу его всему инету светить

так не экспоузи в мир порт или тебе прям смотеть надо самому?