Пускать кого то на хост систему, ужас какой

ключи для простых смертных сложно

нифига не сложнее чем тащить всякую хрень в контейнер

Зайти по ssh и поправить что то, чтоб пхп подхватило видимо

врядли, только если данные, а я как то не очень вижу зачем данных разных пользователей как то пересекаться в этой модули

они пересекаются по очень простой причине

пользователь А зашел по ссх и сделал файл

пользователь Б зашел и сделал файт

контейнеры с одинаковыми настройками

должны иметь доступ и к тому, и к тому файлу

и должны иметь возможность сами писать в их директории

и пользователь должен иметь возможность это удалить

Пускать кого то на хост систему, ужас какой

а куда?

ключи для простых смертных сложно

нет

если сделать ssh-контейнер, в нем /home/user как volume, а потом этот volume импортировать в app-container, тогда было бы норм

Пускать кого то на хост систему, ужас какой

ну вот так работает большинство веба

так дай им v4 c портом на крайний случай, а обычный способ это v6

в россии же хорошо с v6

врядли, только если данные, а я как то не очень вижу зачем данных разных пользователей как то пересекаться в этой модули

на волум класть. это вот единственная проблема

если сделать ssh-контейнер, в нем /home/user как volume, а потом этот volume импортировать в app-container, тогда было бы норм

да

ну вот тогда тебе нужен только один юзер с пониженными привилегиями

так дай им v4 c портом на крайний случай, а обычный способ это v6

хотелось бы избежать этого

ну вот тогда тебе нужен только один юзер с пониженными привилегиями

???

на волум класть. это вот единственная проблема

нарисуй картинку, и тебе и всем станет легче

???

в описанной мной схеме тебе зачем пользователи на хост-машине? вообще не нужны

достаточно одного без привилегий, который будет в вольюмы писать

нарисуй картинку, и тебе и всем станет легче

шаред

ты ему будешь в ssh-контейнер монтировать разные ключи и све

в описанной мной схеме тебе зачем пользователи на хост-машине? вообще не нужны

но твоей схемы хотелось бы избежать. хотя ты и все правильно понял

чтоб ее избежать, внутри пхп пишешь баш-скрипт

ты ему будешь в ssh-контейнер монтировать разные ключи и све

эээээ.... они не должны писать друг к другу

так они и не будут, они же за пределы вольюма не выйдут

дай опишу тебе другую схему, с хост-системой, погоди

так они и не будут, они же за пределы вольюма не выйдут

тогда нн понял схему. мне или каждому свой ссх подымать - и тут пробема с айпи, или

чуваки, вот человеки, поговаривают ещё до письма научились рисовать, не стесняйтесь применять знания предков

1) даешь доступ на хост по ssh 2) docker run -e USR=a -e UID=1003 -e HOME=/home/a -v /home/a:/home/a app 3) внутри app в entrypoint лежит баш-скрипт, который проверяет, есть ли такой юзер a:1003, если нет, создает его, дальше запускает пирложение

ну или так кстати

да можно ж этим юзерам запускать при старте докер контейнер с одинаковым для все uid

и прокидывать его туда. и тогда не надо гемороиться с разными мапингами

да можно ж этим юзерам запускать при старте докер контейнер с одинаковым для все uid

т.е. тащить в него passwd центральный?

нет, юзеркоманд делать запуск контейнера с маунтом его папки

и его внутрь запускать

блин, есть же модули авторизации настраиваемые. В т.ч. можно БД, AD и прочее прикрутить

и его внутрь запускать

а как его внутрь пускать?

docker run -it bash

блин, есть же модули авторизации настраиваемые. В т.ч. можно БД, AD и прочее прикрутить

ну вот кстати. а есть рекомендации?

Правда, я не уверен на 100% что сработает, но я б в эту сторону покопал

docker run -it bash

и кто это будет делать?

usermod -s '/usr/local/bin/myownshell.sh'

@schors даже в оф. доке есть что-то про биллинг и интеграцию с CMS https://docs.docker.com/ucp/user-management/authentication-and-authorization/ https://docs.docker.com/engine/extend/plugins_authorization/

и кто это будет делать?

Собьсно идея такая же что в ссх плюс чрут

ssh + chroot требует некоторых приколов с правами, как то owner = root или ещё некоторых плясок

Не помню особых плясок. Что там за проблемы?

если всегда живёшь от рута - никаких =)

Я давал юзерами доступ без рута

Как раз шареды для своих мутил

напиши хавту как =) а то все мучаются например так https://wiki.archlinux.org/index.php/SFTP_chroot

Я не бултином пользовался правда

есть кейс когда у юзверя дефолтная директория не рутована, но тогда и изоляция остальной системы не работает. Т.е. юзверь может выйти выше хомяка

главное путь правильно составить и система как на ладони

@schors даже в оф. доке есть что-то про биллинг и интеграцию с CMS https://docs.docker.com/ucp/user-management/authentication-and-authorization/ https://docs.docker.com/engine/extend/plugins_authorization/

я честно вообще не понял что это

вспомнил! http://olivier.sessink.nl/jailkit/

коллеги, а какие могут возниктунть конфликты если развернуть тестовый и препрод сервера на одном хосте?

памяти не хватит

диска

проца

ERROR: S client not available

и денег

на все это добро

вау, как вы по одной фразе определили ресурсоемкость серверов. мне бы так уметь

не факт что возникнут. но могут

https://www.meetup.com/DevOps-Moscow-in-Russian/events/234448355/

приходите, познакомимся@пообщаемся

Други, а кто где хостит свои докер кластеры? А то я задумался что хетнцер говно и надо б чтонить получше

ovh

если мажор, то digitalocean

ну а если в рф надо, я бы взял vscale

ovh кися

плюс котаны дали такую ссылку

для желающих сэкономить

http://servera.ovh/

не, мне наоборот не в рф

online.net

ovh - упоротые упырки.

главное не clodo, посоны

только не клодо

Ovh

Адекватнее фашистов, дешевле наших. Местами быстрее

Селектел можно, если любите необычный внезапный секс

Адекватнее фашистов, дешевле наших. Местами быстрее

там саппорт так себе

а так норм

мне кажется цена\качество идеально

я про дедики, с остальным не знаком

Саппорт да, странный

Други, а кто где хостит свои докер кластеры? А то я задумался что хетнцер говно и надо б чтонить получше

если сервера, то ovh или servers.com

https://www.nocix.net/dedicated/

они дорогие

если сервера, то ovh или servers.com

Да я вот задумался - а может мне не сервера хостить а просто сразу докер? Ну или нарезать себе вируталок?