« Rev
@ru_docker   464
Fwd »


Great
Как можно кошерно ограничить выход в сеть в контейнере? Нужно запретить все кроме одного IP адреса. Через iptables внутри контейнера это нормально делать?
Andrey
зачем внутри, внешним на хосте?
Great
Так это правильно на хосте в iptables ограничивать?
Great
Внутри контейнера через iptables вроде тоже работает
Pavel
а где у тебя хост крутится?
Pavel
если на амазон или в гугле то через security group правильнее всего
Great
Это внутри компании
Pavel
тогда iptables вполне норм
Aleksey
ойпитаблей внутри контейнера ? я что то видимо не знаю
Aleksey
а что внутри контейнера какой то свой ойпитаблес ?
Aleksey
кашерно это делать на шлюзе.
Great
Не свой но его с --privileged можно модифицировать
Aleksey
а есть какой то глубинный смысл запускать контейнеры в привелегированном режиме ?
Great
Иначе внутри не работает iptables
Alf 🙀
Иначе внутри не работает iptables
есть какой то глубинный смысл фильтровать трафик iptables внутри контейнера?
Aleksey
не так.
Aleksey
есть видимо какой то глубинный смысл запускать управление системным iptables из контейнера. а не из хоста
Aleksey
но скорее всего такого смысла нет.
Aleksey
просто @petr_the_great не разобрался еще
Great
Верно, как правильно ограничить сеть внутри контейнера доступом лишь к одному ip? Цель проста: контейнер служит как песочница для не доверенного кода
Aleksey
делать это на шлюзе
Aleksey
потому что запускать недоверенный контейнер и ограничивать ему инет но приэтом запускать с —priviliged это немного похоже на безумие
Alf 🙀
если код не доверенный то зачем ему вообще предоставлять доступ хоть до одного ip
Great
Такие условия :) а через шлюз если делать то есть ли мануал?
Aleksey
мануал на твой шлюз ?
Great
Я просто не совсем понял что вы имеете ввиду под шлюзом
Aleksey
шлюз это то где у тя делается интернет
Great
Выходит если через iptables ограничивать на хосте то это затронет все контейнеры?
Aleksey
нет ойпитаблеса в контейнере.
Aleksey
есть только хостовоый
Aleksey
я не говорю что нельзя управлять фаерволом на хосте с докером. но крайне советую этого не делать.
Aleksey
там многие решения будут выглядеть в лучше м случае плохими.
Aleksey
так что по возможнотси управлйяте сетью для докера за пределами хоста с контейнером
Great
Странно что нету простой инструкции для ограничения сети одним адресом в контейнере, видимо нужно для песочницы что-то другое использовать
Aleksey
нет не странно. просто missuse технологии
Great
Значит docker просто не предназначен для моей задачи
Great
Докер Ее не решает в полной мере
Aleksey
видимо да.
Aleksey
не все технологии решают все проблемы.
Andrey
Верно, как правильно ограничить сеть внутри контейнера доступом лишь к одному ip? Цель проста: контейнер служит как песочница для не доверенного кода
ну если выкинуть то что докер и безопасность, два не пересекающихся понятия, то всё в общем то и так отлично работает, контейнер весьма изолирован от сети, и имеет доступ только к своему концу бриджа, что вы там на этот бридж отдадите дело техники, это не говоря что его можно неймспейсами сети ещё хлеще закрутить
Andrey
ну она есть только для всего колхоза и не везде
Aleksey
ах оставьте. в докере всё хорошо с безопасностью. просто ёё никто не умеет толком делать
Alf 🙀
во всяком случае в релизах 2017 года больших проблем с безопасностью докера вроде не наблюдалось. хотя я мог пропустить некоторые секьюрити баги.
Mikhail
Ребята, а посоветуйте какую-нибудь интерактивную обучалку по докеру? ну может видос
Great
https://www.katacoda.com/courses/docker
Mikhail
https://www.katacoda.com/courses/docker
Спасибо, то что нужно Ты крутой в моих глазах
Anonymous
ORU
Gleb
ori
Aleksey
orn!
Great
Так попробуйте
Alf 🙀
отдавать конфиг на стадии сборки переменные отдавать на стадии запуска через env
Alf 🙀
для паролей у докера есть secret вроде
Alf 🙀
ну и да env же
Alf 🙀
так какая разница, подкладывайте свои
Alf 🙀
сделайте pr в проект с предложением перейти на 12 факторов
Alf 🙀
кек
Alf 🙀
которым вы пользуетесь я хочу заметить
Alf 🙀
приложение которое вы пользуете не умеет читать из переменных енва?
Alf 🙀
а что за приложение такое занятное?
Alf 🙀
еще одна js библиотека. ну фронтенд это вообще про страдания маунтите вольюм
Alf 🙀
если указать конечный файл то прокинет только файл
Aleksey
при старте запускай sh-ку которая на основании чего то запишет конфиг
Aleksey
шаблонизируй через envsubst / consul-template в зависимости от религии
Aleksey
алилуя.
Aleksey
волт хашикорпа может снизить боль
Evgeny
Так, господа, я опять хочу странного
Evgeny
Есть ли что-то вроде /tiny или /dumb-init которое умеет не толоько работать с сигналами. но и перезапускать упавший внутри процесс?
Evgeny
"sh", "-c", "while true; " видится мне полным говна
Evgeny
не то чтобы хотелось бы что-то прямо супервихоскрого
Alf 🙀
монит
Evgeny
вот такое но в одном бинаре: ENTRYPOINT ["/tini", "-g", "--", "su", "node"] CMD ["sh", "-c", "while true; do npm start; sleep 5; done"]
Evgeny
монит
ну или watch -n 5 -t -x
Alf 🙀
ну или watch -n 5 -t -x
голосую за этот вариант
Alf 🙀
у супервайзора есть главный профит - его просто мониторить
karser
Подскажите, может встречался кто с такой ошибкой? Cannot create container: Error processing tar file mkdir: file exists / chmod: no such file or directory https://stackoverflow.com/questions/47597538/cannot-create-container-error-processing-tar-file-symfony-app-in-docker
Dan
Добрый день! 9 декабря в Санкт-Перербурге пройдет самая масштабная конференция EPAM в России - #ITsubbotnik https://events.epam.com/events/itsubbotnik-winter-2017. 13 спикеров поделятся своим опытом и лайфхаками с реальных рабочих проектов. В этот раз доклады будут в следующих направлениях: Data, JS, Mobile, DevOps и Java. Конференция бесплатная. Узнать о программе, познакомиться со спикерами и зарегистрироваться можно здесь: https://events.epam.com/events/itsubbotnik-winter-2017 Встречаемся 9 декабря в 10:30 по адресу: ул. Лодейнопольская, 5, центр ПетроКонгресс. Приходите, будет интересно!
Oleg
есть готовый контейнер следить за прокинутыми файлами и запускать при их изменении ряд комманд
« Rev
@ru_docker   464
Fwd »