Но я думаю, что можно собрать что нибудь другое

братцы, а человеческого способа рулить iptables на хосте, на котором крутится докер, не появилось? до сих пор после изменения /etc/sysconfig/iptables надо рестартовать и iptables и докер?

запретить докеру прикасаться к iptables ^)

ну это сурово очень

Эм, есть 2 сервера,первый сервер frontend второй nginx, доступ с 1 на 2 как организовать iptables? На сервере первом всё закрыто кроме 443 и 80

братцы, а человеческого способа рулить iptables на хосте, на котором крутится докер, не появилось? до сих пор после изменения /etc/sysconfig/iptables надо рестартовать и iptables и докер?

а чо то там firewalld не оно ?

а чо то там firewalld не оно ?

Хз. А есть принципиальная разница?

ну оно же как бы посредник

Что в iptabkes-service что в firewalld конфиги

ну оно же как бы посредник

Ну да. Но как грамотно рулить конфигом, непонятно. Вот допустим хочу я на хосте с докером сделать --dport 10050 -j ACCEPT

Как это правильно сделать?

аа. опять докеропроблемы.

докеру чихать на твое желание рулить фаерволом на хосте.

он не хочет что бы ты это делал.

:D

рули на гейтвее

Вот да

не могу сказать прав тут докер или нет.

сетевик во мне все еще слишком не умер. поэтому фаерволить на асе мне ближе чем на айпитаблесе

А если у меня дедикейтед сервер, на котором докер хочу поднять?

золотой ты человек)

А если у меня дедикейтед сервер, на котором докер хочу поднять?

эй. докер он для ci. :)

золотой ты человек)

А что не так?

чуть что в кусты

А что не так?

всё так, ненавижу всё решать в iptables

эй. докер он для ci. :)

А как объяснить разработчикам что им не нужна хуйнянейм версии Х.Х.Х+1 которую только из сорцов или в докере поднимать?

никак :(

поэтому когда ты пытаешься управлять докером для фаера ты делаешь больку.

но у тя нет вариантов

ибо стендалон хост

но решение задачи требует выйти за рамки :)

Вернемся тогда к первому вопросу ) как рулить фаерволом?

может быть можно посмотреть в сторону альтертативных реализаций сети

не завсзанных на iptables

Всем привет. вопрос на засыпку. можно ли "распаковать" контейнер на физическую ОС? прстити, если уже задавал этот вопрос тут.

не завсзанных на iptables

Например? OpenVswitch?

Например? OpenVswitch?

macvlan ?

Всем привет. вопрос на засыпку. можно ли "распаковать" контейнер на физическую ОС? прстити, если уже задавал этот вопрос тут.

да. export

да. export

а при этом, заработает всё что в контейнере было?

нет

при этом будет tar файл

а что с ним делать тебе предстоит решить

macvlan ?

Штоэта?

Штоэта?

сеть. :)

а что с ним делать тебе предстоит решить

ясн. спасиб.

сеть. :)

Ща посмотрю

не могу сказать прав тут докер или нет.

тут он мудак

тут он мудак

цена за быстрый старт

Вернемся тогда к первому вопросу ) как рулить фаерволом?

добавлять правила в середину вместо "а не ебануть ли нам напалмом по парижу по нашему и не построить ли его заново"

добавлять правила в середину вместо "а не ебануть ли нам напалмом по парижу по нашему и не построить ли его заново"

в середину?

-i N или как там около того

там были какието интеллектуальные менеджеры фаервола.

гавно на момент год назад. я с тех пор в эту сторону не смотрю.

-i N или как там около того

и как это поможет, что в /etc/sysconfig/iptables одни правила, а в iptables-save другие (из-за докера)?

альтернатива, как написал выше, запретить докеру вольности, ну или как правильно говорят, внешний фаервол

решение агонь! Iptables-save > 1; vim 1; iptables-restore < 1;

рекомендую немедленно в продакшон

ой да ладно, я вот такого кадавра пробовал http://www.labouisse.com/hack/2016/06/23/docker-and-public-interface :)

но глупости всё это

можно еще через diff

так главная проблема, когда это всё делать, она рашаема, но в итоге ничем не лучше, чем таки отучить совсем туда докер лазить или внешнего

там же одно не ловкое движение, и оно либо совсем упало и всё закрылось, либо наоборот, ходи кто хош, твори что хош, а ты типа такой думаешь, ну всё же работает

эй. докер он для ci. :)

нет

ERROR: S client not available

нет

да да. докер он для хостинга :)

да да. докер он для хостинга :)

он для пакетизации. а там уже детали

ну если не хотите, чтобы докер писать в iptables, запускайте свое говно с net: host

проблема решена, но появится новая проблема

ну если не хотите, чтобы докер писать в iptables, запускайте свое говно с net: host

ну зачем же так уж себя не любить, слава богу это отламывается куда как более безболезненно

да в общем-то ничего плохого в net: host нет

правда, после того, как из докера удалили userland proxy, и надобности особой тоже нет в этом

да ладно, это же практически, как там —priveleged что ли, в общем тогда уж проще вообще забить на докер

никакой связи с --privileged

хоссди, сконфигурируйте бридж вручную и внесите нат-правила в /etc/sysconfig/iptables, выключите iptables у докера и дышите нормально.

хоссди, сконфигурируйте бридж вручную и внесите нат-правила в /etc/sysconfig/iptables, выключите iptables у докера и дышите нормально.

ради чего все эти движения?

это на это ответ.

братцы, а человеческого способа рулить iptables на хосте, на котором крутится докер, не появилось? до сих пор после изменения /etc/sysconfig/iptables надо рестартовать и iptables и докер?

докеру нужно всего лишь сказать —iptables=false и добавить одно правило iptables -t nat -A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE

и всё будет работать

>-s 172.17.0.0/16 ! мимо

докеру нужно всего лишь сказать —iptables=false и добавить одно правило iptables -t nat -A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE

ну не одно, но в общем терпимо

если пропишешь в параметры докера, то не мимо)

а вообще согласен, надо учитывать нюансы

ну я и говорю - сконфигурируйте бридж (:

кстати, господа, не появилось ли способа использовать ovs-бриджи, чтобы в них напрямую подтыкать контейнеры?

--fixed-cidr IPv4 subnet for fixed IPs

кстати, господа, не появилось ли способа использовать ovs-бриджи, чтобы в них напрямую подтыкать контейнеры?

чё это за зверь?

openvswitch

я так понимаю, должно заработать. Ну или сконфигурируйте бридж)

openvswitch

я не нашел вообще вменяемой информации, как это вместе заводится

вручную через ip netns можно. но это не то, что я хотел (:

http://containertutorials.com/network/ovs_docker.html оно?

вручную как раз: ovs-docker add-port ovs-br1 eth1 container2 —ipaddress=173.16.1.3/24

а вообще зачем, если они там вон с вланами и около того мутят или это привычнее

linux bridge медленный