Вот что я навоял acl "trusted" { 192.168.255.0/24; # VPN Network 127.0.0.1; }; ######################## ## options ######################## options { directory "/var/bind"; version "private"; listen-on port 53 { trusted; }; listen-on-v6 { none; }; allow-transfer { none; }; pid-file "/var/run/named/named.pid"; allow-recursion { none; }; recursion no; };

а, и еще одно условие, коннектиться к серверу можно только подсети 192.168.255.0/24 - то есть тем, кто подключен по VPN или этот же локальный комп

чувак а тебе точно бинд нужен?

я хз, честно. Ну а почему нет?

У меня приватная VPN сеть, при подключении к которой получаешь все балага - после отключения - ничего.

настрою DNS сервер, и при коннекте клиента к ВПН буду добавлять ему в роуты адрес сервера... и все)

так у клиента будут его стандатные ДНСы которые и были ранее и плюс мой. После дисконнекта - возвращается старое состояние. Все вроде сходиться.

не, клиент так вряд ли работать будет

Чуваки, давайте с этим куданить подальше от докера, ок?

так у меня впн сервер и бинд в контейнерах

@NordLuf справедливо

лол

настрою DNS сервер, и при коннекте клиента к ВПН буду добавлять ему в роуты адрес сервера... и все)

кажется что тебе надо просто роутинг пушить с сервера при подключении VPN

или тебе по хостнеймам ходить хочется?

или тебе по хостнеймам ходить хочется?

овпн это умеет

Чуваки, давайте с этим куданить подальше от докера, ок?

справедливо

кажется что тебе надо просто роутинг пушить с сервера при подключении VPN

Пока просто задача закрыть DNS от внешнего мира, чтобы ничего не принимал и не отдавал, слушал только сеть VPN )

Пока просто задача закрыть DNS от внешнего мира, чтобы ничего не принимал и не отдавал, слушал только сеть VPN )

это всяко не про доккер

Угу. Вот php запускать — про докер. А вычурные сетевые конструкции — в сильно меньшей степени. Можно, но зачем?

Угу. Вот php запускать — про докер. А вычурные сетевые конструкции — в сильно меньшей степени. Можно, но зачем?

переносимость, обслуживание, обновление :) Докер для чего хочешь можно юзать. Да и в докере за тебя уже все настроили и сделали. Пара команд и база готова, дальше пили.

ссори что отвлек, прост думал у кого-то есть)

переносимость, обслуживание, обновление :) Докер для чего хочешь можно юзать. Да и в докере за тебя уже все настроили и сделали. Пара команд и база готова, дальше пили.

вы случаем не в гитлабе работаете?

Когда --net==host - это не про докер. Когда сеть докеровская - вариантов не так много остается

там видимо один тоже так думал...

Когда --net==host - это не про докер. Когда сеть докеровская - вариантов не так много остается

у него доккеровский бридж. он пару дней назад рисовал картинки.

Я не пор него, я в общем. К тому что тут нечего обсуждать применительно к докеру

Я не пор него, я в общем. К тому что тут нечего обсуждать применительно к докеру

а ну так то да.

А может просто синдром вахтера :(

Когда --net==host - это не про докер. Когда сеть докеровская - вариантов не так много остается

Ну почему же. Даже —net=none про докер, чтоб использовать контейнер только как чрут с одним приложением. Иногда удобно даже pipework-ом накрутить интерфейсов в нэймспэйсы, чтоб с докеровой сетевой частью не бодаться при вычурной топологии.

Кто-то может кинуть чатик админов куда можно вопросы позадавать?

Кто-то может кинуть чатик админов куда можно вопросы позадавать?

@ru_sysadmin

@voskobovich но вообще в инфе канала вроде есть ссылка на список групп: github.com/goq/telegram-list

@voskobovich но вообще в инфе канала вроде есть ссылка на список групп: github.com/goq/telegram-list

Гитхаб восстанавливается жы ?

Гитхаб восстанавливается жы ?

так восстановился вроде уже, еще несколько часов назад ?

так восстановился вроде уже, еще несколько часов назад ?

Ну ок. Я только щас новости читаю...

Я думал это прикол, но по TV1000 действительно целые сутки будут показывать день сурка

Гитхаб восстанавливается жы ?

Вы путаете гитлаб и гитхаб

А как вы решаете проблему прав с доступами девелоперов на дев хостах ?

типа хочется ему там позапускать контейнеры самому разные собранные им

как вы там выдаёте права им ?

Никак. Нехай локально пускает

я так понимаю если его посадить в группу docker то по факту это дать рута

Никак. Нехай локально пускает

+

прикрути мордочку

и дай им права к мордочке

portainer например

есть ли проблема давать рута на дев-хостах? они же дев, убил-создал

проблема в том что на одном хосте крутится ещё другого вагон всего

и "убил" может потратить в пустую время тестиеров \ девелоперов других

на такие хосты только дженкинса пускать можно)

Всем привет, у меня есть некая проблема, не знаю как ее реализовать. --- Есть image application где используется FROM (tianon/true), где я храню только файлы проекта (php), эти файлы php проекта подключаются к другим контейнерам, при помощи (volumes_from). Но есть проблема с permissions, надо использовать chmod. Но к сожалению этот image (tianon/true), не позволяет это сделать, он преднозначен только для хранения файлов. tianon/true - контейнер только для хранения файлов. https://hub.docker.com/r/tianon/true/ ==== Нужно именно отдельный image где будет храниться проект. Кто как решил данную проблему с permissons?

