в контейнере по uid не создать?

ну тогда энтрипойнт на скрипт заменить придётся, не очень радует. хочет как тоэто через docker run сделать

https://github.com/docker/docker/issues/22633 где то в этой окресности вроде искать

ну тогда энтрипойнт на скрипт заменить придётся, не очень радует. хочет как тоэто через docker run сделать

почему?

А для чего пользователей создаете, если не секрет? Нужен доступ к контейнерам, или что-то другое?

там в 1.10 научили мапить рута контейнера на не рута системного

я хочу этого. но никак не найду

docker run —user ?

это пользователь в контейнере

и у тебя очень кривенько смаппятся айдишни пользователей в контейнере и в системе

https://docs.oracle.com/cd/E37670_01/E75728/html/ol-docker-userns-remap.html

непонятно как то сзвяать максимально просто

можно не парится, примаунтить /etc/passwd внутрь и всё

во как http://blog.infinit.sh/infinit-joins-docker/?utm_source=email&utm_medium=newsletter&utm_campaign=docker

не только я оказывается пристально на них смотрел

можно не парится, примаунтить /etc/passwd внутрь и всё

поправочка, нельзя.

Docker купил infinit: https://blog.docker.com/2016/12/docker-acquires-infinit/

а что это?

a new data layer for distributed applications

distributed storage

moar data layers!

чё то оно концептуально конечно любопытно, но поди как всё такое падко и прочее, кто то вживую юзал?

у них еще препродакшн

There is a long road ahead as Infinit is still in its infancy. Our plan for the coming months is to improve stability, resilience and scalability so that we can quickly release a production-ready version 1.0 of the software.

Докер. Теперь ломаем инфраструктуру вместе с данными.

Представляю даже тикеты: «За три часа до полнолуния по UTC нахуй разваливается весь сторадж пул: ungegistred_storage_pool» (открыто 4 года назад, 48395 комментариев)

Docker has the potential to reshape infrastructure software at large. This is why, even though Infinit was about to close a significant round of financing, the team has preferred to join Docker in order to have a bigger and more direct impact.

ахахаха :)

окей

Представляю даже тикеты: «За три часа до полнолуния по UTC нахуй разваливается весь сторадж пул: ungegistred_storage_pool» (открыто 4 года назад, 48395 комментариев)

чё? реальне?

Я не устаю показывать вот этот тикет: https://github.com/docker/docker/issues/5618

tankywoo opened this issue on May 6, 2014 · 248 comments

Приветы. Вопрос. Приложение в контейнере генерит кучку фаликов, и иногда их обновляет когда в него стучаться. Файлики оно складывает на диру которая примаунчена на хост (считай том) Хочется с хоста под ограниченным пользователем мочь читать эти файлики. Проблема с тем что очень не хочется раннить контейнер под рутом а потом делать gosu. Хочется запускать его под этим ограниченным пользователем который создаётся ещё на этапе билда. В своб очередь в хостовой системе пользователи эти уже есть \ были исторически. Это я к тому что менять их айдишники не оч просто. может быть.

--userns в 1.10 к сожалению запрещает использовать --network=host что тоже слегка проблематично.

*--userns-remap

Айв гат э праблэм.

Как docker-compose запускает контейнеры? Если попытаться сделать docker-compose из двух мест, то он пишет Recreating containers но при этом не запускает те что были уже запущены в системе

Как docker-compose запускает контейнеры? Если попытаться сделать docker-compose из двух мест, то он пишет Recreating containers но при этом не запускает те что были уже запущены в системе

так он в разных местах их считает разными, это его такая фича, ты на их имена то посмотри там оно составное, проект-контейнер-номер

@elforastero у него составной ключ для понимания с какими именно контейнерами он работает. И в качестве префикса используется директория, в которой лежит твой compose файл.

Коллеги, в феврале-марте будем в Москве проводить DevOpsDays - https://www.devopsdays.org/events/2017-moscow/welcome/ Я беру на себя смелость разместить аннонс в этом чате, так как конференция некоммерческая и по правилам конференции зарабатывать на ней нельзя, так что это не реклама. Во-первых, там уже открыта предварительная регистрация, билеты будут стоить 3-5к рублей, но по предварительной регистрации для вас будет скидка. Во-вторых, нам нужны докладчики и мы ждем заявки на доклады по ссылке — https://www.devopsdays.org/events/2017-moscow/propose/ там внизу гугл-форма для докладов. В-третьих, я приглашаю активных участников этого чата принять участие в отборе докладов, для этого добавляйтесь в телеграмм-группу https://telegram.me/joinchat/B1EIREEbj29uKKeo5a_0VA Пишите вопросы, я на них отвечу.

очень хочется сделать реално полезное мероприятие для сообщества

Круто !

подскажите, на маке докер крутится. Собрал lemp. По какой-то причинет не могу сменить права на директориях. Всегда staff стоит. Пробовал гуглить, пробовал chown. Что еще может быть?

все, нашел. Не там искал

так он в разных местах их считает разными, это его такая фича, ты на их имена то посмотри там оно составное, проект-контейнер-номер

Да, дело было в одинаковых именах сервисов в compose.yml.

Смотрите, в старом --link переменные окружения из линкованного контейнера приезжали. а в user defined network эта фишка потеряна навсегда?

Причем даже прямой --link не помогает

https://blog.docker.com/2016/12/docker-acquires-infinit/

больше стораджей

Это было уже

где?

