Step 9/47 : RUN apt-get install -y xvfb ---> Using cache ---> fd1f31fb8f5c Step 10/47 : RUN curl -sS -o - https://dl-ssl.google.com/linux/linux_signing_key.pub | apt-key add - ---> Running in 6da11c58c9a7 OK почему вдруг обломался кеш? Dockerfile не менялся

Здравствуйте! Подскажите кто сталкивался с такой картиной. Запущено несколько докер контейнеров. На самом хосте открыты определьнные порты через UFW. Но почему-то при сканировании nmap отображаются не только открытые порты через UFW, а также и порты докер контейнеров. Как исправить ситуацию? Не хотелось бы чтобы лишние порты торчали наружу.

Здравствуйте! Подскажите кто сталкивался с такой картиной. Запущено несколько докер контейнеров. На самом хосте открыты определьнные порты через UFW. Но почему-то при сканировании nmap отображаются не только открытые порты через UFW, а также и порты докер контейнеров. Как исправить ситуацию? Не хотелось бы чтобы лишние порты торчали наружу.

Я что-то не понимаю... Мне специально надо было прописываь, чтобы достучаться до контейнеров извне. А ты ничего не прописывал, и все равно порты проброшены? O_o

Я что-то не понимаю... Мне специально надо было прописываь, чтобы достучаться до контейнеров извне. А ты ничего не прописывал, и все равно порты проброшены? O_o

Да

Я что-то не понимаю... Мне специально надо было прописываь, чтобы достучаться до контейнеров извне. А ты ничего не прописывал, и все равно порты проброшены? O_o

Вы UFW используете?

firewalld

firewalld

Давно пользутесь данным фаерволом? Впервые слышу о его существовании от Вас.

Давно пользутесь данным фаерволом? Впервые слышу о его существовании от Вас.

Как на федору пересел :) На убунте ufw никогда не пользовался, по старинке iptables использовал

Как на федору пересел :) На убунте ufw никогда не пользовался, по старинке iptables использовал

Данный фаервол насколько помню и на CentOS начиная с 7 версии

Когда centos 7 пользовался, был именно он, да

Да тут даже не в фаерволе дело. Докеру надо специально сказать, чтобы он на хост машину порты пробросил

-p host_port:container_port

Ну или -P

Да тут даже не в фаерволе дело. Докеру надо специально сказать, чтобы он на хост машину порты пробросил

Это понятно. Мне не понятно почему при выводе ufw status verbose показывает, что открыт 22 и 443 порт, а при сканировании nmap выходят ещё порты, которые были проброшены с хоста до докер контейнера

Это понятно. Мне не понятно почему при выводе ufw status verbose показывает, что открыт 22 и 443 порт, а при сканировании nmap выходят ещё порты, которые были проброшены с хоста до докер контейнера

Возможно я наврал. Пишут, что при использовании -p докер сам создает правила для проброса портов внутрь. Посмотрел, у меня в iptables-save действительно есть правила *nat -A PREROUTING -m addrtype --dst-type LOCAL -j DOCKER -A DOCKER ! -i docker0 -p tcp -m tcp --dport 1111 -j DNAT --to-destination 172.17.0.2:1111 -A POSTROUTING -s 172.17.0.2/32 -d 172.17.0.2/32 -p tcp -m tcp --dport 1111 -j MASQUERADE *filter -A FORWARD -o docker0 -j DOCKER -A DOCKER -d 172.17.0.2/32 ! -i docker0 -o docker0 -p tcp -m tcp --dport 1111 -j ACCEPT

Возможно я наврал. Пишут, что при использовании -p докер сам создает правила для проброса портов внутрь. Посмотрел, у меня в iptables-save действительно есть правила *nat -A PREROUTING -m addrtype --dst-type LOCAL -j DOCKER -A DOCKER ! -i docker0 -p tcp -m tcp --dport 1111 -j DNAT --to-destination 172.17.0.2:1111 -A POSTROUTING -s 172.17.0.2/32 -d 172.17.0.2/32 -p tcp -m tcp --dport 1111 -j MASQUERADE *filter -A FORWARD -o docker0 -j DOCKER -A DOCKER -d 172.17.0.2/32 ! -i docker0 -o docker0 -p tcp -m tcp --dport 1111 -j ACCEPT

nmap что говорит?

nmap что говорит?