А почему все хотят запихнуть данные в контейнер?

phpшники-с

А потом удивляются что что-то пошло не так

потому что это мы пхп senioar developers

скажите как правильно

?

как я уже сказал - правильно когда контейнер не имеет зависимостей, а берёт, запускается и работает.

скажите как правильно

я код отдельно ержу, и он подтягивается через volume.

т.е. в папке с проектом - папки с настройками докер композера, отдельна папкеа с кодом проекта, отдельна папка с базой.

Когда проект нужен - запускается докер композер и в шторме весь проект сразу доступен.

Единственно что рекомендую тестовую обмотку в отдельном контейнере держать.

Всем привет, у меня есть некая проблема, не знаю как ее реализовать. --- Есть image application где используется FROM (tianon/true), где я храню только файлы проекта (php), эти файлы php проекта подключаются к другим контейнерам, при помощи (volumes_from). Но есть проблема с permissions, надо использовать chmod. Но к сожалению этот image (tianon/true), не позволяет это сделать, он преднозначен только для хранения файлов. tianon/true - контейнер только для хранения файлов. https://hub.docker.com/r/tianon/true/ ==== Нужно именно отдельный image где будет храниться проект. Кто как решил данную проблему с permissons?

я когда начинал так же как ты думал. Неделю промучался и понял что ошибся, мне тут вправили мозг.

ERROR: S client not available

Рассказываю рецепт

все зависит от окружения: продакшен или дев.

не должно же зависить от окружения как бе, не?

должнл\о

сейчас расскажу почему

combot.org/chat/-1001043771136

Для продакшена Код пакуется в сами контейнеры и никаких волюмов . Контейнер долежн быть полностью самостоятельным и не иметь зависимостей. Это упрощает обслуживание, поднятие нескольких контейнерв, отказоустойчивость и куча всего еще. То есть, береш проект и выделяешь их него файлы которые надо нгинксу (входные файлы и статика), а все пхп файлы в контейнер пхп-фпм. В итоге получается два независимых контейнера готовых к продакшену. Ясное дело юзерконтент и все важные файлы маппятся на хост и под бекап.

Для девеломпента все совсем иначе. Варич для прода сделан с упором на работу и обслуживание проекта, но он совсем не удобен для разработки. Поэтому код лежит на хосте и прокидывается в оба контейнера нгинкс и фпма. ну и из этого все вытекающие последствия - нужно в пхп контейнере создавать юзена, с UID & GID юзера на хосте из подк оторого сидит разраб, чтобы файлы создаваемые внутри кнтейнера (аля композер и прочее) сразу попадали на хост в папку проекта и не имели конфликтов с правами на хосте... и все в этом духе.

Всем привет, у меня есть некая проблема, не знаю как ее реализовать. --- Есть image application где используется FROM (tianon/true), где я храню только файлы проекта (php), эти файлы php проекта подключаются к другим контейнерам, при помощи (volumes_from). Но есть проблема с permissions, надо использовать chmod. Но к сожалению этот image (tianon/true), не позволяет это сделать, он преднозначен только для хранения файлов. tianon/true - контейнер только для хранения файлов. https://hub.docker.com/r/tianon/true/ ==== Нужно именно отдельный image где будет храниться проект. Кто как решил данную проблему с permissons?

Попытки соединить в один механизм две логики создадут столько костылей, что лучше не начинать. за подробностями конкретными обращайся

Но, я сразу скажу, что я сильно заморочился чтобы сделать как по феншую докера продакшен среду. Я так же знаю кучу проектов, который как и ты на продакшене маппят папку с хоста и не морочатся и все работает.

Код пакуется в сами контейнеры - т.е. у тебя локально билдер какой-то настроен с правилами сборки?

Код пакуется в сами контейнеры - т.е. у тебя локально билдер какой-то настроен с правилами сборки?

скриптик на баше

он запускается либо руками , либо в моем случае с CI

у мня файлами гоняется

беру проект, копирую из него нужный директории для каждого контейнера, а потом по очередно собираю каждый контейнер.

и один из аргументов, чтобы максимально дев соответствовал по структуре проду и наоборот.

С другой стороны - бд через волюм подключается.

Бд в отдельном контейнере должна жить

Следуя феншую - данные должны тоже в контейнере жить?

а файлы БД должны на хосте лежать

движок - да, а данные?

данные нет

вот, тут все так.

да, у тебя есть данные которые пользователем грузятся? файлы там какие?

/ — project root docker / build / — кишки проекта без .git и прочего дев хлама containers / php / build / — это файлы проекта для контейнера php nginx / build / — это файлы проекта для контейнера nginx

да, у тебя есть данные которые пользователем грузятся? файлы там какие?

конечно, это все тоже маппится на хост и под бекап

а зачем у тебя отдельно директория build

в которой кишки проекта без .git и прочего хлама

в общем я подумаю про код в контейнер. Но пока менять не буду свою схему.

а зачем у тебя отдельно директория build

мне так было проще отделить кишки от дев хлама. Я создаю tar архив только с тем, что нужно в контейнерах и тут же его распаковываю в ту папку build