dockerignore вроде завезли

докеригнор должен быть для каждого контейнера свой)

для нгинкса надо закрыть почти все

оно работает так же как гитигнор же

пишешь общий

для каждого добавляешь нужное

оно работает так же как гитигнор же

да, я понимаю. Но оно работает только если ты вов се контейнеры один и тот же код пихаешь. Я так идти не захотел.

А так бы я настроил один гитигнор и в оба контейнера паковалось бы только не запрещенное.

зачем вообще в контейнеры код пихать я никак понять не могу

да, понять это очень сложно пока не столкнешься на практике)

причин больше чем ты думаешь

окей

отказоучтойчивость и обслуживание наверное смые основные

чет не так полшло с общей папкой - лег весь сайт, так что общая папка на все процессы

надо тебе заменить код... опять же общее место его хранения - узкое место в проекте

со схемой "общая папка" на двух серверах уже не получится запустить сервер

то есть при масштабировании придется опять чет мудрить.

Если два контейнера пишут в одну общую папку - как разруливать доступ к файлам?

пробрасывание папки в контейнер -оверхед на доступ к файлам, так как это все ресурсы)

мде. Деплой в параллельном мире. Сорян, нет времени в конкретику, но все норм и с несколькими серверами, и отказоустойчивостью, и обслуживанием (если не в ручную, конечно)

мде. Деплой в параллельном мире. Сорян, нет времени в конкретику, но все норм и с несколькими серверами, и отказоустойчивостью, и обслуживанием (если не в ручную, конечно)

я верю) все можно сделать и по своей схеме. Я решил положиться на бест практикс.

и я уверен, если у тебя маленький проект - разницы заметно не будет)

я сразу делал с закладкой на будущее, чтобы потом не переделвать :)

Ребят, кто в докерсети шарит? Подскажите куда копать. Я развернуть OpenVPN сервер в контейнере. Соответственно tun0 находишься в контейнере, а надо чтобы он как-то оказался на хосте.

--net=host

о, почитаю про этот параметр. Спасибо!

Оверхеда на вольюмы нет, не выдумывайте

Оверхеда на вольюмы нет, не выдумывайте

маунт волюма и работа через манут с файлами внутри контейнера совсем бесплатная операция?

Ну как бы да, просто шарим маунт нс и всё

Ну как бы да, просто шарим маунт нс и всё

буду знаь, спасибо!

Мне кажется это всё от привычки думать что докер "это типа виртуалки"

маунт волюма и работа через манут с файлами внутри контейнера совсем бесплатная операция?

это mount —bind фактически.

Мне кажется это всё от привычки думать что докер "это типа виртуалки"

и с этим так сложно бороться.. Народ прочитает пол статьи на хабре и начинает думать что в докере другую ОС запускают..

Нуууу

Ос то другая ! А ядро тоже )))

А разве нет?

ну ос вообще то это то что работает с железом

а не набор бинарников формирующих тебе другой баш

Ключевое слово 'дистрибьютящих' другой баш)

Ненене! Вон же - даже докер под виндоус есть, значит в нем можно и винду запустить. Вы просто дно и ничего не знаете.

ну ну)

дно и раки

или раки на дне

ещё

опять много мнений и версий, и непонятно как делать все токи правильно

?

самое правильное не делать никак. только так нне испортишь свою карму.

если не делать, ничего и не будет

Не было помоему разных мнений

Народ, а как сделать ребилд в docker-compose?

у меня в Dockerfile установка зависимостей, и чет я docker-compose down роняю контейнеры, потом поднимаю...

И по-моему не ребилдится нифига

И по-моему не ребилдится нифига

--force-recreate

это не помогло) А помогло напрямую docker-compose build

install -my это что?

y - это принудительный утвердительный ответ на вопрос: вы уверены?

А m - muted

Или любое другое слово на m

-m Attempt to continue if archives are unlocatable

окей.

ERROR: S client not available

а где у тебя там убунта когда это дебиан

в смысле у меня эти же репы прописаны

на убунте .deb пакеты можно устанавливать

из дебиановских реп?

я смотрю вы любитель

хорошего время препровождения

да уж, вкусы некоторых, мало объяснимы :)

хотя да, туплю

все же докер свой файл подтягивает с репами

https://apt.dockerproject.org/repo/

отсюда

и я хз если честно, почему он берет дебиан, когда в docker.list прописано deb https://apt.dockerproject.org/repo ubuntu-xenial main

А есть какие то варианты, запретить запускать контейнеры под рутом ?

типа чтобы обязателоно было --user

А есть какие то варианты, запретить запускать контейнеры под рутом ?

А это имеет значение?

Докер все равно suidный

просто все эти идеи "дай вебморду, пусть он запускает аппы через нее" лишены смысла если можно запустить контейнер под рутом и примаунтить туда чо хочешь

а тут хоть если и примаунтишь то права будут в соотвествии с пользователем контейнера

нэ ?

вопрос ведь не в защите по секурити

вопрос в том что бы не допустить ошибку

Поднимай на каждого инстанс вмвари, внутри - докер

если вопрос в безопасности то да... photonos

вопрос скорее в том чтобы не "сделали по своему и вроде работает"

они всё равно сделают

+1

+1

так себе идея решать административные проблемы через технические средства

конечно так себе

ибо на выходе будет ERP

но и пытаться "административно" ограничить рута всем подряд тоже так себе в рамках отсуствия технических средств на это