А как скейлить мультиконтейнерное приложение на несколько серверов?

ну и ранчер, который выше обсуждали, тоже для этого подходит

Ребят, вкратце можете подсказать как мне из контейнера слушать локальный порт на маке?

разобрался)

хорошая фамилия

Если вдруг кто-то пропустил http://seclists.org/fulldisclosure/2017/Jan/21

а кто где берет пакет для docker-compose для ubuntu?

pip install

или sudo curl -L "https://github.com/docker/compose/releases/download/1.9.0/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose sudo chmod +x /usr/local/bin/docker-compose

а чего ты ждал от хипстеров :)

или sudo curl -L "https://github.com/docker/compose/releases/download/1.9.0/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose sudo chmod +x /usr/local/bin/docker-compose

не понел, они его переписали на го штоле?

нет же

хм, и вправду питон, тогда однозначно pip

там к нему зависимостей по дефолту тянет просто ад сколько

так что вот этот вот вариант с курлом думаю нифига не рабоатет на истой системе

кажется это способ из офф мануала. и норм работает на чистой системе

работает, проверенно на centos 7 в минимальной установке и rhel 7

там к нему зависимостей по дефолту тянет просто ад сколько

он ещё и древний requests требует

паскуда

да. это бляцтово

в питоне ж можно какие то типа пространства создавать, с разными версиями зависимостей, если чо

заколебешься venv на каждый чих делать

согласен

тем более тулза то системная

можно PATH переписать

так наверное правильнее будет

но всё равно криво

один шаг до lxc а там и докер уже рядом))))

граждане, а что правильнее использовать: ENTRYPOINT или CMD?

граждане, а что правильнее использовать: ENTRYPOINT или CMD?

да.

граждане, а что правильнее использовать: ENTRYPOINT или CMD?

это разные вещи.

энтипойнт реврайтится только через аргумент командлайна. CMD это всё то что в ране после имени имиджа запускаемого

ENTRYPOINT - это грубо говоря "то, что всегда будет запускаться при старте контейнера". а CMD - то, что ты передаешь ENTRYPOINT'у для запуска контейнера. дефолтный ENTRYPOINT - это /bin/sh -c

например, посмотри на ENTRYPOINT в мариадб-образе: https://github.com/docker-library/mariadb/blob/b558f64b736650b94df9a90e68ff9e3bc03d4bdb/10.1/docker-entrypoint.sh

даже если ты сделаешь docker run -it mariadb:latest /bin/bash, все равно сначала выполнится ENTRYPOINT, а потом только твой баш.

даже если ты сделаешь docker run -it mariadb:latest /bin/bash, все равно сначала выполнится ENTRYPOINT, а потом только твой баш.

спасибо. вкурил.

я просто знаю что рома читает доку

спасибо. вкурил.

юзабельно, когда контейнер перед стартом надо подготовить, но в билдтайме это нельзя сделать :)

обычно перед задавание вопроса

Приветствую. У меня вопрос по безопастности. Правильно ли я понимаю что добавления пользователя в группу docker - прямой путь до root'а? Помогите понять есть ли безопасный способ запуска контейнеров от непривилигировоннаго пользователя.

это прямой путь до root'а в контейнере. но не в системе

Если замонтировать локальную папку, то можно из контейнера писать в нее с правами рута.

Фактически ничто не запрещает замонтировать /etc и там подправить что захочется. Вопрос как раз в том, как этого не допустить.

да проще же. не надо ничо маунтить etc

просто суидный бинарь же

Да, этот вариант попроще

Как с этим жить?)

uidmapping ?

userns-remap?

Данный флажок для dockerd позволяет замапить uid'ы. Но в docker run можно передать --userns=host. И все вернется.

Или ошибаюсь?

Как с этим жить?)

First of all, only trusted users should be allowed to control your Docker daemon. This is a direct consequence of some powerful Docker features.

https://docs.docker.com/engine/security/security/

собственно "...powerful Docker features. Specifically, Docker allows you to share a directory between the Docker host and a guest container; and it allows you to do so without limiting the access rights ..." — твой пример.

