• úvod
  • témata
  • události
  • tržiště
  • diskuze
  • nástěnka
    • přihlásit
    registrace
    ztracené heslo?
    ALMADDocker a kontejnery
    Docker aneb přístupný provoz kontejnerizovaných aplikací
    Docker(Hub), Compose, Swarm, boot2docker, DevOps, LXC, ECS, TumTum a jiné buzzwordy
    Bezpečnost v prostředí kontejnerů
    Related: automatizace [ Centralizovaná správa stanic a ostatních prvků v síti konfigurace/inventarizace/instalace/aktualizace/zalohovani ]
    rozbalit záhlaví
    MLEKAR_STEIN
    MLEKAR_STEIN --- ---
    je to hodně opensearch specifický, ale kdyby někdo věděl...

    [MLEKAR_STEIN @ Nerelační databáze a data v distribuovaném prostředí]
    GIOMIKY
    GIOMIKY --- ---
    +1
    GitHub - dockur/windows: Windows in a Docker container.
    https://github.com/dockur/windows
    MLEKAR_STEIN
    MLEKAR_STEIN --- ---
    MARTEN: je to pokračování toho, co jsi tu řešil a jde o to, aby ty dockery nikam z re mašiny nemohly?
    jestli jo, tak nevím o ničem, co by bylo přívětivý.
    RUDOLF
    RUDOLF --- ---
    MARTEN: traefik poslouchá na 443, máš tam nastavený routing pravidla, podle hostname např do různých služeb a systémový firewall má všechno krom 443 bloklé a těch pár jiných máš whitelistu. Vůbec bych dockeru firewall nenastoval, řeš to na úrovni OS. Ale možná jsem nepochopil tvůj problém;-)
    MARTEN
    MARTEN --- ---
    2 odpovědi
    Resil jste nekdo nastaveni firewallu pro server kde bezi docker? Prijde mi ze docker je na tohle docela blby, hlavne tim jak se sam stara o pravidla v iptables.
    Co asi potrebuju je zakazat vsechny porty. Nektere povolit pouze z urcitych url. 80/443 povolit pro vsechny.
    Co mam ted je docker kde bezi traefik a contanery si vytvareni hosty. 80/443 je presmerovane na to (docker si sam dela pravidlo). V iptables pravidla na zakazani vseho a jen povoleni co potrebuju. Ale tohle mi relativne blbne a mlati se s pravidlama z dockeru. Co zadam vlastni, tak bud nefunguji, nebo kdyz funguji, tak ale zafunguji i jako egress.
    Nemate nekdo reseni tady pro to? Nejlepe i s gui, nebo lehce nastavitelne. Nektere sluzby budou pristupne z ostatnich serveru ale ne vsude muze byt docker swarm, aby to bylo lehci.
    MLEKAR_STEIN
    MLEKAR_STEIN --- ---
    +3
    GIOMIKY:
    no, je to blby heslo.
    helm si blbe nastavi heslo pro uzivatele. protoze tam neni to co je v secretu, ale neco jineho.

    a dokonce uz jsem prisel na to proc.

    po odinstalaci tam zustane pvc, kterej se v helmu jmenuje porad stejne, takze si to drzi stara data.
    GIOMIKY
    GIOMIKY --- ---
    1 odpověď
    MLEKAR_STEIN: Nepomohl by stejda duckduckgo.com?
    [bitnami/rabbitmq] invalid credentials issue when extraConfiguration used · Issue #4635 · bitnami/charts · GitHub
    https://github.com/bitnami/charts/issues/4635

    Stale jsem presvedcen, ze ty jsi se mel zamerit na heslo, kdyz mas hlasku neplatne jmeno nebo heslo.

    The secret defining the RABBITMQ_PASSWORD :

    ➜ kgsec rabbit -o yaml
    apiVersion: v1
    data:
    rabbitmq-erlang-cookie: SkZIRERQTUh6Mzd0Zk5Ba0w0a0VPbVBxamtPRXNsYzY=
    rabbitmq-password: bXlwYXNzCg==
    kind: Secret
    metadata:
    name: rabbit
    namespace: test1100
    type: Opaque
    MLEKAR_STEIN
    MLEKAR_STEIN --- ---
    VELDRANE: nakonec jsem zjistil, že to dělá vzdycky. měl jsem v testovacím values pro samotnyho rabbita chybu, nechal jsem tam prefix z globalnich values,, takze se neuplatnily a tak se vlastne nainstalocal bez parametrru.
    takze to dela dycky a tim padem to bude nekde okolo readiness probe, ta chyba co to vypisuje na to smeruje.
    VELDRANE
    VELDRANE --- ---
    1 odpověď
    MLEKAR_STEIN: hele rad bych Ti pomoh, ale ac mam s helmem pomerne bohaty zkusenosti tak sem subchart nikdy nepouzil. Smrdi to tim ze ten secret se nevyrenderuje - btw: nebylo to donedavna tak ze se secrets nerenderovaly vubec ?

