с таким же успехом можно жаловаться что соурс адрес у вас не 127.0.0.1

с таким же успехом можно жаловаться что соурс адрес у вас не 127.0.0.1

а я не жалуюсь. я всего лишь спросил, как заставить докер не трогать правила.

а я не жалуюсь. я всего лишь спросил, как заставить докер не трогать правила.

вы не понял

я не уверен что это вообще возможно :))

я-то уверен.

ну tcpdump в студию )))

в доказательство, хм, чего?

того, что это возможно

что?

в соурс адресе иметь адрес локалхоста

да хоть адрес господа бога можно в src поставить.

мне хватит 1.2.3.4 чтобы уверовать :))

root@n2-msk-std:~# tcpdump -ni any host 8.8.8.8 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on any, link-type LINUX_SLL (Linux cooked), capture size 262144 bytes 20:02:08.433195 IP 131.117.216.5 > 8.8.8.8: ICMP echo request, id 6888, seq 1, length 64 20:02:08.434410 IP 8.8.8.8 > 131.117.216.5: ICMP echo reply, id 6888, seq 1, length 64 # ping 8.8.8.8 -c 1 PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data. 64 bytes from 8.8.8.8: icmp_seq=1 ttl=60 time=1.23 ms --- 8.8.8.8 ping statistics --- 1 packets transmitted, 1 received, 0% packet loss, time 0ms rtt min/avg/max/mdev = 1.231/1.231/1.231/0.000 ms root@n2-msk-std:/opt/etcd# ip route ls default via 10.255.245.5 dev enp1s0f0 src 131.117.216.5 10.0.0.0/8 via 10.255.245.5 dev enp1s0f0 10.255.245.4/30 dev enp1s0f0 proto kernel scope link src 10.255.245.6 172.17.0.0/16 dev docker0 proto kernel scope link src 172.17.0.1 linkdown root@n2-msk-std:/opt/etcd# ip a 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo valid_lft forever preferred_lft forever inet 131.117.216.5/32 scope global lo valid_lft forever preferred_lft forever inet6 ::1/128 scope host valid_lft forever preferred_lft forever 2: enp1s0f0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000 link/ether 00:25:90:08:df:aa brd ff:ff:ff:ff:ff:ff inet 10.255.245.6/30 brd 10.255.245.7 scope global enp1s0f0 valid_lft forever preferred_lft forever inet6 fe80::225:90ff:fe08:dfaa/64 scope link valid_lft forever preferred_lft forever 3: enp1s0f1: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default qlen 1000 link/ether 00:25:90:08:df:ab brd ff:ff:ff:ff:ff:ff 4: docker0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state DOWN group default link/ether 02:42:e7:34:95:2d brd ff:ff:ff:ff:ff:ff inet 172.17.0.1/16 scope global docker0 valid_lft forever preferred_lft forever inet6 fe80::42:e7ff:fe34:952d/64 scope link valid_lft forever preferred_lft forever

1.2.3.4 -> 131.117.216.5, естественно.

Привет всем! Понадобилось сделать необычную конфигурацию. Хочу сделать так чтобы один контейнер смог создать контейнеры управляя докер демоном? Какой способ наилучший?

Привет всем! Понадобилось сделать необычную конфигурацию. Хочу сделать так чтобы один контейнер смог создать контейнеры управляя докер демоном? Какой способ наилучший?

пробросить сокет.

Привет всем! Понадобилось сделать необычную конфигурацию. Хочу сделать так чтобы один контейнер смог создать контейнеры управляя докер демоном? Какой способ наилучший?

docker run -v /var/run/docker.sock:/var/run/docker.sock blablabla

Ого, не знал, что так можно. Спасибо!

1.2.3.4 -> 131.117.216.5, естественно.

то есть я правильно понял: 131.117.216.5 весит на локалхосте?

то есть я правильно понял: 131.117.216.5 весит на локалхосте?

ну написано же. да.

магия здесь: маршруты: default via 10.0.0.1 dev eth0 src 1.2.3.4 На сетевом оборудовании, соответственно, маршрут 1.2.3.4/32 via 10.0.0.2

ну написано же. да.

а скиньте: ip addr show lo

# ip addr show lo 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo valid_lft forever preferred_lft forever inet 131.117.216.5/32 scope global lo valid_lft forever preferred_lft forever inet6 ::1/128 scope host valid_lft forever preferred_lft forever

круто

# ip addr show lo 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo valid_lft forever preferred_lft forever inet 131.117.216.5/32 scope global lo valid_lft forever preferred_lft forever inet6 ::1/128 scope host valid_lft forever preferred_lft forever

В общем понятно для чего вы это делаете, мой изначальный посыл был: на сетевом оборудовании прокинуть всего один порт на контейнер, который будет осуществлять роутинг до приложений в других контейнерах

В общем понятно для чего вы это делаете, мой изначальный посыл был: на сетевом оборудовании прокинуть всего один порт на контейнер, который будет осуществлять роутинг до приложений в других контейнерах

а зачем? у меня в общем виде iptables отсутствует совсем, контейнеры получают адреса, которые напрямую маршрутизируются в пределах внутренней сети. только когда они идут в интернет, им нужен нат.

ну очевидно зачем - чтобы не городить костылей по отключению iptables в докере

как таковых других причин нет

то есть "отключить iptables в докере" - это костыль, а "NAT на каждый чих, проброс портов и подмена dns-резолверов" - не костыль? :)

то есть "отключить iptables в докере" - это костыль, а "NAT на каждый чих, проброс портов и подмена dns-резолверов" - не костыль? :)

я говорил другое

обычно таких проблем нет, когда у прокси для приложений белый адрес

да - нат это плохо, оверхед и ваще кака

#5618 > Same issue. I'm using mount in privileged container. After 4-5 runs it freezes.

