в данном случае nginx

привет может подсказать. мне нужно при запуске образа sudo docker run -it -v "как мне сюда примонтировать папку" --network=host centos1

-v /path/to/local_folder:/pat/to/docker_image_folder - так в rw

так же можно указать ro

-v /path/to/local_folder:/pat/to/docker_image_folder:ro

-v /path/to/local_folder:/pat/to/docker_image_folder - так в rw

Спасибо сейчас попробую

-v /path/to/local_folder:/pat/to/docker_image_folder:ro

Вот допустим монтирование прошло . Если в хост папке есть каталог или файл как мне к нему из докера получить доступ ? Все зеркалится в директории образа ?

Вот допустим монтирование прошло . Если в хост папке есть каталог или файл как мне к нему из докера получить доступ ? Все зеркалится в директории образа ?

контейнера, монтирование в этом и состоит

контейнера, монтирование в этом и состоит

скажем так, вроде в образе этой директории не будет. он, образно говоря, будет тянуть клешни наружу контейнера

скажем так, вроде в образе этой директории не будет. он, образно говоря, будет тянуть клешни наружу контейнера

Ну я увижу эти папки файлы если например сделаю ls

?

Ну я увижу эти папки файлы если например сделаю ls

в контейнере да, на хосте да

повторюсь - контейнер кагбэ будет работать с директорией снаружи контейнера

повторюсь - контейнер кагбэ будет работать с директорией снаружи контейнера

А как получить тогда доступ ? Из контейнера к файлу на хосте ?

в контейнере да, на хосте да

почему нет то?

А как получить тогда доступ ? Из контейнера к файлу на хосте ?

смонтировать, у тебя в контейнере будут доступны файлы с хоста

А как получить тогда доступ ? Из контейнера к файлу на хосте ?

ну например у меня есть монга в контейнере. у нее в конфиге допустим написано хранить все бд в /data/db. Я делаю -v /data/db:/data/db и докер с монгой использует директорию на хосте который запустил контейнер

то есть не надо никакой магии. докер просто загребает все попытки обратиться к какой-то директории внутри контейнера и подставляет туда volume

конечно могу ошибаться, я всего 3 месяца его пользую и не самым активным образом. подтвердите плес кто точно уверен

смонтировать, у тебя в контейнере будут доступны файлы с хоста

Мне каждая попытка болью отзывается . 12 гигов качается

Ща попробую

Мне каждая попытка болью отзывается . 12 гигов качается

что у тебя 12 гигов?

докер образ?

Мне каждая попытка болью отзывается . 12 гигов качается

так, я уже факапнулся. вижу папки и в докере и снаружи

докер образ?

Нет при сборке долго очень

Нет при сборке долго очень

а зачем ты каждый раз собираешь?

для тестов точно не надо каждый раз собирать

и 12 гигов образ это как-то страно

такого не должно быть

походу там весь репозиторий тянется

ну например у меня есть монга в контейнере. у нее в конфиге допустим написано хранить все бд в /data/db. Я делаю -v /data/db:/data/db и докер с монгой использует директорию на хосте который запустил контейнер

именно так

и 12 гигов образ это как-то страно

Тут центос и пакеты разные

эх

еще раз что происходит?

походу там весь репозиторий тянется

ты умеешь depth ставить? Клонить последний коммит

тянется существенно меньше трафика

Тут центос и пакеты разные

и что у тебя там?

mysql, apache, php, centos?

я тоже не понимаю как это влияет

паника_паника_пакеты другие ))))

mysql, apache, php, centos?

Centos7 merrcurial wget unzip isof openssh epel И 10 пиотоновских пакетов

Centos7 merrcurial wget unzip isof openssh epel И 10 пиотоновских пакетов

и это занимает 12 гигов?

я знаю

коллега не почистил кэш юма

выглядит примерно так

https://gist.github.com/orita/9168282

нюанс в том, что весь yum install нужно делать в один слой. И потом сразу клин там же.

