то когда ansible его изменит получится что ты поменял конфиг в обоих контейнерах

ты их конечно перезапустишь, но rollback отпадает. А если это не nginx в контейнере а какой то php, то в случае плохих конфгов можно и сломать что нибуть

ror

ну я хз как ror с конфигом будет работать

он его читает при старте?

или есть поддержка горячей замены?

да читает при старте

в общем правильней без downtime с rollback'ом ?

есть ссылочки, видео обучиться ?

я делал ror с 0 даунтаймом в продакшне

через docker-swarm

и с ролбеком да

но со мной там был devops еще, так что не все нюансы знаю

вопрос

это нормальная практика логи nginx кидать в mount ?

это нормальная практика логи nginx кидать в mount ?

Имхо не оч Лучше харвестер для логов завести

мне нужно будет потом завернуть логи в elasticsearch

мне нужно будет потом завернуть логи в elasticsearch

Тем более лучше харвестер для логов завести

filebeat

thx!

thx!

Обращайся И нет, не nohchi)

народ кто прикручивал Telegramalarm к Graylog в докере?

кто-нибудь юзает ipv6 в докерах?

ну он кое как и кое где работает

Как можно кошерно ограничить выход в сеть в контейнере? Нужно запретить все кроме одного IP адреса. Через iptables внутри контейнера это нормально делать?

зачем внутри, внешним на хосте?

Так это правильно на хосте в iptables ограничивать?

Внутри контейнера через iptables вроде тоже работает

а где у тебя хост крутится?

если на амазон или в гугле то через security group правильнее всего

Это внутри компании

тогда iptables вполне норм

ойпитаблей внутри контейнера ? я что то видимо не знаю

а что внутри контейнера какой то свой ойпитаблес ?

кашерно это делать на шлюзе.

Не свой но его с --privileged можно модифицировать

а есть какой то глубинный смысл запускать контейнеры в привелегированном режиме ?

Иначе внутри не работает iptables

Иначе внутри не работает iptables

есть какой то глубинный смысл фильтровать трафик iptables внутри контейнера?

не так.

есть видимо какой то глубинный смысл запускать управление системным iptables из контейнера. а не из хоста

но скорее всего такого смысла нет.

просто @petr_the_great не разобрался еще

Верно, как правильно ограничить сеть внутри контейнера доступом лишь к одному ip? Цель проста: контейнер служит как песочница для не доверенного кода

делать это на шлюзе

потому что запускать недоверенный контейнер и ограничивать ему инет но приэтом запускать с —priviliged это немного похоже на безумие

если код не доверенный то зачем ему вообще предоставлять доступ хоть до одного ip

Такие условия :) а через шлюз если делать то есть ли мануал?

мануал на твой шлюз ?

Я просто не совсем понял что вы имеете ввиду под шлюзом

шлюз это то где у тя делается интернет

Выходит если через iptables ограничивать на хосте то это затронет все контейнеры?

нет ойпитаблеса в контейнере.

есть только хостовоый

я не говорю что нельзя управлять фаерволом на хосте с докером. но крайне советую этого не делать.

там многие решения будут выглядеть в лучше м случае плохими.

ERROR: S client not available

так что по возможнотси управлйяте сетью для докера за пределами хоста с контейнером

Странно что нету простой инструкции для ограничения сети одним адресом в контейнере, видимо нужно для песочницы что-то другое использовать

нет не странно. просто missuse технологии

Значит docker просто не предназначен для моей задачи

Докер Ее не решает в полной мере

видимо да.

не все технологии решают все проблемы.

Верно, как правильно ограничить сеть внутри контейнера доступом лишь к одному ip? Цель проста: контейнер служит как песочница для не доверенного кода

ну если выкинуть то что докер и безопасность, два не пересекающихся понятия, то всё в общем то и так отлично работает, контейнер весьма изолирован от сети, и имеет доступ только к своему концу бриджа, что вы там на этот бридж отдадите дело техники, это не говоря что его можно неймспейсами сети ещё хлеще закрутить

ну если выкинуть то что докер и безопасность, два не пересекающихся понятия, то всё в общем то и так отлично работает, контейнер весьма изолирован от сети, и имеет доступ только к своему концу бриджа, что вы там на этот бридж отдадите дело техники, это не говоря что его можно неймспейсами сети ещё хлеще закрутить

что не так с безопасностью в докере?

ну она есть только для всего колхоза и не везде

ах оставьте. в докере всё хорошо с безопасностью. просто ёё никто не умеет толком делать

во всяком случае в релизах 2017 года больших проблем с безопасностью докера вроде не наблюдалось. хотя я мог пропустить некоторые секьюрити баги.

Ребята, а посоветуйте какую-нибудь интерактивную обучалку по докеру? ну может видос

https://www.katacoda.com/courses/docker

https://www.katacoda.com/courses/docker

Спасибо, то что нужно Ты крутой в моих глазах

ORU

ori

orn!

хай) а можно в докере (последних версий) как-нибудь примонтировать одиночный файл из data volume?

образ собран таким образом, что нужно передать туда некий конфиг, вокруг которого другие файлы, то есть это должен быть именно одиночный файл, а со стороны хоста для стандартизации хочется использовать data volume'ы, можно ли указать путь к файлу относительно волайма?

services: myservice: volumes: - data-volume/some.config.ini:/etc/some.config.ini volumes: data-volume: external: true

вот что-нибудь такое будет работать?

Так попробуйте

в документации я не видел такого примера

у меня был негативный опыт ранее с data volume'ами, сейчас я всё-таки снова хочу с ними работать, но "сделать всё правильно"

1. я могу сделать docker volume inspect, вытащить оттуда путь и использовать путь 2. я могу создать сверху образ, монтировать в другое место и ln -s 3. описанный выше способ если он работает

у меня был негативный опыт ранее с data volume'ами, сейчас я всё-таки снова хочу с ними работать, но "сделать всё правильно"

отдавать конфиг на стадии сборки переменные отдавать на стадии запуска через env

в конфиге пароль, который хочется иметь возможность rotate без пересборки образа, кроме того, я не доверяю гуглу, в котором у меня хранятся эти образы, я не хочу держать там пароли =)