я думаю, можно упороться по политикам GRSEC если хочется разрешить запускать docker от недоверенного пользователя но вряд ли поможет, докеру требуется множество разнообразных привелегий

не в том смысле что по ссылке выше, а написать детализированные разрешения для группы

https://docs.docker.com/engine/security/apparmor/ ну или вот готовые профили

@Prefiguring спасибо за инфу про apparmor. Но после беглого просмотра, тут тоже надо параметры в docker run передавать. Настройки на каждый контейнер а не на весь dockerd. Соответственно таже проблема.

First of all, only trusted users should be allowed to control your Docker daemon. This is a direct consequence of some powerful Docker features.

Да, с этим похоже ничего не поделаешь

Да, с этим похоже ничего не поделаешь

Виртуализация требует в общем случае полных прав Root

Я много docker for mac пользовался. Он как раз меня в заблуждение ввел. Он же монтирует папочки из macOs в docker host. И там при записи в монтированную папку права текущего пользователя всегда выставляются.

docker for mac работает не напрямую ведь, а через виртуалку

ERROR: S client not available

Да, да.

docker for mac работает не напрямую ведь, а через виртуалку

разве это связано с uid-mapping ом

docker for mac работает не напрямую ведь, а через виртуалку

чуть ли не с октября месяца, правда в бете http://take.ms/KGE7N

разве это связано с uid-mapping ом

Это никак с мапингом не связано. Просто ежиденевная практика использования Docker на mac'е завела меня в заблуждение, что нормальное поведение это когда в монтированную папку контейнер пишет с правами запустившего пользователя. Прошляпил.

чуть ли не с октября месяца, правда в бете http://take.ms/KGE7N

Что имеешь в виду?

чуть ли не с октября месяца, правда в бете http://take.ms/KGE7N

И чего, он не в виртуалке работает?

типа если гипервизор на уровне оси, то вроде как бы и не виртуалка уже?

виртуалка виртуалка

sonatype nexus кто нибудь использовал для кэширования образов?

может какие-нибудь другие кэши кто использует?

может какие-нибудь другие кэши кто использует?

https://blog.docker.com/2015/10/registry-proxy-cache-docker-open-source/

https://docs.docker.com/registry/recipes/mirror/

если нужно локально на тачке поднимать то есть nginx и squid

если нужно еще кэшируюший npm, pip, repo то можно смотреть в сторону nexus, да и в сторону артифактори

артифактори стоит конских денег, если нужно и pip и npm

проще sinopia поставить для npm, если нужен кеширующий

ну или перейти на yarn

про деньги тут речи не было, вроде

артифактори стоит конских денег, если нужно и pip и npm

ну и https://www.jfrog.com/open-source/ они в опен сорс что то отдают. насколько оно фичарич понятия не имею но дефолтовые вещи делать умеет я думаю

ну и https://www.jfrog.com/open-source/ они в опен сорс что то отдают. насколько оно фичарич понятия не имею но дефолтовые вещи делать умеет я думаю

Оно не фичарич вообще. В оперсорс помойка и тупой веб интерфейс

да, тупо локальный мавен оказался. грустно.

ну хочешь вкусного — плати денежку

Такой опенсорс что создает отвратительное впечатление о конторе

Оно не фичарич вообще. В оперсорс помойка и тупой веб интерфейс

зато я на ней за пару движений поднял мавен репку импортировав локальный кеш мавена, прям порадовало

но кроме мавена толком ничо не умеет да

Такой опенсорс что создает отвратительное впечатление о конторе

зато выступает Барух знатно на конфах всяких

Я вот этот ваш мавен никогда не ел. А вот deb/rpm стандарт

для докера скорее - apk :)

вообще надо глянуть, раз артифактори опенсорс есть значит можно его допилить. Заюзать их механизм хранения и кеширования файлов - он довольно годный и прикрутить апи докера.

для докера скорее - apk :)

где связь?