ток там нельзя будет включить юазовую аутенотифкацию даже

Ага, вполне вариант. У меня пока на одном сервере, вообще все. Но чуть позже будет несколько. Но, учитывая, что все внутри защищенной сети, то заморочки с сертификатом выглядят излишними.

ну если в сети кто-то кроме тебя есть то не такая уж она и защищенная

Там дофига кто есть :)

короче говоря, тут все подробно написано: https://docs.docker.com/registry/insecure/ 🙂

а так в целом конечно что сделать таск для установки сертификата, что сделать таск для установки инсекьюр регистри

инсекьюр чем грозит, вообще? Возможной подменой registry?

а так в целом конечно что сделать таск для установки сертификата, что сделать таск для установки инсекьюр регистри

прописывать инсекьюр надо так же на всех хостах с docker

прописывать инсекьюр надо так же на всех хостах с docker

ну я и говорю, что работы одинаковое количество

что серт раскидать, что конфиг поменять

дада, я просто обращаю внимание нуждающихся

Я и говорю, что инсекьюр - это скорее попытка обойти непонимание работы сертификата

работы одинаково (ну ладно, с инсекьюр немного меньше, но не значительно), а безопасность ухудшится с инсекьюр, поэтому нет смысла с этим затеваться ИМХО

ну опять же если серт самоподписный, если нет hsts то это скорее иллюзия безопасности, от mitm то никак не защищены будете. Я в итоге выбрал vmware harbor в качестве регистри и всё таки все еще и по паролю ходят и gitlab ci и разрабы.

а зачем локальный реджистри? почему не взять docker hub?

а зачем локальный реджистри? почему не взять docker hub?

затем, что требование бизнеса ))

стоит он копейки все проблемы решает. качать с c3 долго? поставьте рядышком локальный кэш вашего хаба(гуглить docker registry as a proxy). так зачем registry то?

затем, что требование бизнеса ))

например?

например?

например: "все должно быть только инсайд. точка."

мне просто интересно какэто требование бизнеса звучит?

например: "все должно быть только инсайд. точка."

вы используете докер, это уже не работает.

вы используете докер, это уже не работает.

это прекрасно работает

хотите все инсайд делайте свою систему изоляции.

делайте свое ядро

и свою сетку и свои диски список можно продолжать

хотите все инсайд делайте свою систему изоляции.

может быть, предложите материнскую плату спаять? не лезьте в бутылку-то )))

может быть, предложите материнскую плату спаять? не лезьте в бутылку-то )))

ну так это у вас там бизнес хочет все инсайд

каким образом бизнес регламентирует как работать разработчикам вот только не понятно

ну так это у вас там бизнес хочет все инсайд

в данном случае нельзя использовать докер хаб, локальный прекрасно справляется

ну да ладно, закроем вопрос.

каким образом бизнес регламентирует как работать разработчикам вот только не понятно

договором, регламентами, должностными инструкциями и прочим

закончим на этом.

а зачем локальный реджистри? почему не взять docker hub?

странный вопрос, а как вы вообще докер используете? у нас 99% это самописное ПО и образы собирает ci из репки на гитлабе, не буду ведь я заливать на докерхаб такое.

странный вопрос, а как вы вообще докер используете? у нас 99% это самописное ПО и образы собирает ci из репки на гитлабе, не буду ведь я заливать на докерхаб такое.

почему? в чем проблема?

никак не сделать прайвайт репу, ну ок.

почему? в чем проблема?

как минимум в интеллектуальной собственности и объеме )))

как минимум в интеллектуальной собственности и объеме )))

сделайте прайват репу. при чем тут интеллектуальная собственность? про объем я уже писал.

сделайте прайват репу. при чем тут интеллектуальная собственность? про объем я уже писал.

про объем: 1 - не писал 2 - каждый раз заливать по 50 гигов? всякие бывают задачи

в день сборок штук 10, и что, 500 гигов лить на хаб? через интернет?

прайват репу? серьезно? конечно, туда никто-никто не смотрит! все честно!

что за детсад-то? )))

что за детсад-то? )))

окей. извините. за вами следят я понял.

сделайте прайват репу. при чем тут интеллектуальная собственность? про объем я уже писал.