нюанс в том, что весь yum install нужно делать в один слой. И потом сразу клин там же.

yum -y install mercurial wget unzip lsof openssh-clients epel-release \ && yum -y update \ ... pip install x10

тут нету yum clean

без него у тебя yum насасывает файлов и кэшей, которые потом лежат и могут хоть 40ГиБ съесть

без него у тебя yum насасывает файлов и кэшей, которые потом лежат и могут хоть 40ГиБ съесть

Ого. Спасибо . Сейчас внимательно прочитаю

Здравствуйте :)

Всем привет!

http://neprivet.ru/

как-то по вахтерски что-ли)

Кто как закрывает порты контейнеров из вне? Т.е. сейчас доступ к DB есть через ip:port. А нужно закрыть такую возможность. Через ufw и правилами iptables не получается...

а вопрос классный. тоже интересно стало

Кто как закрывает порты контейнеров из вне? Т.е. сейчас доступ к DB есть через ip:port. А нужно закрыть такую возможность. Через ufw и правилами iptables не получается...

почему не получается?

т.как доступ при правилах не запрещают доступ

скорее всего из-за самого Докера, который сам вносит правила в iptables

sudo iptables -A INPUT -p tcp --dport 3306 -j DROP

но достучаться все так же могу до mysql

sudo ufw deny 3306

аналогично

Кто как закрывает порты контейнеров из вне? Т.е. сейчас доступ к DB есть через ip:port. А нужно закрыть такую возможность. Через ufw и правилами iptables не получается...

глупости

у тебя есть отдельная цепочка DOCKER-USER

либо ты на этапе прероутинга отшибаешь левые пакеты

-A INPUT -s 192.168.3.x -i eth0 -p tcp -m tcp --dport 3306 -m comment --comment "" -j DROP -A INPUT -s 192.168.3.x -i eth0 -p tcp -m tcp --sport 3306 -m comment --comment "" -j DROP

а еще можешь полностью взять на себя менеджмент правилами файрволла, чтобы докер не подгаживал

-A INPUT -s 192.168.3.x -i eth0 -p tcp -m tcp --dport 3306 -m comment --comment "" -j DROP -A INPUT -s 192.168.3.x -i eth0 -p tcp -m tcp --sport 3306 -m comment --comment "" -j DROP

но это прям затаскивает целый кусок инфраструктуры

cм сам как у тебя

я прероутингом отшибал

сам прописывать правила для докера это конено хорошо) но думал что есть промежуточный вариант, а именно дописывать правила для тех контейнеров, которые хочешь отсечь

тут нету yum clean

Не подскажешь ? Монтирую директорию из нее беру файл с этим всё ок. Но нужно туда тоже копировать несколько файлов что бы получить их на хосте

сам прописывать правила для докера это конено хорошо) но думал что есть промежуточный вариант, а именно дописывать правила для тех контейнеров, которые хочешь отсечь

Вообще этим должна инфраструктура заниматьмя

Не подскажешь ? Монтирую директорию из нее беру файл с этим всё ок. Но нужно туда тоже копировать несколько файлов что бы получить их на хосте

Я думал не хватает прав и дал группе докер права на директорию . Не помогло

Старый Хрыч, [15.01.19 16:47] version: '3.6' services: nginx-proxy: image: jwilder/nginx-proxy ports: - "14623:80" volumes: - /var/run/docker.sock:/tmp/docker.sock:ro whoami: image: proxynode expose: - "80" deploy: replicas: 100 вдохновлялся вот этим version: '2' services: nginx-proxy: image: jwilder/nginx-proxy ports: - "80:80" volumes: - /var/run/docker.sock:/tmp/docker.sock:ro whoami: image: jwilder/whoami environment: - VIRTUAL_HOST=whoami.local но решил заменить на один из примеров где было expose: - "80"

по сути есть контейнер proxynode, оно клиенту выдаёт проксю, от jwilder/nginx-proxy требуется тупо передать клиента одной из 100 реплик прокс

по итогу контейнер с jwilder/nginx-proxy недоступен из вне

по итогу контейнер с jwilder/nginx-proxy недоступен из вне

а по 14623 порту доступно?

а по 14623 порту доступно?

нет, более того, если зайти на контейнер с jwilder/nginx-proxy netstat скажет Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 127.0.0.11:37676 0.0.0.0:* LISTEN - tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 36/nginx: master pr udp 0 0 127.0.0.11:49078 0.0.0.0:* - Active UNIX domain sockets (only servers) Proto RefCnt Flags Type State I-Node PID/Program name Path

tcp6 0 0 :::14623 :::* LISTEN 91095/dockerd а вот так это в netstat

но 101 контейнер созданы

Создай 1 контейнер