В chkconfig стоит on для уровня 0

Amazon Linux, то есть по сути centos

В chkconfig стоит on для уровня 0

Попробуй 6 добавить

Добавлял, тоже не работает

Есть подозрение, что дело в S00killall

Сукиллолл

ребят а у меня вопрос по бестпрактисам сборки контейнеров. У вас есть автоматические сборки контейнеров по результатам создания тега ? Или всегда собираете из одной ветки только, к примеру мастера ?

ну по ci циклу прокатили - qа сказали ок

лепим тег, пушим куда хотим

Два тэга: номер версии и latest

Два тэга: номер версии и latest

ты гений, одной это фразой помог решить одну проблему

Два тэга: номер версии и latest

+1 У нас тоже два тэга: хэш коммита и latest

ты гений, одной это фразой помог решить одну проблему

хм.... а я это слизал с базовых имаджей

хм.... а я это слизал с базовых имаджей

А мне такое просто для гита нужно тоже, чтобы решить проблему тега для версии и протестированной версии

А мне такое просто для гита нужно тоже, чтобы решить проблему тега для версии и протестированной версии

да просто я человек достаточно сторонний вот этому вашему линуксу, девопсу, докеру... а фишку в стандартных сборках подглядел

И в доке вроде прямо в примерах вбито

Сообество, подскажи мне как правильно настроить права на папки и файлы внутри контейнеров? Есть 3 контейнера: app = data-volume контейнер с кодом приложения php = php-fpm nginx = nginx Контейнер app собирается из вот такого Dockerfile —- FROM busybox:musl COPY ./source /var/www/html WORKDIR /var/www/html VOLUME ["/var/www/html"] —- и конечно он через volumes-from маунтит раздел /var/www/html к nginx и php контейнерам. После запуска контейнеров файлы из раздела /var/www/html получают права root:root что, как мне кажется не есть правильным. Как это правильно решить в разрезе докера?

Сделать внутри юзера и работать из под него

Смотри в чем проблема. Когда собирается контейнер app, он ничего не знает про другие два контейнера да и вообще кто будет его маунтить он не знает. Я могу конечно в Dockerfile контейнера app написанть команды создания юзера, сменить владельца файлов и тд... но на кого менять? Вообще владельцем файлов должен быть юзер www-data (от него php-fpm работат). Но этот юзер на момент сборки есть в контейнера php, а не в app.

На момент сборки заведи этого юзера и расшарь его создание между имаджами

потом все из под него

а что значит расшарить между имаджами?

Ну использовать кеш сборки

И будет у тебя во всех контейнерах один юзер https://docs.docker.com/engine/reference/builder/#/user

эм... счас не понял, каким боком кеш сборки иемет отношение к команде USER из докерфайла. И я уже смотрел на команду USER. Но она меняет юзера только для RUN, CMD and ENTRYPOINT

а на COPY и ADD не влияет, я попробовал :)

А у тебя внутри запускается же команда внутри контейнера через одну из этих команд, не?

А...

не, сорцы проекта копируются в контейнер командами котоыре предлагает сам Dockerfile

Ну тогда костылем - либо перед сборкой менять овнера, либо внутри при сборке.ЛУчше снаружи

костыли не нужны, надо нормальнй вариант.

все же одна инфраструктура, должен быть выход

Если у тебя все работает больше чем на одной машине - нормального варианта я не знаю.

Ну тогда костылем - либо перед сборкой менять овнера, либо внутри при сборке.ЛУчше снаружи

низя внутри, образ распухать будет

Смотри в чем проблема. Когда собирается контейнер app, он ничего не знает про другие два контейнера да и вообще кто будет его маунтить он не знает. Я могу конечно в Dockerfile контейнера app написанть команды создания юзера, сменить владельца файлов и тд... но на кого менять? Вообще владельцем файлов должен быть юзер www-data (от него php-fpm работат). Но этот юзер на момент сборки есть в контейнера php, а не в app.

кстати, вот с этим www-data и прочими якобы стандартными поаккуратнее, а то например в алюпине он имеет один ID, а в дебиано подобных совсем иной ;)

низя внутри, образ распухать будет

Можно, но не нужно, да

кстати, вот с этим www-data и прочими якобы стандартными поаккуратнее, а то например в алюпине он имеет один ID, а в дебиано подобных совсем иной ;)

Поэтому надо по ID делать, а не по имени

ну да

из вариантов использовать магию тарболов

у меня alpine везде пока что, но все равно я бы не завязывался

Но, насколько мне известно, нет нормального варианта это все разрулить - нужно немного своих костылей

Но, насколько мне известно, нет нормального варианта это все разрулить - нужно немного своих костылей

что именно?

что именно?

выше я задачу писал...

Организовать совпадение id и gid между машинами сборки, стейджингом и продом так, чтобы это было не root:root

так

не должен быть овнером пользователь php-fpm

ему нужны только права на чтение

ну и запись во всякий кеш

но овнером быть не должен

ок, пусть так. А кто должен и где это рулить?

у меня вообще пробела от другого пошла. Я композером долежн пакеты установить, но владелец файлов рут, а от рута композер запускать опасно... соответственно владельцем файлов должен быть любой друго юзер но не рут

а скажите мне еще, что "значит распухать контейнер будет" ?

смена файлов - новый слой

понял

смена прав - в слоях будет две копии

даже аттибутов

да

там старый срач по поводу ADD и COPY но проблему не порешали до сих пор

у меня вообще задача - создать ряд контейнеров для продакшена, чтобы в них уже все настроено было, сделал их pull на продакшене и запустил и агонь!

может я не правильно это решаю?

может нет ничего страшного собирать конетйнеры на продакшене?

Задача правильная. Но собирать надо до прода

собирай при сборке

прогоняй на них тесты

вот

до прода

ERROR: S client not available

то есть на дев машине

с них и разворачивай на прод

в CI

ну, до CI мне еще далеко, хотя бы руками прочувствовать как это...

то есть на дев машине

нет

ну суть в том, что на дев машине или CI собирается контейнер, кладется в репо и с репы уже на проде разворчивется. так?

дев машина - это дев машина

ну суть в том, что на дев машине или CI собирается контейнер, кладется в репо и с репы уже на проде разворчивется. так?

да

+

на проде делаешь docker service update или docker pull && docker run

дев машина - это дев машина

ну собрать то и запушитьв репу я на ней ручками могу :)

ок, значит подход правильный

ну собрать то и запушитьв репу я на ней ручками могу :)

Можешь, но зачем?

Это не очень хорошо

потому что CI пока что нет и я до его изучения пока не дошел :( гитлаб себе разверну и буду колупать

и тестов нет на проекте пока что... и когда будут хз :)

и мне вообще много чего учить :) пока ручками на любой машине кроме прода собирать буду

вот осталось с правами придумать че делать и я буду спать спокойно :)

чтот мне подказывает что нет

вот ты где и как хранишь файло?

какие?

ну у тебя наверняка пхп файлы создает

ну, допустим... приложение то работает, логи есть, юзеры чет загружают. Ты про это?

Я про юзер контент, да. Логи у тебя встанут проблемой чуть позже

ну все важное будет смаунчено на хост машину

Все работает на одной машине?

в контейнерах ничего важного не будет

пока что на одной, а что?

Не, тогда все гораздо проше

Не, тогда все гораздо проше

Женя, ты доку ищешь или просто сказал что все проще и дальше сам? :))

А, не, просто там нафиг не надо тогда все что я тут распинался

Всё куда проще и без мучений