ecs - это кластер из докера

спасибо

ecs - это кластер из докера

но вопрос был не про это

Я предлагаю использовать docker-machine и не ходить физически на удаленный сервер, и тем более не доставлять туда compose-файлы.

У меня сейчас все сервисы на docker-compose собраны, можно ли их без модификации заливать туда? Я в этих кластерах и машинах пока еще не разобрался, поэтому и вопросы задаю такие

ну как не про это?

человек выбирает из ecs или решения гугла

ну как не про это?

ну вот так это. человеку раналка доккеров нужна а не кластер

ок

У меня сейчас все сервисы на docker-compose собраны, можно ли их без модификации заливать туда? Я в этих кластерах и машинах пока еще не разобрался, поэтому и вопросы задаю такие

Конечно можно!

Конечно можно!

Ок, пойду копать в сторону Amazon раз он удобнее

Просто переключитесь на удаленную машиу и собирайте также, как вы собираете локально. Разница одна — вы, разумеется, НЕ можете прокинуть -v хост-директорию на удаленный хост, придется собирать свобй образ и добавлять код через ADD

У меня сейчас все сервисы на docker-compose собраны, можно ли их без модификации заливать туда? Я в этих кластерах и машинах пока еще не разобрался, поэтому и вопросы задаю такие

в таком случае дешевле всего скорее digital ocean будет

или вообще хецнер

даже не хочу спрашивать почему нормальный билд процесс не построить

Дешевле всего будет OVH, говорю вам. Вы за 2.99 евро нигде не получите машины с 2GB RAM и 40GB SSD.

ну и следующий вопрос он конечно про то что а зачем вам этот ecs or gcs

OVH это что?

провайдер

https://www.digitalocean.com/community/tutorials/how-to-provision-and-manage-remote-docker-hosts-with-docker-machine-on-ubuntu-16-04

вот это думаю вам должно помочь

ну и следующий вопрос он конечно про то что а зачем вам этот ecs or gcs

Есть выделенный серван на хетцнере, аренда дорогая. Есть желание сэкономить, т.к. сейчас все что там крутится поднимаю на докере

Есть выделенный серван на хетцнере, аренда дорогая. Есть желание сэкономить, т.к. сейчас все что там крутится поднимаю на докере

ecs или что угодноне будет вам дешевле

угу

оно же в европе как минимум. хотите дешевле смотрите на родное

Я понял. Там пробела нет

сорри

Коллеги, как насовсем, совсем, полностью, без исключений запретить докеру трогать iptables? --ip-forward=false --ip-masq=false --iptables=false - мало.

systemctl disable iptables

systemctl disable iptables

докеру.

Это единственный известный мне способ.

Во всех остальных - он чтото там всё время делает

Это единственный известный мне способ.

он не работает так-то, потому что сервис iptables может не присутствовать, а модуль будет загружен. тогда уж надо ядерный модуль блеклистить, но это совсем ад.

он не работает так-то, потому что сервис iptables может не присутствовать, а модуль будет загружен. тогда уж надо ядерный модуль блеклистить, но это совсем ад.

где у вас сервис иптэйблс не присутствует?

он не работает так-то, потому что сервис iptables может не присутствовать, а модуль будет загружен. тогда уж надо ядерный модуль блеклистить, но это совсем ад.

Да, я знаю. Тем не менее. Я для себя нашёл костыль поставить блаклисты выше докер правил и забил

где у вас сервис иптэйблс не присутствует?

какая разница, если это не решение задачи? в пустой минимальной ubuntu xenial он отсутствует. в убунту он называется вообще iptables-persistent.

какая разница, если это не решение задачи? в пустой минимальной ubuntu xenial он отсутствует. в убунту он называется вообще iptables-persistent.

в убунту ufw который чуть более чем полностью тот же иптэйблс

+

в убунту ufw который чуть более чем полностью тот же иптэйблс

его нужно ставить, по умолчанию он отсутствует. и это не имеет значения, вопрос не как выключить фаервол, а как запретить докеру его трогать. https://gist.github.com/spuzirev/8e0abb076f89c882b0b53a09685a0964

подключаетесь docker machin'ой и делаете pull нужных образов из своего registry - профит

Это единственный известный мне способ.

по-видимому они неадекватно обрабатывают --ip-masq=false --iptables=false. --iptables=false в одиночестве - работает.

его нужно ставить, по умолчанию он отсутствует. и это не имеет значения, вопрос не как выключить фаервол, а как запретить докеру его трогать. https://gist.github.com/spuzirev/8e0abb076f89c882b0b53a09685a0964

перестать трогать никак потому что доккер паблишит порты на этом. никак без нетфильтра

по-видимому они неадекватно обрабатывают --ip-masq=false --iptables=false. --iptables=false в одиночестве - работает.

на какаой версии?

# docker version | grep Version Version: 1.13.1

перестать трогать никак потому что доккер паблишит порты на этом. никак без нетфильтра

совсем необязательно, потому что существует бездна способов включения контейнеров в сеть не требующих портмаппинга, ната и прочих извращений.

