@Zevsikk будет жить. Поприветствуем!

@bobmaxuzb будет жить. Поприветствуем!

Alex R будет жить. Поприветствуем!

@khandurdyiev будет жить. Поприветствуем!

господа, думаю все знают что докер образы надо переодически пересобирать что бы не портились базовые слои. как вы тегаете такие образы ? они содержат обновленный базовый слой но приложение осталось без изменения.

ну в пакетных системах на такой случай подверсии заводят .х _х и всё такое, чем докер лучше?

в докере нет такой практики сейчас

такие пироги

а что значит портится базовый слой? никогда с таким не сталкивался

в докере нет такой практики сейчас

кто мешает тегировать образы

а что значит портится базовый слой? никогда с таким не сталкивался

бифидобактерии переходят на сторону зла

пакеты устаревают

кто мешает тегировать образы

Вопрос в том как тегировать?

Сейчас тег как правило тегает приложение. А не инфру

Сейчас тег как правило тегает приложение. А не инфру

Может, как в той же убунте? Типа 1.2.3-ubuntu1(2,3,4,5)

Да так вполне годно. Но почему то этого нет

А для тех кто не знает, расскажи плиз как базовые слои "портятся") а то я чттто не понял про что ты)

Да так вполне годно. Но почему то этого нет

есть, тот же alpine tag

А для тех кто не знает, расскажи плиз как базовые слои "портятся") а то я чттто не понял про что ты)

ну так пакетная база основного слоя устаревает. и в ней находят дыры

тебе всё правильно сазали про бифидобактерии

есть, тот же alpine tag

ы ?

ну так пакетная база основного слоя устаревает. и в ней находят дыры

А, я понял про что ты) просто слово "портится" меня смутило сильно)

ну а как это назвать :) ?

мне показалось слово портится уместным ага

Да, сложно в слова) "протухание" вроде чуть получш)

видимо тег придется делать состовным. но вообще это конечно хренотень. app_v1.1.1_alpine_v3.6

Я использую базовый имидж свой с тегами, когда надо обновить обновляю вначале свой имидж а потом уже накатываю что нужно

Я использую базовый имидж свой с тегами, когда надо обновить обновляю вначале свой имидж а потом уже накатываю что нужно

так выглядит годно в случае если FROM всегда свой. даже ркн не заставил меня пересобирать все имиджи

часть всё равно берется из паблика.

ы ?

nginx:1.10-alpine

nginx:1.10-alpine

через 3 года 1.10 останется. а альпайн будет другим

это официальный image, есть два варианта, на дебиане и на alpine

ну я как пример тегирования привел, ты делай, как хочешь

так выглядит годно в случае если FROM всегда свой. даже ркн не заставил меня пересобирать все имиджи

Берешь базовый альпайн или что угодно и собираешь свое, для приложения фром уже из приватного реджистри

я понимаю механику процесса. но говорю есть имиджи которые я не пересобираю

хотя

я понимаю механику процесса. но говорю есть имиджи которые я не пересобираю

мне кажется, что проблема не в докере

Берешь базовый альпайн или что угодно и собираешь свое, для приложения фром уже из приватного реджистри

да спасибо. это пожалуй выход

мне кажется, что проблема не в докере

а проблема изначально в нем и не была :)

однако это всё равно создает не идемпотентность имиджей.

Если хочешь систему которая не будет зависит от внешних изменений уменьшай количество зависимостей, плюс с точки зрения безопастности лучше

однако это всё равно создает не идемпотентность имиджей.

Почему это?

ибо финальный тег не будет отображать содержимого и переодически пулл текущей весрии с тегом будет приводить к тому что что то качается.

Берешь базовый альпайн или что угодно и собираешь свое, для приложения фром уже из приватного реджистри

для такого варианта процесс пересборки длиннее, мы просто базируемся на официальных сборках, а-ля httpd:2.4.28 и обвновляем их время от времени, меньше телодвижений

для такого варианта процесс пересборки длиннее, мы просто базируемся на официальных сборках, а-ля httpd:2.4.28 и обвновляем их время от времени, меньше телодвижений

Пересборка длинная? Ну не замечал долгой сборку базы

Пересборка длинная? Ну не замечал долгой сборку базы

чтоб пересобрать конечный образ при изменении базового, тебе надо собрать несколько по цепочке

ибо финальный тег не будет отображать содержимого и переодически пулл текущей весрии с тегом будет приводить к тому что что то качается.

нет

чтоб пересобрать конечный образ при изменении базового, тебе надо собрать несколько по цепочке

хм неа, вот смотри готовится база с нужным софтом с тегами что за базовый имидж, уже при билде софта пулится базовый имидж из приватного реджистри на него накатывается только приложение и все, в редких случаях добавляются пакеты

смотри, ты хочешь обновить базу в приложении, ты сначала обновляешь базовый образ, потом приложение = 2 сборки собираешь базу, потом приложение на основе базы

а так ты просто тег поменял в from, а база качается из docker hub

всё это хрень госопода. пойду базел смотреть.

а так ты просто тег поменял в from, а база качается из docker hub

угу и по безопаски просел )))

всё это хрень госопода. пойду базел смотреть.

чем хрень?

