ну и закономерно Job for docker.service failed because the control process exited with error code. See "systemctl status docker.service" and "journalctl -xe" for details. invoke-rc.d: initscript docker, action "start" failed. ● docker.service - Docker Application Container Engine Loaded: loaded (/lib/systemd/system/docker.service; enabled; vendor preset: enabled) Drop-In: /etc/systemd/system/docker.service.d └─override.conf Active: activating (auto-restart) (Result: exit-code) since Пт 2017-07-07 17:57:13 MSK; 4ms ago Docs: https://docs.docker.com Process: 15275 ExecStart=/usr/bin/docker daemon -H fd:// --storage-driver overlay (code=exited, status=1/FAILURE) Main PID: 15275 (code=exited, status=1/FAILURE) июл 07 17:57:13 shirokih-laptop systemd[1]: docker.service: Failed with r....

сцуко.

Кстати, я правильно понимаю, что с 17.06 можно вдруг вспомнить о существовании своих iptables?

Или таки нет? Блин, fail2ban же ещё

Кстати, я правильно понимаю, что с 17.06 можно вдруг вспомнить о существовании своих iptables?

что заставило тя так думать

что заставило тя так думать

Docker dynamically manages iptables rules for the daemon, as well as your containers, services, and networks. In Docker 17.06 and higher, you can add rules to a new table called DOCKER-USER, and these rules will be loaded before any rules Docker creates automatically. This can be useful if you need to pre-populate iptables rules that need to be in place before Docker runs. https://docs.docker.com/engine/userguide/networking/#docker-and-iptables

звучит хорошо

и она есть да

я сбор выгрузок запрещенных сайтов сделал на flask и развесил на докерах на пятибаксовом DO. там как раз у меня 17.06 - вон, светится табличка

Я правильно понимаю, что в докере не вырубить nat без вырубания всего его iptables?

для всех контейнеров?

А есть варианты? Он же вклинивается в таблицу nat

Я правильно понимаю, что в докере не вырубить nat без вырубания всего его iptables?

--ip-masq=false?

но у этой сволочи свое понимание что такое masq и это может делать не то что ожидается

Эм... Посмотрю

@schors net_mode: host

Будет использовать интерфейсы хоста

Вечер добрый. Кто может подсказать на счет networks. Столкнулся с проблемой: Задал каждому сервис свой статичесий ип. Все хорошо. Контейнеры видят себя по ip и имени контейнера. А вот приложения внутри контейнера при попытке обратится по названию контейнера - ругаются что не могут найти его и т.д. Зато если указать в приложении ипшиник шлюза(ип локальной машины) то все работает на ура. Прмер. Коннект к базе данных. mysql: build: ./docker/mysql/ container_name: mysql hostname: mysql ports: - "33306:3306" volumes: - ./docker/mysql/data/:/var/lib/mysql - ./docker/mysql/conf.d:/etc/mysql/conf.d/ networks: purgatory: ipv4_address: 173.17.0.5 Если в конфиге пропишу коннектится к mysql(имя контейнера) ругнется что Connection timeout, А если укажу 173.17.0.1 (Шлюз) нормально подконектит. Притом такое явление только при взаимодействие межде контейнерами из прилжений. Из консоли контейнера все так же нормально работает. Если законекчюсь из вне по 173.17.0.5 3306 - то все норм.

Вечер добрый. Кто может подсказать на счет networks. Столкнулся с проблемой: Задал каждому сервис свой статичесий ип. Все хорошо. Контейнеры видят себя по ip и имени контейнера. А вот приложения внутри контейнера при попытке обратится по названию контейнера - ругаются что не могут найти его и т.д. Зато если указать в приложении ипшиник шлюза(ип локальной машины) то все работает на ура. Прмер. Коннект к базе данных. mysql: build: ./docker/mysql/ container_name: mysql hostname: mysql ports: - "33306:3306" volumes: - ./docker/mysql/data/:/var/lib/mysql - ./docker/mysql/conf.d:/etc/mysql/conf.d/ networks: purgatory: ipv4_address: 173.17.0.5 Если в конфиге пропишу коннектится к mysql(имя контейнера) ругнется что Connection timeout, А если укажу 173.17.0.1 (Шлюз) нормально подконектит. Притом такое явление только при взаимодействие межде контейнерами из прилжений. Из консоли контейнера все так же нормально работает. Если законекчюсь из вне по 173.17.0.5 3306 - то все норм.

а поподробнее платформа версия, если свежий докер, то было ли до этого или вот началось, тут странно @schors что то подобное вчера рассказывал, интересно так совпало или они там чего намодернизировали :)

Docker version 17.05.0-ce docker-compose version 1.13.0, build 1719ceb docker-compose.yml version: '3.2'

Если убрать кастомную networks, то приложения внутри контейнер нормально взаимодействуют по имени сервиса

а сдаунгрейдить версию докера, для теста, не вариант?

