+

ну я не хотел через врф ебашить

=(((

ну ок

попробую освежить в памяти, может еще причины были

а какая разница, через что вы сделаете, результат един. у докера под капотом те же ip netns кстати, я не уверен, что это вообще возможно.

нет

докер это не сигруппы с неймпспейсами, это реализация конкретная

и докер это не линукс контейнеры

насрать что под капотом

под капотом и лада гранта и порше железо

Ладно, живи так.

что является ключевым фактором характеризующим любую систему ?

под капотом и лада гранта и порше железо

вы явно не разбираетесь в автомобилях

вы не из фланта ? )))

у вас так пригорает ))

что является ключевым фактором характеризующим любую систему ?

передаточная функция??

забей.

чувак ливнул походу.

Я наблюдаую уже год такую попаболь у ребят из Фланта на всех конференциях

хз

что есть флант ?

я не понял о чем ты но понял о чем он

которые ноют в духе "ну блииин докер же это cgroups + namespaces + capabilitiessss"

и я с ним согласен больше чем с тобой пока что

Отличительная черта докера, которая выдилила его как отдельный продукт на рынке это высокоуровневая модель описания конетйнеров не привязанная к конкретной реализации

а какая разница, через что вы сделаете, результат един. у докера под капотом те же ip netns кстати, я не уверен, что это вообще возможно.

нету в нём никаких ip netns, не их можно туда ручками немного прикрутить, но от докера там будет больше вреда чем пользы

а также после этого дополнительные продукты по оркестрации этого говна

были же теже самые ezjails но не дотащили

было куча обвязок поверх lxc

и по аркестрации, аркестрации

нее. стрельнул хаб :)

и да, метод сборки образов и удобной их доставки стрельнул

хотя никода не был проблемой

связывать у себя в мозгу докер с сигруппами и неймспейсами - узоколобо на мой взгляд

но несомненно, под линуксами под капотом оно

ну скорее не сам метод, а то что под него почему то начали собирать, причём вроде как офф.образы

но несомненно, под линуксами под капотом оно

да не юзает он и под линуксами это почти никак (в базовом варианте)

ну разве что сигрупс

еще один террорист уничтожен.

да не юзает он и под линуксами это почти никак (в базовом варианте)

юзает.

вы наверно про то что они libcontainers запилили или как там ее

ололо. внезапно через какой же секретный механизм работает для сети в докере в дефолтном варианте? :) root@vm110827:~# nsenter -t $(docker inspect -f '{{.State.Pid}}' a9a14af5858f) -n ip link ls 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default qlen 1 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 315: eth0@if316: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP mode DEFAULT group default link/ether 02:42:ac:12:00:05 brd ff:ff:ff:ff:ff:ff link-netnsid 0

сеть почти никак не юзает, диски тоже относительно, вор ресурсы разграничивает, это да

они же изначально сидели на lxc обвязке

может быть, это не ip netns?

а теперь просто свою запилили, а сигруппы теже

0_о

ололо. внезапно через какой же секретный механизм работает для сети в докере в дефолтном варианте? :) root@vm110827:~# nsenter -t $(docker inspect -f '{{.State.Pid}}' a9a14af5858f) -n ip link ls 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default qlen 1 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 315: eth0@if316: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP mode DEFAULT group default link/ether 02:42:ac:12:00:05 brd ff:ff:ff:ff:ff:ff link-netnsid 0

ну и что засунуты они там все в один (эмм слайс или что) дефолтный и толку с того

я отвечал на >нету в нём никаких ip netns

ERROR: S client not available

если порытся, народ руками там их развешивал по разным, организует роутинг и всё такое, но это всё руками

ничо не понял

я только что показал, что неименнованный network namespace создается на обычном docker run и потом с этим network namespace можно взаимодействовать стандартными инструментами (nsenter). не знаю, с кем или с чем ты споришь.

ну где он юзает, если его даже в ip netns show нет

>неименнованный

lmgtfy http://stackoverflow.com/questions/31265993/docker-networking-namespace-not-visible-in-ip-netns-list

ну где он юзает, если его даже в ip netns show нет

посмотри в ls /sys/fs/cgroup/*/docker/

ls -d даже лучще

там буду диры неймспейсов с id контейнеров всех

lmgtfy http://stackoverflow.com/questions/31265993/docker-networking-namespace-not-visible-in-ip-netns-list

ну вот это и назвыается НЕТУ, ибо бесполезно

"если я не вижу, то нету". ну ок.

нет, если оно нигед толком не используется (используется только автоматом в дефолте), то его нету

при любой изоляции сети netns используются. то что это хорошо спрятано и при использовании не надо об этом думать - только в плюс инструменту. вы же не думаете о конфигурации цилиндров на ваших HDD, просто пользуетесь blockdevice'ом, не задумываясь о головках, парковках и т.п.

нука, нука, как оно там изолирует, в студию

я уже показал.

пока я вижу, вся докер изоляция, это правила фаервола

там где они до них добрались :)

по сети

docker exec -it $container_id ip link ls

фаервол не позволяет менять интерфейсы.

Примонтировал папку /var/shared с хостовой машины. Удалил папку в ней из контейнера. Насколько нормальное это поведение? Можно ли как-то ограничить папки для монтирования?

Не то. Как при запуске запретить пользователю монтировать папки все кроме разрешённых?

Не то. Как при запуске запретить пользователю монтировать папки все кроме разрешённых?

Вы докер под рутом гоняете ? )

Ребята, как лучше всего использовать composer с Docker ? локально или внутри Docker контейнера ? и как к нему обрщаться если через Docker контейнер, exec ?

Вы докер под рутом гоняете ? )

Хм... можно под непривилигированным пользователем?