хахаха

это как анекдот есть когда в конце какого-то интервью у одного учёного спросили, а для чего вам на двери входной в ваш дом две дырки внизу - одна меньше другой? А это говорит для собаки и для кошки, чтобы они с улицы могли в дом заходить. а почему бы не оставить одну большую дырку куда и собака и кошка прошла бы? а я, говорит учёный, об этом как-то даже и не подумал :-/

:)

> А подскажите про dockerfile, правильно ли я понимаю, что писать EXPOSE нужно только для того, чтобы потом можно было запускать контейнер с опцией publish-all? это ведь по сути просто добавляет метаинформацию о портах, которые использует приложение? Что-то мне подсказывает, что Никита спрашивал не про маны :)

@minicon ты нашёл ответ на свой вопрос?

на какой именно?

про expose разумеется

)))))

а если у тебя вопросов много это хорошо ))

а, нашел. это просто метаданные

значит я такой не один

вообще понятно для чего это можно использовать, например какая-нибудь внешняя система на эти данные может опираться, marathon какой-нибудь, например

Ого

Прямо прорвало

Все Докера хотят

Добрый день. Я меня проблема с запуском первого контейнера.

Когда выполняю команду docker run hello-world Unable to find image 'hello-world:latest' locally Консоль остаётся в током састоянии

Есть идеи почему контейнер не скачавается?

Есть - нет доступа к хабу например

Херасе. Ты прав. Немогу даже пинговать из консоли хаб. В браузере норм.

Куда копать дальше есть идеи?

проверь днс, докер хаб периодически работает как говно

Господа, тема вечера FIREWALL

Firewall это прекрасно

хоть ктото прокуривал эту тему?

я прокуривал , хочу найти наркоманов сородичей

периодически приходится курить как следует их

))

поделитесь мыслями / боевым опытом, .. а я поведаю свою идею

за прошедшие десятилетия в мире файрволов фундаментально мало что поменялось. все по-старинке действуют по правилу: "закрыть всё, открывать необходимое", и считается что этот метод правильный с точки зрения и безопасности и здоровья админа.

это ясно, но есть докер, который крутит iptables как хочет, есть приставки к докеру которые тоже крутят как хотят, при этом нужно так что бы все это не отваливалось и можно было безболезнеенно обновлять правила, что бы случайный expose порты не торчали в интернет без явного разрешения файрвола

это ясно, но есть докер, который крутит iptables как хочет, есть приставки к докеру которые тоже крутят как хотят, при этом нужно так что бы все это не отваливалось и можно было безболезнеенно обновлять правила, что бы случайный expose порты не торчали в интернет без явного разрешения файрвола

И это весьма огорчает всё. Мы так напилили портфорвардинг через haproxy и consul

@zon_orti , Тоесть у вас посути consul обновляет правила?

это ясно, но есть докер, который крутит iptables как хочет, есть приставки к докеру которые тоже крутят как хотят, при этом нужно так что бы все это не отваливалось и можно было безболезнеенно обновлять правила, что бы случайный expose порты не торчали в интернет без явного разрешения файрвола

у меня добавлен ручной костыль который с докером живет

я тоже такой костыль придумал =) причем он должен работать внутри контейнера ) , тоесть хоешь обновить правила файрвола - пересоздай контейнер

жееесть

неа.. очень даже хорошо, иначе нужно цеплятсья за systemd и следить за перезапуском докера, а так контейнер сам запускатся полсе докера

причем таким макаром, видать, работает calico которая свой чейн втыкает перед чейном докера,

в моем случае мне не нужны динамическе порты смотрящие в интернет, поэтому consul для этого не понадобится, а внутри приватных сетей разрешающие правила и полностью отключенный nfconntrack , на внешке отключен nfconntrack только для портов с трафиком, для остальных включен что бы исходящие соединения спокойно ходили в интернет

@zon_orti , Тоесть у вас посути consul обновляет правила?

Правила статичны, форвардинг на L7(haproxy)

хм, не дороговато ли? .. докер такую штуку для localhost использует - процесс docker-proxy , мне вообще не понравилось как оно работает под нагрузкой, хотя может haproxy эффективней, однако я просто решил что в localhost проще не ходить вообще

хм, не дороговато ли? .. докер такую штуку для localhost использует - процесс docker-proxy , мне вообще не понравилось как оно работает под нагрузкой, хотя может haproxy эффективней, однако я просто решил что в localhost проще не ходить вообще

Дальше форвардится не на docker-proxy а на внутренний ip контейнера. HAproxy под нагрузкой вроде вполне работает, хотя некоторые говорят, что при релоаде теряются коннекты

хм, но почему не dnat ?

iptables управляется через chef посредством shorewall. Как это красиво скрестить с докером - пока не придумали

а.. ну мы тоже начинали с ansible + ufw =)

сначала закончился второй, потом первый

Я видимо упустил нить, но чтож получилось?

пока не получилось, завтра получится... обычный баш скрипт в контейнере..

Звучит страшно?

жееесть

да, я заметил)

а у тебя сбилден образ с таким именем?

смотрите. запустил я в докере sshd (только его). залогинился. в какой слайс cgroups мою сессию кинет хостовый systemd? а какой номер юзеру даст? или он вообще не разрулит этот логин и докер гдето внутри своего слайса целиком сидит?

Привет! Я разработчик, юзаю докер для разработки и тестирования, хочется попробовать в прод и есть вопрос. А что происходит когда необходимо обновить базовый образ (например пропатчить либу в системе) ? Пересобирают все образы приложений и перевыливают?

Да, образы же все равно RO, а проект сам по себе живет не зависимо от образа.

Всё правильно :-)

То есть без остановки приложений и полной перевыкладки всех инстансов никак? )

Звучит как то накладно и сложно

ну а без контейнеров как? тоже самое. Только тут можно копию запустить и прокси на нее натравить, как поднимется, а старые контейнеры прибить

Как принято управлять конфигами приложений при работе с Docker? При создании продакшен образа с приложением продакшен конфиги подсасываются от куда-то и упаковываются прямо в него (звучит не очень безопасно ибо там будут пароли и прочие ключи) или маунтятся при запуске на хосте, если второе то как они там оказываются?

ENV - канонично. Или конфигохранилище вроде consul/vault

ENV - канонично. Или конфигохранилище вроде consul/vault

если через ENV, то все что передано можно будет посмотреть через docker inspect, так?

Снаружи - да

Да я про снаружи

А еще какие варианты бывают? Просто часто в проде очень много чего конфигурировать надо и проще это делать целым файлом, вариант с маунтом папки на хосте рабочий же?

рабочий , тут уже от приложения зависит, в одном месте удобно монтировать в другом при запуске окружение ENV выставить, я в docker compose выставляю через файлик .env

еще можно монтирование но хитрое , через volume from, тогда можно запаковать любую хренотень и положить в отдельный регистри в котором никто не увидит , итянуть volume с такого контейнера

Спасибо!

спасибо @schors =)

всем привет) какой самый простой способ удаленно рестартить systemd сервис?

всем привет) какой самый простой способ удаленно рестартить systemd сервис?

ssh hostname 'systemctl restart servicename'