Gleb
прост как обычно все слоу, новости то уже месяца 3
Alexey
я вот просто честно не очень слежу за подобной возней, судя по выходу релизов вроде все хорошо
Alexey
харассмент вообще за проблему не считаю, по крайней мере для опенсорс продукта это не угроза
🏳️ Phil
Там надо учесть еще драку с RedHat и его CRI-O
🏳️ Phil
Я правда не очень понимаю пока как он убьет docker
Gleb
Докер коммерческая компания сделанная что бы продавать ынтырпрайз эдишон в первую очередь. Так же как и красная шляпа
Anton 🐻
Привет, подскажите плез. Есть старая софтина (lgc), которая работает вне докера и под своим пользователем (lgc), все остальные части приложения на том же сервере, но в докер-контейнерах. Эта софтина при возникновении событий умеет запускать от имени своего пользователя любое указанное приложение и слать ему в пайп события, хочу чтоб оно отправляло их внутрь приложения в контейнере: /usr/bin/docker exec -it app /handler
Проблема в том, что от имени пользователя приложения (lgc) получаю ошибку: dial unix /var/run/docker.sock: permission denied. Are you trying to connect to a TLS-enabled daemon without TLS.
Есть какое-нибудь красивое решение?
Client version: 1.7.1
Client API version: 1.19
Go version (client): go1.4.2
Git commit (client): 786b29d/1.7.1
OS/Arch (client): linux/amd64
Server version: 1.7.1
Server API version: 1.19
Go version (server): go1.4.2
Git commit (server): 786b29d/1.7.1
OS/Arch (server): linux/amd64
Igor
Anton 🐻
Добавить пользователя lgc в группу docker
да, но такой группы там нет. Centos 6 + старый докер, поверх которого даже docker-compose не ставится, а /var/run/docker.sock создаётся от root:root
Aleksei
Дать ему sudo права на эту команду
Vitalii
Помогите с сетью разобратся.
Запустил docker-compose приложение, один из компонентов nginx который обслуживает запросы. Наружу портов не прокинуто.
Кроме него на сервере стоит nginx с открытым портом 80,433 который принимает запросы внешние. Как настроить проксирование nginx:80,433 -> nginx ?
Roman
Помогите с сетью разобратся.
Запустил docker-compose приложение, один из компонентов nginx который обслуживает запросы. Наружу портов не прокинуто.
Кроме него на сервере стоит nginx с открытым портом 80,433 который принимает запросы внешние. Как настроить проксирование nginx:80,433 -> nginx ?
прокинуть порт от nginx внутри докера наружу, например на 8080, а в nginx, который на хосте, сделать на него upstream
Aleksey
юзаеть traefik на хосте если это возможно
Andrey
открою наверное страшный секрет, но nginx или что то ещё с хоста, может прекрасно обращаться напрямую к контейнерам, вовсе незачем что то кому то прокидывать, хотя два нгинкса подряд, как то не комильфо, ну только уж очень лень менять что есть
Roman
открою наверное страшный секрет, но nginx или что то ещё с хоста, может прекрасно обращаться напрямую к контейнерам, вовсе незачем что то кому то прокидывать, хотя два нгинкса подряд, как то не комильфо, ну только уж очень лень менять что есть
можно и напрямую, обычно прокладывают еще один слой чисто для стандартизации
Vitalii
фишка в том, что фронтовый nginx так же в контейнере крутиться)) и у него своя сеть nginx_default, а в этой сети еще пара сервисов крутится которые проксируются через этот фронтовый nginx, т.е. он должен видеть эти сервисы чтобы проксировать
Andrey
да ну, какая тут стандартизация, некоторые особо упоротые его ещё и прям в контейнер суют, в комплекте с костылями
Vitalii
у меня тут какая-то ж*па получилась(( пытаюсь разобраться как сделать правильно все это
Vitalii
кто-то с ранчером работает?
Anton
Ius
Anton 🐻
Дать ему sudo права на эту команду
спасибо, такое помогло:
lgc ALL = (ALL) NOPASSWD: /usr/bin/docker
но конечно не топ-секюрно....
Roman
спасибо, такое помогло:
lgc ALL = (ALL) NOPASSWD: /usr/bin/docker
но конечно не топ-секюрно....
секюрно обновить докер и добавить в группу :)
Anton 🐻
докер последней версии доступной из репы для центос 6
Farid
Как указать хостовый путь для volume в docker-compose
Farid
volumes:
- sqlserver-data:/var/opt/mssql
Так на хосте папка создается в каких то ебенях. Мне нужно указать путь
Roman
volumes:
- sqlserver-data:/var/opt/mssql
Так на хосте папка создается в каких то ебенях. Мне нужно указать путь
в ебенях - это внутренности докера. тебе не важно
Farid
в ебенях - это внутренности докера. тебе не важно
Такое проканает?
volumes:
- ../data/sqlserver_data:/var/opt/mssql
Slach
Такое проканает?
volumes:
- ../data/sqlserver_data:/var/opt/mssql
да
но возможно придется заменить на - ./data/sqlsever_data:/var/...