Да здесь и было )

уже 2 раза

Инфинит вообще интересные ребята

тоесть теперь надо будет говорить не только "добавь нод", но и добавь винтов

и подними rf до 3

rf3 не модно

rf2 и erasure на одну копию.

чё появились живые пользователи вот этого?

ну я его пробовал, но не в продакшн же его тащить

слушайте, а можно как то в докере при посылке лога в syslog driver сделать так чтобы в tag он не добавлял PID docker daemon процесса ?

logging: driver: syslog options: tag: blablabla Я вот так делаю, вроде получается весьма осмысленно и стандартно парсимо, есть проблема только с сервисами, которые внутри контейнера, думают что умные и пишут сразу в формате syslog сами, им лучше так и позволить самим писать в файлик, иначе это всё делается вложенной записью и эту матрёшку заманаешся парсить

он PID докердемона добавляет к тегу

это вот скорее всего то что я написал, насчёт сервисов, которые сами хотят в файл писать в формате сислога, а логирутеся что то самописное или сервис какой?

аутпут контейнера

Но в него же откуда то это берётся, включил бы дебаг по максимуму в логере и посморел/показал бы что и куда точно попадает, одно дело когда тег не верен, а другое, что это может быть и не тег вовсе (с точки зрения внешнего логера)

Какого внешнего логера ?

ERROR: S client not available

В параметре тег лог драйвера сислог я указываю одну строчку, в сислог поле тег приходит другое, к нему добавлен пид. В доке это тоже нарисовано но не показано как убрать и можно ли вобще

Какого внешнего логера ?

ну на хосте с докером у тебя что rsyslog? тогда в нём, я ж говорю, до хоста у тебя похоже уже доезжает вовсе не то что ты там ожидаеш

ну на хосте с докером у тебя что rsyslog? тогда в нём, я ж говорю, до хоста у тебя похоже уже доезжает вовсе не то что ты там ожидаеш

конечно, и это делает докер.

фик там, докер пишет там в меру своей испорченности, а приложение в нём, в меру своей, на выходе получается кака (ну так было когда я бытался бороть тот же нгинкс) легче короче такому разрешить писать самому куда ему хочется, а потом это парсить если надо

в общем без дебага, это пустое переливание из пустого в порожнее

я не понимаю с чем вы спорите

можете открыть доку или сами попытаться сделать это

и увидите подтверждение поих слов.

*моих

блиииин, ну первая же ссылка в гугле http://stackoverflow.com/questions/37012289/image-name-container-name-in-docker-syslog-tag-in-docker-compose ну не нравится значение этого поля, почему не фильтровать по APP-NAME или по programname возможностей то море, ну или вон его потюнить, если так уже надо

я вот не пойму. вы троллите или что

tag: "{{.ImageName}}/{{.Name}}/{{.ID}}" docker/redis/npmoserver_redis_1/d14fd2ad2666[44739] 44739 - PID докер демона. app-name можно, но нам не удобно.

не тюнится он.

я вот не пойму. вы троллите или что

Я пытаюсь понять, зачем маниакально цеплятся именно за это поле, ну вот похоже концептуальный ответ https://github.com/docker/docker/issues/12377

Потому что тег задается на старте контейнера и не меняется приложением, он определят некую группц или глобальный идентификатор сервиса. Его удобно использовать для того что бы к для диры, где будут хранится логи этого аппа, а аппнейм может меняться и его удобно менять изнутри аппа, к примеру если вам вдруг приспичило разделить лрги

не тюнится он.

теоретически он там вроде тюнится через гошные темплейты, ну или патчить

Я вам уже 5 раз сказал в любом случае к нему в конце добавляется пид

ну так фильтровать его не по полному совпадению, а маской name/ вроде бы

Я вам уже 5 раз сказал в любом случае к нему в конце добавляется пид

"For advanced usage, the generated tag’s use go templates and the container’s logging context."

Кого фильтровать ?

tag

при обработке в логоре

Вы имеете ввиду обрезать его на стороне сислога ?

ну да, ну там же вон в гитхабе обсуждение, почему они считают что так правильно, ну нравится оно им так, иначе писать свой драйвер или использовать иные способы вывода

я например фильтрую по програмнейм кажется и не парюсь

Дело не в фильтрации

ничё не понимаю, все эти поля и значения, как по мне только для фильтрации и нужны, ну не нравится одно, для искользования как ключа, почему не взять другое, тем более что там лежит то что надо. Не понимаю, что может уже есть система и её не хочется, нельзя переделать, но тогда да видимо не судьба, надо переделывать докер, так как текущее поведение это похоже их принципеальный взгляд на проблему

Дело в том что если у меня апп запущен на десятке нод я хочу прописать сислог сервер и тег. По тегу хочу на сислог сервере чтобы дира создалась а в нее улеглись файлы с неймингом host-prgname-date.log а в результате получаю 10 директорий потому что в имени тега а как следствие и диры пид докер демона с каждого хоста

Почему не другое я уже вроде сказал

Да проблемы нет уже пришлось сделать реплейс тега на стороне рсислога. А тот умеет только посикс ере, и там регулярка дурацкая теперь. А всё почему ? потому что ребята захардкодили аппенд пида

Debug line with all properties: FROMHOST: 'host', fromhost-ip: '127.0.0.1', HOSTNAME: 'host', PRI: 27, syslogtag 'process[1158]:', programname: 'process', APP-NAME: 'process', PROCID: '1158', MSGID: '-', Вот скажите, что поменяется если вы раскладывать по host-prgname-date.log начнёте взяв за ключ не syslogtag а programname или APP-NAME ?

Его значение может быть изменено поставщиком приложения