Не проверял, но думаю, что будут открыты

Не проверял, но думаю, что будут открыты

Посмотрите для интереса

Сейчас не смогу, позже только

всем привет =) хельп в докиркампозе пишу environment: - PYTHONPATH=/some/path потом ап и пишет WARNING: The PYTHONPATH variable is not set. Defaulting to a blank string. ай нид хилинг или уже неизлечим?

всем привет =) хельп в докиркампозе пишу environment: - PYTHONPATH=/some/path потом ап и пишет WARNING: The PYTHONPATH variable is not set. Defaulting to a blank string. ай нид хилинг или уже неизлечим?

если это при билде, то нужен build-args а не env

Подскажите плз как убить работающий контейнер? kill и stop не помогают

что значит не попогмет?

Рестарт сервиса)

привет, есть околодевопсный вопрос по AWS: есть ли возможность подключится к сервису по высокоскоростной локальной сети внутри одного датацентра. что я имею ввиду: - есть вася, у васи есть api которое работает на AWS vps, могу я арендовать свой AWS vps в том же датацентре и сделать запрос к сервису васи по локальной сети внутри датацентра? Извиняюсь если что, с AWS не работал, не знаю как там всё устроено.

да, только надо ec2 инстанс в той же availability zone брать, что и у Васи, там будет серая сетка 172.16/12 внутри которой кажется исходящий трафик не тарифицируется

только надо будет у Васи уточнить "серый" айпишник

только надо будет у Васи уточнить "серый" айпишник

о, т.е если я не знаком с васей, то мне нужно будет посканировать локальную сеть чтобы найти тот api? какие там правила, это считается нормой, общение чужих сервисов внутри датацентра по локальной сети или там вообще всё блокируется и запрос будет делать круг из датацентра в интернет а потом назад в датацентр?

А, я думал Вася - знакомый ? На ЕС2 вы получаете серый айпи, а также автоматом выдается случайных свободный белый. Но он не прописывается на интерфейсе,- амазон НАТит его на ЕС2 инстанс. Общение сервисов внутри - норма. Про сканирование - не скажу.

А, я думал Вася - знакомый ? На ЕС2 вы получаете серый айпи, а также автоматом выдается случайных свободный белый. Но он не прописывается на интерфейсе,- амазон НАТит его на ЕС2 инстанс. Общение сервисов внутри - норма. Про сканирование - не скажу.

спасибо, буду исследовать дальше

мне кажется, что даже нет смысла играться с поиском серого айпи Васи. Можно с того же датацентра обращаться к его апи нормально. Траффик 100% будет бесплатным, если попадете с ним одну и ту же зону внутри датацентра. А если не в ту же - то скорее тоже, или почти бесплатным. Надо глянуть EC2 pricing.

мне кажется, что даже нет смысла играться с поиском серого айпи Васи. Можно с того же датацентра обращаться к его апи нормально. Траффик 100% будет бесплатным, если попадете с ним одну и ту же зону внутри датацентра. А если не в ту же - то скорее тоже, или почти бесплатным. Надо глянуть EC2 pricing.

смысл не в цене, в latency

us-west-1a ==> us-west-1c ping statistics --- 10 packets transmitted, 10 received, 0% packet loss, time 9012ms rtt min/avg/max/mdev = 1.219/1.552/4.061/0.838 ms между 2 зонами в us-west-1, пинг на public IP через амазоновский NAT

us-west-1a ==> us-west-1c ping statistics --- 10 packets transmitted, 10 received, 0% packet loss, time 9012ms rtt min/avg/max/mdev = 1.219/1.552/4.061/0.838 ms между 2 зонами в us-west-1, пинг на public IP через амазоновский NAT

1.5ms и это между разными зонами на публичный ip, спасибо

Здравствуйте

Подскажите что за сервис?

В смысле?

Portainer?

Или ты про что?

На картинке видно, что это панель управления докер контейнерами. Мне интересно это хостинг или какая графическая панель, которая ставится дополнительно

Portainer

https://github.com/portainer/portainer

Спасибо

Сделал на окерхабе автосборку с github. master -> latest. Обновил репу на github. Жму опять Manually trigger build, а хрен

Так. А как сделать, что бы картинки в README на docker hub показывались? Бьются из-за относительных путей...