    Co vyzvraci helm template ... -debug > nejakejfajl.out ?
    MLEKAR_STEIN
    MLEKAR_STEIN --- ---
    1 odpověď
    GIOMIKY: to je čistej rabbitmq, tam žadnej apache neni
    to spís je záznam od readiness probe nebo néco takovýho
    GIOMIKY
    GIOMIKY --- ---
    1 odpověď
    MLEKAR_STEIN: logy apache si zkoumal? Ještě se může přístup řídit skupinou.
    MLEKAR_STEIN
    MLEKAR_STEIN --- ---
    1 odpověď
    GIOMIKY:
    ale tady se zadny hesla nikde nezadavaji. a zadny externi ucty to nema napojene.

    pri instalaci si to vygeneruje secret s heslem, to je v obou dvou pripadech vygenerovany,

    a asi maji neco blbe v helmu, protoze kdyz se da instalace uplne bez parametru, tak to prochazi spravne.
    no nic, bitnami image.
    GIOMIKY
    GIOMIKY --- ---
    1 odpověď
    MLEKAR_STEIN: Pátrej po heslech. Někde je blbě zadaný heslo. Nebo bloklej účet.
    MLEKAR_STEIN
    MLEKAR_STEIN --- ---
    1 odpověď
    GIOMIKY:
    tohle je stav po `helm install`
    a neni to zavisly na zadnym externim zdroji.
    jsou to vsechno ciste instalace do prazdneho namespace.
    kdyz udelam prave cistou instalaci samotnyho chartu, tak to jede,
    kdyz udelam instalaci jako subchartu, tak to hlasi tohle.
    GIOMIKY
    GIOMIKY --- ---
    1 odpověď
    MLEKAR_STEIN: Nezmenil sis v posledni dobe nekde nejaky heslo?
    MLEKAR_STEIN
    MLEKAR_STEIN --- ---
    2 odpovědi
    a teda fuckup jestli nekdo nevite,
    mam rabbitmq jako subchart, kdyz je jako subchart, tak se v logu objevi hlaska 
    HTTP access denied: user 'muser' - invalid credentials
    a kontejner se nidky nedostane do stavu running, o kdyz vlastne bezi.


    kdyz to s tema samyma values zkusim nainstalovat samotny, tak to normalne bezi. 

    rabbitmq:
  volumePermissions:
    enabled: true
  metrics:
    enabled: true
  auth:
    username: muser
    securePassword: true
    MLEKAR_STEIN
    MLEKAR_STEIN --- ---
    +1
    a sam si odpovim, ze se vzdy udela render jednotlivzch yamlu, takze se neda udelat "true postinstall" tedy ze by se to zpracovalalo az teprve kdyz je vsechno nainstalovane,
    proste ten lookup tam je a bude uz ve fazi renderovani, takze to musim udela jinak.
    MLEKAR_STEIN
    MLEKAR_STEIN --- ---
    +1
    mám helm chart. je to zapouzdřeni, které ma nainstalovat ctyři subcharty.
    instalace funguje, běha to.

    problém je, že
    v něm na zakladě jednoho secretu kde je vygenerovane heslo potrebuju udělat jinej secret, ve kterym bude i adresa serveru a pod.

    myslel jsemm, že bych to mohl udělat pomocí post-install/post-upgrade hooku. ve kterém pouziju lookup do secretu s heslem.
    post-upgrade funguje v pořádku

    post-install se chová tak, že mi helm.nic nenainstaluje, protože se na začátku snaží vyrobit ten secret ke kteremu dela lookup, ale podle dokumentace by měl post-install dělat až je to nainsralovaný, ale nechová se to tak

    a nevim jak z toho ven

    teda kromě toho, ze tam ručně předudělám jinej secret, ale to se nemusím dělat s helmem.
    MARTEN
    MARTEN --- ---
    +2
    SADY: TOhle se bojim, ze se samotnym dockerem nebude mit az tak moc spolecneho. Spis to bude jak bezi jednotlive service, komunikuji mezi sebou atd.
    Refuse predpokladam ze je z browseru. Pak je otazka ktery container se z browseru vola. A urcite bych tedy v browseru prekontroloval jak vypada response a co v ni je. Treba neco spadlo a CORS se neposlala.
    SADY
    SADY --- ---
    1 odpověď
    mam takovej problem co jsem obesel, ale presto

    mam orchestraci v docker-compose, kde bezi kontejnery proxy, mysql, php backend a nextjs/nuxtjs frontend

    v projektu s python djangem jako backendem a flutter frontem normalne funguje vsechno na interni docker siti pres "service_name":"port"

    ale ve vyse popsanem ty fronty proste hazou E_CONN_REFUSED, vim ze to neni CORS ani jiny zjevny problem, backend odpovi, proxy odpovi, nextjs/nuxtjs to zamitnou a ani axiom debug neporadi, z toho front kontejneru jde zavolat pres curl ta adresa 200 OK bez special headers, kdyby nahodou mel nekdo primou zkusenost... obesel jsem to pres host.docker.internal
    Kliknutím sem můžete změnit nastavení reklam