Roman
только из своей папки
Roman
а то кто-то напишет /etc/passwd и отдаст тебе
Farid
понял, спасибо
🏳️ Phil
Слушайте, можно как то докеру на старте демона сказать, чтобы он вообще iptables включая nat не трогал? Можно и docker0 не создавать. Мне строго для net=host
Alf 🙀
Alf 🙀
Слушайте, можно как то докеру на старте демона сказать, чтобы он вообще iptables включая nat не трогал? Можно и docker0 не создавать. Мне строго для net=host
https://github.com/moby/moby/issues/28241
правда работает не гарантированно
Alf 🙀
еще можно bridge: none если тебе бридж не нужен
🏳️ Phil
Ага. Я просто приноровился докером все запускать. На хостовой машине для виртуалок хочу мусор нагиоса в докер пихнуть
Alf 🙀
есть еще ip-masq: false | true но использование этого для меня и вовсе осталось загадкой
🏳️ Phil
есть еще ip-masq: false | true но использование этого для меня и вовсе осталось загадкой
Я собственно в свое время искал как nat отключить и не нашел
Alf 🙀
я не помню что именно помогло мне прибить желание докера пускать себя в айпитайблс, но конфиг говорит что я ставлю все в фалс и оно так работает
🏳️ Phil
Спасибо
Alf 🙀
но документация у докера на собственный демон из разряда лучше бы не было
Slach
А оно в iptables прописывается при первой попытке поднять контейнеры?
если ставить через deb пакет оно там инициализирует бриджи?
Alf 🙀
Пока у тебя сервис не запущен бриджи и правила не активны. Что как бы логично.
Yulia
разделы же смаунчены через bind
А что с правами делаете на раздел с датой? как-то управляете UIDами пользователя, под которым монга в контейнере запускается? Или даете всем права на запись и никого на сервак больше не пускаете?
Alexey
ничо се нашли сообщение ))
Alexey
права не трогаются на хосте
Alexey
А что с правами делаете на раздел с датой? как-то управляете UIDами пользователя, под которым монга в контейнере запускается? Или даете всем права на запись и никого на сервак больше не пускаете?
вся эта халабуда у меня в кластере номада запущена, туда и так никого не надо пускать. сама монга запускается под своим пользователем а контейнер изначально под рутом
Yulia
У меня монга предполагается прям в докере, где конфиг, логи, дата прикреплены бинд.маунтом. И тут встает вопрос с правами на эти маунты
Yulia
Т.е. у меня нет прослойки, которая за меня что-то сделает с правами
Alexey
ну а в чем вопрос? в entrypoint вставить chown
Alexey
UID все равно не будет меняться
Alexey
chown конечно грязновато
Alexey
но от косяков имхо убережет
Yulia
Ну я вижу только путь только сетать заранее известный UID у пользователя, под которым в контейнере бежит монга и такой же выдавать пользователю на хостовой системе. Иначе приходится делать o+w на папку, куда дата монтируется
Yulia
И мне это кажется косым путём
Alexey
ну заниматься синхронизацией uid хоста и контейнера мне кажется не очень круто
Alexey
проще разместить data в каталоге куда только root может сходить
Alexey
чтоб никто кроме него туда сунуться не мог
Alexey
а внутри уже пусть творится вакханалия которая уже рулится контейнером
Yulia
В этой ситуации процесс монги, бегущий не из-под рута, туда ничего не сможет записать
Alexey
процесс монги будет не из под рута, но в контейнер это каталог попадет через bind
Alexey
так что он туда отлично сможет писать,если на самом каталоге будет 777
Yulia
проще разместить data в каталоге куда только root может сходить
То ли я в лыжах на асфальте, то ли это противоречит предыдущему сообщению
Yulia
>только рут >777
Alexey
верхний каталог видит только рут
Alexey
например так
Alexey
/data/storage ( только рут 0600) / mongodb(777)
Alexey
в контейнер через -v /data/storage/mongodb:/data/ это забросить
Alf 🙀
Ну я вижу только путь только сетать заранее известный UID у пользователя, под которым в контейнере бежит монга и такой же выдавать пользователю на хостовой системе. Иначе приходится делать o+w на папку, куда дата монтируется
userns-remap не для того заносили? звучит как будто да.
Dan
Дорогие друзья! Наш хороший Шизя любит и умеет вкусно готовить. За кулинарным вдохновлением идти сюда: @cooking_with_shizoid
Roman
Дорогие друзья! Наш хороший Шизя любит и умеет вкусно готовить. За кулинарным вдохновлением идти сюда: @cooking_with_shizoid
думал уже жаловаться админам на спам, а это и есть админ :/
Dan
Я даже больше скажу, это и не спам :-/ Оно хоть и не совсем релевантно, но уж очень хотелось помочь хорошему человеку 😃
Dan
Эх, знали бы вы, какими усилиями мне приходится порой сдерживать натиск предлагающих мне за рекламу денег от всяких криптоинвесторов, бизнесменов, аналитиков и всяких прочих сигналов. Я не против рекламы и пиара, но как мне кажется, это должно быть релевантно чату/каналу как минимум
Sergey
docker rm -f висит уже 5 минут, что делать?
🏳️ Phil
Курить можно прямо здесь
Alexey
перезапускать демон