однако тогда не могу добавлять экстра хостс extra_hosts: - "purgatory.loc:173.17.0.2" так как ему нужен ипишник чтобы сработало

погоди, а кастомная сеть то, поди отдельный бридж? так может у тебя просто роутинг нужен, так как когда её убираеш, поди твой контейнер в дефолт попадает

сдаунгрейдить - геморрно Если никто ранее не сталкивался, то легче работать через шлюз. Так как этот дев окружение

Возможно

а можно детальнее

ибо в нетворк докера не углублялся, возможно где-то упустил что-то

networks: purgatory: driver: bridge ipam: config: - subnet: 173.17.0.0/16

ну а чего детальнее, каждый бридж это отдельная подсетка, насчёт общий ли там ДНС не копал, вполне может что и нет, так что либо прокидывать дополнительно, либо городить подпорки с маршрутизацией и DNS поди

там же можно прокинуть люой дополнительный IP и вроде имя при конфигурации сети

по сути нужно сделать один им днс для всех подсеток

ну так это и надо глянуть, так ли же думает докер или надо подключать какое внешнее автодискавери или по взрослому DNS, я чесно не копал

ща попробую прокинуть днску

будет печально если нужно будет по взрослому

попробовал так php-fpm: dns: - "173.17.0.1" networks: purgatory: ipv4_address: 173.17.0.3 Пытаюсь по имени контейнера приконектися к бд и получаю такое Doctrine\DBAL\Exception\ConnectionException : An exception occured in driver: SQLSTATE[HY000] [2002] php_network_getaddresses: getaddrinfo failed: Name or service not known

попробовал так php-fpm: dns: - "173.17.0.1" networks: purgatory: ipv4_address: 173.17.0.3 Пытаюсь по имени контейнера приконектися к бд и получаю такое Doctrine\DBAL\Exception\ConnectionException : An exception occured in driver: SQLSTATE[HY000] [2002] php_network_getaddresses: getaddrinfo failed: Name or service not known

173.*.*.* публичная сеть. Хорошо что оно у тебя хоть как то работает

о, а слона то...

с друго стороны, ну пока оно не пересекается и в мир не светит, то разница то

173.*.*.* публичная сеть. Хорошо что оно у тебя хоть как то работает

И что делать?

для начала не юзать чужие подсетки :)

Ну если я меняю ипшник, то шлюз у меня тоже меняется. На локальной машние вместое 173 появлятся 175 интерфейс

а поподробнее платформа версия, если свежий докер, то было ли до этого или вот началось, тут странно @schors что то подобное вчера рассказывал, интересно так совпало или они там чего намодернизировали :)

Я грешу на нетворк манагер

вжух

Практики обеспечения безопасности Docker https://blog.sqreen.io/docker-security/

Ну если я меняю ипшник, то шлюз у меня тоже меняется. На локальной машние вместое 173 появлятся 175 интерфейс

ну внутри можно было проверить зайти и посмотреть запихнул ли докер в hosts контейнера запись соотвествующую.

ERROR: S client not available

Докер в хостс все запихнул

тоесть если внутри контейнера сделать host containername он не возвращает ип ?

безопасность, докер? АХАХАХАХА

Та статический, все возвращается, но из прмложения хост не виден, даже по ип контейнера, только через шлюз

Та статический, все возвращается, но из прмложения хост не виден, даже по ип контейнера, только через шлюз

что то судя по гитхабу они ломали поддержку ipam и опций в период 1.13 - 17.03

и после 17.03 починили. но нужно в опциях указывать щлюз

насколько я читал то в compose v3 шлюз нельзя пока добавлять :(

там не то что нельзя там выпилино я так понимаю https://github.com/docker/docker.github.io/pull/1636

At the moment, those options are not available for Swarm services, hence their absence from the v3 format. Until then, if you depend on those options, please continue to use v2.

долбанные хипстеры :)

ребят swarm в stable сильно отличается от edge?

Коллеги, а есть возможность создать volume только для двух контейнеров в docker compose, желательно чтобы он был внутри и при удалении контейнуров удался и он? А то сейчас получается, что volume общий вообще для разных проектов в compose.

https://gist.github.com/RomanKrasavtsev/651e057be9bb565207c0b43234ffddea

Слушайте, а как-нибудь можно сделать финт ушами - находу nginx поменять без перерыва связи? Докеризированный

эти задачи решает оркестратор

Что значит поменять?

ну очевидно он хочет перезапустить контейнер без потери клиентов

эти задачи решает оркестратор

Погодь. Я пока даже вручную не нашел как, хотя технически почему нет

ну можно и вручную

костылять только много

Что значит поменять?

Запустить например другую сборку nginx без потери соединений

ну можно и вручную

Ну вот в теории это возможно. Но на практике я пока не вижу как