99% ( девяносто девять, Карл ) проблем с логированием можно было решить написав свой форвардер из /dev/log в syslog/journald

Не сталкивался с проблемой не_записи в сислог докером после рестарта сислога?

Докер кладет болт на логирование в сислог после рестарта сислога.

Докер и Windows 10. Как? Буттудокер?

Я слышал что для винды сделали что-то нативное для докера сейчас

Делают*

Но не сделали. Анонсировали только

MS тормозит

Докер и Windows 10. Как? Буттудокер?

Install-WindowsFeature containers

хмм

попробую

https://msdn.microsoft.com/en-us/virtualization/windowscontainers/docker/configure_docker_daemon?f=255&MSPPError=-2147217396

Докер установился, и при запуске мне сказал что сейчас включит свой хайпер-ви и выключит к хренам виртуалбокс. Я конечно же не согласился, и задумался.

Мне ведь и виртуалбокс нужен.

Ну ему как бэ пох, да?

Да. поэтому думаю дальше.

В принципе докер в виртуальной среде меня устраивает и под vmware.

В чём профит от использования "нативного" докера - не понимаю. та же виртуализация, гипервизор другой

Похоже что bare-metal со smartos и докеры будут лучшим решением чем виртуальные докеры

А хайперв уже умеет на ноутбуках, чтобы с засыпанием?

Хз, я не пробовал, и не горю желанием. Хотя придётся, заодно расскажу )

В чём профит от использования "нативного" докера - не понимаю. та же виртуализация, гипервизор другой

Нативный докер под windows 2016.

Не сталкивался с проблемой не_записи в сислог докером после рестарта сислога?

Криворукие авторы докера не умеют реконнект к сокету?

Криворукие авторы докера не умеют реконнект к сокету?

Очень похоже на то

В чём профит от использования "нативного" докера - не понимаю. та же виртуализация, гипервизор другой

Там не виртуализация

Зачем тогда он хочет мне выпилить виртуалбокс?

потому что гиперв не совместим с другими гипервизорами

всем привет, можно нубский вопрос в docker swarm overlay network секурная сеть? или это делается другими средствами? какой нибудь p2p vpn ? из документации я этого как то не понял

несекурная, опций для шифрования не нашёл. может weave какой можно прикрутить к swarm mode

Докер кладет болт на логирование в сислог после рестарта сислога.

Ну по факту он продолжает отправлять данные, только в дескриптор старого сислога

Этой "проблеме" лет столько же сколько самому сислогу

Этой "проблеме" лет столько же сколько самому сислогу

Столько докер не живет. А проблема с файловыми дескрипторами существует столько же, сколько они существуют. Это же фишка, не бага

То, что докер не умеет это отслеживать, - проблема докера.

Причину-то я знаю. Как починить? Прокидывать /dev/log, чтобы положение писало в сислог - костыльно

а если перезапустить докер демона, все будет ок? при условии что контейнеры live-restore?

а если перезапустить докер демона, все будет ок? при условии что контейнеры live-restore?

Хз. Контейнер если - ок

ну контейнер- понятно

наверное поможет, лог драйвер же демону настраивается

а не рантайму

Экспериментальные функции в продакшне включать? Не вариант

Да и всё равно костыльно. Докер должен сам следить за тем, куда он пишет. Самое интересное, эти упыри сделали как-то так, что далее по сети перестает идти. Словно они не переоткрывают соединение с сислог сервером. Хуйня какая-то, короче. Поэтому согласен с предыдущими ораторами, что докер писали хипстеры.

Надо бы бы ещё попробовать по UDP слать, но как-то не сложилось.

Докер и Windows 10. Как? Буттудокер?

у меня товарищь ставил, без прооблем почти )))

главное дать нужные права, винда блокировала что-то там

и еще раз на тему секурной сети. я добрался в документации до вот этого ;) https://docs.docker.com/engine/userguide/networking/overlay-security-model/ опция --opt encrypted это вроде бы оно? IPSEC тунели между всеми нодами swarm'а оно разве не секурно?

Причину-то я знаю. Как починить? Прокидывать /dev/log, чтобы положение писало в сислог - костыльно

Решение простое - надо прокидывать каталог с сислог-сокетом

Да и всё равно костыльно. Докер должен сам следить за тем, куда он пишет. Самое интересное, эти упыри сделали как-то так, что далее по сети перестает идти. Словно они не переоткрывают соединение с сислог сервером. Хуйня какая-то, короче. Поэтому согласен с предыдущими ораторами, что докер писали хипстеры.