Судя по всему никак что ли? Ну кросавчеги

А можно сделать, что бы README подсасывался например оттуда же, откуда и Dockerfile?

А можно сделать, что бы README подсасывался например оттуда же, откуда и Dockerfile?

А. Это поведение по умолчанию. Уже лучше

Привет всем, подскажите на Windows server запускать docker в prod с linux машинами норм? или еще есть грабли?

ERROR: S client not available

А. Это поведение по умолчанию. Уже лучше

Ты все проксю релизишь?)

Ты все проксю релизишь?)

Уже зарелизил же

Подскажите почему такое может происходить: собираю образ докера руками на сервере все норм, запускаю связку jenkins pipeline+ansible делаю тоже самое только скриптом, в итоге с одной стороны норм, но 2 случае вижу что образ собрался и собрался он два дня назад, хотя собирал его вот пару минут назад. Как будто бы после сборки не пушится в локальный репозитарий образ. Куда копать?

Господа, у меня есть немножко контейнеров, слинкованных друг с другом. И есть монга, которая крутится на самой хост ОС (на которой поднят докер) Как мне слинковать контейнер с монгой?

Слинковать через IP, который висит на интерфейсе и смотрит в мир - не вариант. Это должнабыть переменная, т.к. IP может меняться и не хочется его хардкодить.

что значит "слинковать" ?

Добрый день. Я в докерах и подобных вещах нубас. У меня приложения запускаются сами по себе, но после сборки и запуска образа не работают. В чем может быть дело?

Добрый день. Я в докерах и подобных вещах нубас. У меня приложения запускаются сами по себе, но после сборки и запуска образа не работают. В чем может быть дело?

Сломалось

???

гениально

Так ни одно не работает. По статье с хабра делаю, копирую приложения из репозитория, запускаю - работают. Собираю с ними образ, запускаю - не работают.

а как запускаете?

@Brondinar вы даете слишком мало информации, а вопросы задаете слишком общие. Потратьте немного времени и прочитайте хотя бы get started

Хорошо, почитаю и попробую всё еще раз, просто делаю всё строго по инструкции, а не работает. Может из-за портов закрытых?

Добрый день. Я в докерах и подобных вещах нубас. У меня приложения запускаются сами по себе, но после сборки и запуска образа не работают. В чем может быть дело?

Вы фиксиков обидели

без них компьютерная магия не работает

Так ни одно не работает. По статье с хабра делаю, копирую приложения из репозитория, запускаю - работают. Собираю с ними образ, запускаю - не работают.

непонятно

А, вот в чем дело. Note: If you are using Docker Toolbox on Windows 7, use the Docker Machine IP instead of localhost. For example, http://192.168.99.100:4000/. To find the IP address, use the command docker-machine ip.

#образование #обучение #бесплатно #нетблокировке Что вы знаете о навыке декларативного описания проекта с помощью Dockerfile и Docker compose и создании основы для процесса развертывания окружений? А о разработке компонента проектов в Docker окружении, сборке, запуске и эксплуатации? 18 апреля мы встречаемся онлайн, чтобы поговорить об этом. Приходите - будет интересно: https://otus.pw/13BI/ Открытый вебинар будут проводить преподаватели курса “DevOps практики и инструменты” в OTUS - инженеры практики с большим опытом из Express 42. Регистрируйтесь - участие бесплатное!

https://github.com/schors/tgdante2/issues/4 Я правильно понимаю, что время в контейнере целиком и полностью хостовое?

https://github.com/schors/tgdante2/issues/4 Я правильно понимаю, что время в контейнере целиком и полностью хостовое?

Да

tzdata только на форматирование времени влияет

Товарищи, кто-нибудь знает, какой процент берет docker store?

Слинковать через IP, который висит на интерфейсе и смотрит в мир - не вариант. Это должнабыть переменная, т.к. IP может меняться и не хочется его хардкодить.

Может проще запустить монгу в контейнере, а файлы монги прокинуть на хост машину? Тогда ты будешь линковать через link