совсем необязательно, потому что существует бездна способов включения контейнеров в сеть не требующих портмаппинга, ната и прочих извращений.

помимо hosts официально доккером что еще поддерживается?

а то я пытался вспомнить и мне что то никак

а давно "hosts" стал способом подключения контейнеров к сети? :) как бы метод дискаверинга других контейнеров к способу подключения к сети никаким боком отношения не имеет.

а давно "hosts" стал способом подключения контейнеров к сети? :) как бы метод дискаверинга других контейнеров к способу подключения к сети никаким боком отношения не имеет.

с момента выхода документации. https://docs.docker.com/engine/userguide/networking/

а давно "hosts" стал способом подключения контейнеров к сети? :) как бы метод дискаверинга других контейнеров к способу подключения к сети никаким боком отношения не имеет.

а вот про метод дискаверинга как метод подключения к сети я еще не слышал...

что интересно я должен там прочитать? докер умеет в разные сети. одна из них - дефолтные бриджовые. другие могут быть подключены как плагины. их реализация на откупе разработчиков hosts может быть способом подключения к сети? лолшто? я может быть не так понял, конечно. если так - буду рад услышать то, что "правильно". в общем случае iptables для запуска контейнера необязателен, поэтому ваше утверждение про то что "надо паблишить порты" - тоже неверно. контейнер может получать свой собственный адрес, например. у него может не быть сети совсем. у него может быть сеть, не связанная с внешним миром никак. вариантов миллион и iptables не во всех из них нужен.

А чем именно всем iptables не угодил?

зачем его отключать для докера?

Докер байпасит все fw, прямой модификацией iptables.

А чем именно всем iptables не угодил?

бывает чуть более сложный роутинг, чем "MASQUERADE для всех и всегда будет достаточно".

это понятно, можно конкретный пример, когда люди вынуждены отключать iptables?

бывает чуть более сложный роутинг, чем "MASQUERADE для всех и всегда будет достаточно".

ну и пусть живут контейнеры в изолированных сеточках

это понятно, можно конкретный пример, когда люди вынуждены отключать iptables?

пример такого роутинга? легко. source-адрес, с которого докер-контейнер должен ходить во внешний интернет через NAT находится не на интерфейсе, с которого трафик физически уходит.

MASQUERADE в этом случае не работает, нужен SNAT. SNAT делается руками (автоматикой снаружи от докера), но докер настойчиво вставляет свои MASQUERADE.

пример такого роутинга? легко. source-адрес, с которого докер-контейнер должен ходить во внешний интернет через NAT находится не на интерфейсе, с которого трафик физически уходит.

ну создать бридж на этом интерфейсе и воткнуть контейнер сетку с этим бриджем

ну создать бридж на этом интерфейсе и воткнуть контейнер сетку с этим бриджем

это петля.

ip rule не поможет?

ip rule не нужен, потому что он про маршрутизацию, а не про маскарадинг.

стоп

роутинг == маршрутизация

ERROR: S client not available

вы говорите кастомный роутинг

MASQUERADE подменяет сорс-адрес в выходящих из интерфейса пакетов на адрес, висящий на этом интерфейсе. _не_ на тот адрес, который написан в src в маршруте, по которому смаршрутизировался пакет. на следущем хопе пакет дропается вполне ожидаемо.

не - ну у меня по два физ интерфейса на серверах под core и external, как-то желания что там отключать в плане iptables вообще не возникало

у вас адрес, с сорсом которого должен уйти трафик, висит на интерфейсе, по которому этот трафик уйдет, так?

да у меня конетейнеры вообще во внешку не ходят. Когда надо уйти - уходят через external

да у меня конетейнеры вообще во внешку не ходят. Когда надо уйти - уходят через external

"уйти" - с хоста.

неважно, во внешку или не во внешку.

"уйти" - с хоста.

нет - они в одноранговой сети, когда между собой общаются

там натов вообще не надо

там натов вообще не надо

да, только билдить без внешнего мира - больно.

ну так билжу я на хост системе

трафик с нее ходит

docker build

да

и в Dockerfile RUN apt-get update ... либо мы пихаем в контейнер белый адрес, либо где-то есть нат (:

и?

ну, естественно, если миррор публичный и вот это все.

чем тут плох нат то?

и этот нат не может быть реализован докером в случае, который я описываю.

ничем не плох.

просто тот нат, который делает докер, отправляет трафик в девнулл

так я и не понял что именно описываете

ну я же билжу как-то

сбилдил

да у докера нат

потому что у вас сеть не такая, как у меня, очевидно.

запустил в изолированной сети

дык не только у меня, про отключение iptables я только в этом чате прочитал

lo: 127.0.0.1 1.2.3.4 eth0: 10.0.0.2 docker0: 172.16.0.1/16 маршруты: default via 10.0.0.1 dev eth0 src 1.2.3.4 На сетевом оборудовании, соответственно, маршрут 1.2.3.4/32 via 10.0.0.2 когда докер применяет MASQUERADE в такой конфигурации сети, трафик вылетает после ната с source 10.0.0.2, а не 1.2.3.4.

1.2.3.4 весит на lo?

да