Ну сервис всё же публичный и уявзимостей там не может не быть. Во вторых в силу специфики проекта я не думаю что любой житель рф вообще бы хотел что бы данные такого рода лежали где-то в инетике. В третьих опять же инетрнет, казалось бы ну как бы пофиг так, можно хоть террабит трафика перекачать туда-сюда, ток есть проблема - российская криптуха больше гигабита не умеет, у нас например все сети на "заставах" т.е. там в идеальном случае будет гигабит на всех, ну как бы не покачаешь.

Да ладно, требования в компаниях различаются. Где-то и уволить могут за репу где-то кроме ресурсов компании

ну мы типа рассматриваем разумные требования

ну мы типа рассматриваем разумные требования

понятие "разумности" у всех разные. хоумпагу накаленную можно и залить на хаб, а за алгоритмы обработки биг даты бизнес няньца оторвет и скушать заставит

разумность понятие такое иб где-то есть, а где-то иб - это единственный админ-девопс

опять же не хотелось бы попасть на такой случай когда регистри сломают и образы подменяет например или добавят чего, репки пакетных дистрибутивов любят вот ломать

у меня например и pypi и rpm репки всё локальное, ну нет интернетика на продуктовой среде вообще и не может быть.

и правильно, и не надо на проде интернетиков, прокси, дмз, вот это всё

коллеги, немного оффтопа

практикует кто docker + namespace?

Перестал стартовать докер systemctl status docker: .... Oct 04 11:10:02 p129i04nlb01t dockerd-current[967]: nsenter: unable to unshare namespaces: Invalid argument Oct 04 11:10:02 p129i04nlb01t dockerd-current[967]: container_linux.go:247: starting container process caused "process_linux.go:245: running exec setns process for init caused \"exit status 1\""

а какая версия docker?

# docker -v Docker version 1.12.5, build 047e51b/1.12.5

rh/cent?

rhel 7.3

у них в багтреккере есть базар на эту тему...

видели, наверное? https://bugzilla.redhat.com/show_bug.cgi?id=1441993

спасибо, занятно You might want to try user namespace with docker-latest, but as of now we don't support user namespace on RHEL.

там, вроде бы, дядька решил вопрос обновлением... собрал 1.12.6

саааамый последний пост

небольшая разница в том, что у меня служба докера даже не стартует

у него тоже не стартовала, там по тексту где-то про это есть

или не именно у него, но что-то в глаз бросилось про демон докера, только я быстро пролистал...

нет, там про docker run... docker run also fails

тем не менее, почему не собрать крайний релиз в ветке 1.12.х?

gitlab же есть on-premise

вот тут написано: ftp://rpmfind.net/linux/RPM/opensuse/updates/leap/42.1/oss/x86_64/docker-1.12.6-30.2.x86_64.html Fix user namespaces not working on Linux From Scratch #20685

тем не менее, почему не собрать крайний релиз в ветке 1.12.х?

странно, обновлялся вчера и есть более новая версия в репах

вот тут написано: ftp://rpmfind.net/linux/RPM/opensuse/updates/leap/42.1/oss/x86_64/docker-1.12.6-30.2.x86_64.html Fix user namespaces not working on Linux From Scratch #20685

может чего пофиксится и в rhel

обратите внимание

https://docs.docker.com/release-notes/docker-engine/#1126-2017-01-10

Оо, спасибо, проверюсь

# docker -v Docker version 1.12.5, build 047e51b/1.12.5

там есть версия 1.12.6 path31 что то типа того, вполне можно обновиться

там есть версия 1.12.6 path31 что то типа того, вполне можно обновиться

Я и говорю странно, обновлялся вчера утром, сегодня уже вот как: Updated: docker.x86_64 2:1.12.6-55.gitc4618fb.el7

репы что-ли с лагом зеркалятся

Я и говорю странно, обновлялся вчера утром, сегодня уже вот как: Updated: docker.x86_64 2:1.12.6-55.gitc4618fb.el7

это же не тот докер который у docker.com

проверь список реп на сервере

не моя ЗО )

Я и говорю странно, обновлялся вчера утром, сегодня уже вот как: Updated: docker.x86_64 2:1.12.6-55.gitc4618fb.el7

ну вот это собирает редхат или кто там, походу своя ветка уже, Я так на нём и остался, при попытке работы с 1.13 такие приколы начались что ну его нфиг пока что