Докер писали сраные хипстеры и дальше своего макбука они не видят. И сеть они не умеют.

и еще раз на тему секурной сети. я добрался в документации до вот этого ;) https://docs.docker.com/engine/userguide/networking/overlay-security-model/ опция --opt encrypted это вроде бы оно? IPSEC тунели между всеми нодами swarm'а оно разве не секурно?

Надо смотреть что именно там за ipsec

а вот еще такой момент непонятный, допустим у меня есть контейнер с консулом и контейнер с моим процессом, как мой процесс должен сообщить консулу "вот он я новый сервис"??? и как консул сообщает остальным сервисам "эй братцы, тут новый чувак есть", ну то есть consul-template он переписывает конфиг так? а как теперь этот конфиг подключить к другому контейнеру? или надо во все контейнеры экземпляр консула совать?

а вот еще такой момент непонятный, допустим у меня есть контейнер с консулом и контейнер с моим процессом, как мой процесс должен сообщить консулу "вот он я новый сервис"??? и как консул сообщает остальным сервисам "эй братцы, тут новый чувак есть", ну то есть consul-template он переписывает конфиг так? а как теперь этот конфиг подключить к другому контейнеру? или надо во все контейнеры экземпляр консула совать?

консул никому ничего не сообщает, либо твое приложение ходит в апи/днс консула, либо рядом стоит консул темплейт в контейнере и, например, в энтрипойнт ты его вызываешь до запуска приложения

контейнер так же регистрировать или в энтрипойнт, или поставить контейнер с регистратором

Да и всё равно костыльно. Докер должен сам следить за тем, куда он пишет. Самое интересное, эти упыри сделали как-то так, что далее по сети перестает идти. Словно они не переоткрывают соединение с сислог сервером. Хуйня какая-то, короче. Поэтому согласен с предыдущими ораторами, что докер писали хипстеры.

ну, конечно было бы неплохо, но раз это не так) udp вариант, да. может тогда и логи сразу в отдельное хранилище типа graylog/logstash

Решение простое - надо прокидывать каталог с сислог-сокетом

Уже так и делаем. Но это же ад

Уже так и делаем. Но это же ад

Чтоб приложение в сислог писало или докер-демон stdout?

Чтоб приложение в сислог писало или докер-демон stdout?

Приложение в сислог пишет

Не стоит прокидывать с хоста тогда

Чойто

Ну мы такое решение приняли, потом отказались. Я пару раз про это рассказывал ранее.

А так - дело ваше

Ну мы такое решение приняли, потом отказались. Я пару раз про это рассказывал ранее.

Альтернативы?

Задача - писать в сислог.

ERROR: S client not available

В контейнере поднять простенький сислог с форварод на хост систему например

С форвардом

Не стоит прокидывать с хоста тогда

Почему?

В контейнере поднять простенький сислог с форварод на хост систему например

Тоже выглядит велосипедно.

Да, но работает. В отличии от...

Да, но работает. В отличии от...

Так прокидывать /dev/log тоже работает :)

Почему?

Если вам не сложно - гляньте запись доклада с хайлода. Я там говорил почему.

Симлинк

Если вам не сложно - гляньте запись доклада с хайлода. Я там говорил почему.

Ссылко?

Момент

https://github.com/systemd/systemd/commit/03ee5c38cb0da193dd08733fb4c0c2809cee6a99

Я вот взял этот коммит и просто перенес не в /run/systemd/journal

https://tech.badoo.com/ru/author/Anton_Turetskii/

А в отдельный каталог

С хл 2015 по идее.

Который прокидываю в контейнер

Я вот взял этот коммит и просто перенес не в /run/systemd/journal

Вполне себе. Почему нет...

Я "прокидываний" вообще стараюсь избегать, если можно. Про обоснования не нужно спрашивать ;)

С хл 2015 по идее.

Я читал на хабре текстовый вариант. Про все озвученные грабли знаю

И на момент доклада знали?

Я от текстового варианта только комменты читал ;)

Ну вот мы решили закостылить симлинком

То есть, не весь /dev прокидывать, конечно.

Пойду почитаю/послушаю чо умные дядьки говорят

И на момент доклада знали?

Да. Это ж известное поведение bind mount

То есть, не весь /dev прокидывать, конечно.

Я выше писал.

Да. Это ж известное поведение bind mount

Я много на что из известного почти каждый день наступаю

"А вдруг" оно такое ;)

Я выше писал.

Я выше читал)

Я много на что из известного почти каждый день наступаю

Жизнь - боль.