хм. А мне знаний вагранта пока не хватает, или вагрант действительно кривее докера на практике?

я с ним немного поработал и ощущения совсем не такие, чем когда начинал с докером. Как-то очень всё геморно

Так и есть, вагрант подразумевает всегда напильник

К несчастью :-(

Это лучше, чем руками, конечно

хм. А мне знаний вагранта пока не хватает, или вагрант действительно кривее докера на практике?

как вы вообще сравниваете мухи с котлетами

как вы вообще сравниваете мухи с котлетами

Я в итоге организовал разработку на удаленном сервере, а вагрант оставил для возможности развернуть версию контейнеров продакшена у себя. Пока не понял где может пригодиться, но уверен что пригодится.

Я в итоге организовал разработку на удаленном сервере, а вагрант оставил для возможности развернуть версию контейнеров продакшена у себя. Пока не понял где может пригодиться, но уверен что пригодится.

https://youtu.be/hdVNKmru3LM?t=439

Я в итоге организовал разработку на удаленном сервере, а вагрант оставил для возможности развернуть версию контейнеров продакшена у себя. Пока не понял где может пригодиться, но уверен что пригодится.

как способ на пустом любом компе поднять серв

https://youtu.be/hdVNKmru3LM?t=439

"проникновение", да детка

https://youtu.be/hdVNKmru3LM?t=439

О, искал такой материал:) в моем случае это не прод так что не важно

как способ на пустом любом компе поднять серв

В общем я 2 дня разбирался каким путём идти и по итогу пошёл сразу двумя:)

если будешь понимать и уметь и то и то сможешь сам выбрать что тебе больше подходит

если будешь понимать и уметь и то и то сможешь сам выбрать что тебе больше подходит

Так и сделал:) обе технологии круты но каждая для своих целей.

но сравнивать докер и вагрант это рука лицо

все равно что не знаю, спринг с васом сравнивать

как вы вообще сравниваете мухи с котлетами

да-да, одно виртуалочки, другое контейнеры. Я понимаю. Сравниваю я в контексте практической задачи, например, развернуть сложное окружение из n проектов верстальщице локально.

с докером мне лично удобно расфигачить окружение что локально, что в CI

с вагрантом локально по ощущениям не очень, на сервер не пробовал (и вряд ли когда попробую)

интересно было послушать как вы с докер-перспективы оцениваете/используете вагрант в своих задачах, поэтому и поделился в этот чат :)

Я своим фронтедерам запихал ноду с нпэмами и вебпаками в докер, вроде не жалуются

да, вот именно, фронтендерам крайне удобно отдавать докер

А бекендеры без докера уже не торт)

По крайней мере в go

Я своим фронтедерам запихал ноду с нпэмами и вебпаками в докер, вроде не жалуются

Не так давно пробовал поработать фронтэндером (2,5 года)... Назачем вебпак в докер пихать? В моём виденьи мира вебпак не покидает машины девелопера(билд сервера, конфиг в гите), а в докер идёт заранее сбилженый js...

У некоторых людей виденье мира отличается от вашего

Это не для продакшена

А для разработки

Ты пулишь образ и вперёд

Даже ноду не ставишь себе

Не проникся... девелопить фронтэнд через пуш... Тут же весь HMR вебпака отвалится. Это фронтэнд с чисто серверным рендером? ?

Ничего не отвалится, оно тебе тот же порт с hmr выдаёт)

ERROR: S client not available

а код как апдейтится?

вольюм шарить на хост?

Да

Гит на хосте

Но можно и внутрь все пихнуть и коннектиться туда идешкой

Мысль неожиданная, надо переварить... Скорее всего внутрь пихнуть будет хуже. Пока не осознал профита docker + yarn для фронтэндера вместо nvm + yarn. Возможно, сборка разными докерами одного проекта... Неочевидно. ? Хотя, сейчас размышляю не запихнуть ли серверсайд (node.js) примерно таким же образом в докер.

Я лично проникся, хост получается вообще пустой - красота. Даже хром в докере запускаю, но это мб уже мания)

Хотя один раз прописать в .bash_aliases и делу край

А можно немножко экзамплов для размышления? (я бы фотошоп в контейнер запихал с удовольстием... ? )

Отправлю, как доберусь до ноута

Однако с фотошопом врядле получится, на сколько знаю там только линукс софт работает

Хотя если wine внутрь положить..

https://geekmaze.ru/2016/03/04/%D1%83%D1%81%D1%82%D0%B0%D0%BD%D0%BE%D0%B2%D0%B8%D1%82%D1%8C-adobe-photoshop-cc-2015-linux/

Мне все таки нравится вариант когда вагрант поднимает настроенный на местный регистри докер хост

плюс на местный гит и тд

дальше внутри запускаешь нужные контейнеры

но это все зависит от конкретных инструментов разработки и последующей общей серверной архитектуры

@RRoman_Tver alias obs='docker run -ti —rm -e DISPLAY -v /tmp/.X11-unix:/tmp/.X11-unix -v $HOME/.Xauthority:/home/obs/.Xauthority —device /dev/dri —net=host spoon4/docker-obs'

есть еще варианты с vnc сервером внутри

но я их не использовал)

https://github.com/dockerfile/chrome

не знаю, было или нет, но может кто сталкивался с такой проблемой

при сборке вот такое выскакивает

А что вы собираете?

flack app

там только python:3-onbuild и копирование самой апликухи. Ну и node + npm до кучи. Правда там еще сборка (install & run build)

логи посмотрю, наверняка что-то будет

да уж лрги точно интереснее скриншота

надо делать репорт, обычно показывает что будет слать

делаю, но никаких попробностей нет. Иначе бы показать выхлоп на репорт