какбэ https://docs.docker.com/develop/dev-best-practices/#how-to-keep-your-images-small

и https://docs.docker.com/develop/develop-images/baseimages/

и https://docs.docker.com/develop/develop-images/baseimages/

всё так да. просто у меня в голове есть определенная каша с тем что * имиджи не изменяемые * тег всегда ведет в одно место * приложение может хотеть конкретные версии библиотек которые не обзятательно будет доступны через год. * секурити требует что бы в имиджах было как можно меньше уязвимостей. всё 4 момента в общем предполагают что текущий уровень тегирования не верен.

ERROR: S client not available

всё так да. просто у меня в голове есть определенная каша с тем что * имиджи не изменяемые * тег всегда ведет в одно место * приложение может хотеть конкретные версии библиотек которые не обзятательно будет доступны через год. * секурити требует что бы в имиджах было как можно меньше уязвимостей. всё 4 момента в общем предполагают что текущий уровень тегирования не верен.

все 4 уровня это как раз базовый имидж, как не крути, чтобы приложение хотело что-то специфического надо по рукам программисту надавать чтобы не занимался самодеятельностью.

меньше уязвиимостей == свой образ собранный из минималки

всё так да. просто у меня в голове есть определенная каша с тем что * имиджи не изменяемые * тег всегда ведет в одно место * приложение может хотеть конкретные версии библиотек которые не обзятательно будет доступны через год. * секурити требует что бы в имиджах было как можно меньше уязвимостей. всё 4 момента в общем предполагают что текущий уровень тегирования не верен.

Ты можешь делать фром из хэша)

все 4 уровня это как раз базовый имидж, как не крути, чтобы приложение хотело что-то специфического надо по рукам программисту надавать чтобы не занимался самодеятельностью.

госам объяснишь что gost стоит таки добить и сделать в openssl стандартом ?

Фиксируя свои версии

а не метатся туда сюда как мошка по ... ну сами знаете

госам объяснишь что gost стоит таки добить и сделать в openssl стандартом ?

я это объяснял гос компании ))) и сошлись в том что делаем свой базовый образ и поверх накатываем свои приложения

тогда ты понимаешь о чём я, да. таких примеров более одного. просто этот яркий.

в сухом остатке получается что: * при переодической пересборке базового слоя его надо тегать * тег пересборки надо выносить в тег имиджа.

тогда ты понимаешь о чём я, да. таких примеров более одного. просто этот яркий.

так вот если у тебя есть база отдаешь безопасникам они тестируют на уязвимости и все все счастливы, в РФ еще не такие суровые безопасники))) в гос

иначе нарушается * тег всегда ведет в одно место

в сухом остатке получается что: * при переодической пересборке базового слоя его надо тегать * тег пересборки надо выносить в тег имиджа.

любой имидж надо тегать это правило номер раз при использовании докера

иначе нарушается * тег всегда ведет в одно место

я вот как раз недели три назад тут это же обсуждал, что я привык, что тег однозначно маркирует релиз, и не может быть что сегодня этот тег на одном имедже, а завтра на другом. но в докере все не так, и это меня и удивляло

чтобы понять про теги достаточно прочитать офф доку по тому как лучше готовить

в сухом остатке получается что: * при переодической пересборке базового слоя его надо тегать * тег пересборки надо выносить в тег имиджа.

каждая сборка ставит новый тег

я вот как раз недели три назад тут это же обсуждал, что я привык, что тег однозначно маркирует релиз, и не может быть что сегодня этот тег на одном имедже, а завтра на другом. но в докере все не так, и это меня и удивляло

Это не технический вопрос :)

@freebot3550 будет жить. Поприветствуем!

Это не технический вопрос :)

а какой, философский?)

а какой, философский?)

ну обычно это называют административными вопросами) или вопросами архитектуры) философскими тоже можно назвать в гите у тебя тоже теги можно перевешивать на другие коммиты

Всем привет. Проблема - Mac, настроил в docker nginx-server, отдающий статику. На https ни намёка в конфиге (окружение для разработки делаю). В Safari все работает как надо. Хром пишет: Этот сайт не может обеспечить безопасное соединение Сайт coin-api.dev отправил недействительный ответ. ERR_SSL_PROTOCOL_ERROR

и редиректит на https с http сам

ну обычно это называют административными вопросами) или вопросами архитектуры) философскими тоже можно назвать в гите у тебя тоже теги можно перевешивать на другие коммиты

согласен, можно, инструмент это не запрещает

и редиректит на https с http сам

Это фишка новых браузеров: если они один раз видели доменное имя за https, они всегда будут редиректить на него.

Это фишка новых браузеров: если они один раз видели доменное имя за https, они всегда будут редиректить на него.

Не будут если HSTS-заголовки не настроены. Если были настроены - будет редиректить согласно указанным в них правилам.

Не будут если HSTS-заголовки не настроены. Если были настроены - будет редиректить согласно указанным в них правилам.

Сафари их игнорит что ли?

Это фишка новых браузеров: если они один раз видели доменное имя за https, они всегда будут редиректить на него.

https там отродясь не было, это локальный домен. Более того, в хранилище ключей тоже про него ни слова нету

https там отродясь не было, это локальный домен. Более того, в хранилище ключей тоже про него ни слова нету

Тогда может быть только одно объяснение: шайтан у вас в хроме завелся :)