URPUTNIK: a poustite kdyz ovladate docker demona, delate to pres /etc/init.d nebo pres service? asi bych mel pouzivat service, se zda ..

URPUTNIK: a navic je od te doby celej system podivne nakopnutej, patrne operace se souborym systemem, pac napriklad zamrzava ten filewatcher pro ideu a blokuje jeji spusteni

nakonec jsem to musel cely vypnout natrvdo a pritom jsem se jeste dostal k necemu, co jsem predtim v lozich nenasel, to je podle mne z toho padu toho mysql ..

pritom je divny, ze na zacatku minuleho tydne mi ten docker normalne behal, vcetne databaze .. a samozrejme si nejsem vedom niceho, co by se od te doby zmenilo :( nejake obvykle issues na debianu?

URPUTNIK: chm, tak to mysql dneska spadlo hned po startu .. stopnuti docker service proslo, zustal akorat ten docker-containerd-shim, killnul jsem ho .. so far good .. ale ted mi nefunguje nove 'sudo /etc/init.d/docker start', uz to startuje vic jak 20min a je to stale v tomhle stavu:

root     22375  0.0  0.0  53296  3684 pts/0    S+   10:37   0:00 sudo /etc/init.d/docker start
root     22376  0.0  0.0   4336  1552 pts/0    S+   10:37   0:00 /bin/sh /etc/init.d/docker start
root     22383  0.0  0.0  22604  2568 pts/0    S+   10:37   0:00 /bin/systemctl start docker.service
root     22386  0.0  0.1 488432 30148 ?        Ssl  10:37   0:00 /usr/bin/dockerd -H fd://
root     22392  0.0  0.0 348940 10840 ?        Ssl  10:37   0:00 docker-containerd -l unix:///var/run/docker/libcontainerd/docker-containerd.sock --shim docker-containerd-shim --metrics-interval=0 --start-timeout 2m --state-dir /var/run/docker/libcontainerd/containerd --runtime docker-runc
root     22416  0.0  0.0   4220  1240 ?        D    10:38   0:00 auplink /var/lib/docker/aufs/mnt/013c4159a549d19ce422594143a77fe0d15e8707ec46e9def418ed3856d42a1c flush

napad co jsem mel jeste vypnout/sestrelit/smazat? jestli je to stejne jako vcera, zpravidla koncim fyzickym vypnutim stroje, pac se mi nechce vypnout ani system :(

v 'var/log/daemon.log' je z vypnuti tohle:

Aug 23 10:25:21 no-swi-sc-0135 dockerd[779]: time="2016-08-23T10:25:21.042916378+02:00" level=error msg="containerd: notify OOM events" error="cgroup path for memory not found"
Aug 23 10:34:57 no-swi-sc-0135 dockerd[779]: time="2016-08-23T10:34:57.213134087+02:00" level=info msg="Container ae0b58d8ad5bc02f73fe97e1ab32ee7471200a3cb9a65c2f844aee98b67bc071 failed to exit within 10 seconds of signal 15 - using the f
Aug 23 10:35:17 no-swi-sc-0135 dockerd[779]: time="2016-08-23T10:35:17.640411912+02:00" level=info msg="Container b6d11f752f3f failed to exit within 10 seconds of kill - trying direct SIGKILL"
Aug 23 10:36:32 no-swi-sc-0135 dockerd[779]: time="2016-08-23T10:36:32.113225517+02:00" level=info msg="Processing signal 'terminated'"
Aug 23 10:36:42 no-swi-sc-0135 dockerd[779]: time="2016-08-23T10:36:42.114555508+02:00" level=info msg="Container b6d11f752f3fff571f069e63e6758d473bf81fdc82ec1a7337b5d9ffff4cae24 failed to exit within 10 seconds of signal 15 - using the force"
Aug 23 10:36:47 no-swi-sc-0135 dockerd[779]: time="2016-08-23T10:36:47.113666797+02:00" level=error msg="Force shutdown daemon"
Aug 23 10:36:47 no-swi-sc-0135 dockerd[779]: time="2016-08-23T10:36:47.114128243+02:00" level=info msg="stopping containerd after receiving terminated"
Aug 23 10:36:48 no-swi-sc-0135 dockerd[779]: time="2016-08-23T10:36:48.005482221+02:00" level=error msg="collecting stats for b6d11f752f3fff571f069e63e6758d473bf81fdc82ec1a7337b5d9ffff4cae24: rpc error: code = 2 desc = grpc: the client connection is closing"

a novy pusteni

Aug 23 10:37:50 no-swi-sc-0135 dockerd[22386]: time="2016-08-23T10:37:50.151648747+02:00" level=info msg="libcontainerd: new containerd process, pid: 22392"
Aug 23 10:37:50 no-swi-sc-0135 dockerd[22386]: time="2016-08-23T10:37:50.170847933+02:00" level=error msg="containerd: notify OOM events" error="cgroup path for memory not found"
Aug 23 10:37:51 no-swi-sc-0135 dockerd[22386]: time="2016-08-23T10:37:51.156712215+02:00" level=info msg="[graphdriver] using prior storage driver \"aufs\""
Aug 23 10:37:51 no-swi-sc-0135 dockerd[22386]: time="2016-08-23T10:37:51.184606710+02:00" level=info msg="Graph migration to content-addressability took 0.00 seconds"
Aug 23 10:37:51 no-swi-sc-0135 dockerd[22386]: time="2016-08-23T10:37:51.184811556+02:00" level=warning msg="Your kernel does not support cgroup memory limit"
Aug 23 10:37:51 no-swi-sc-0135 dockerd[22386]: time="2016-08-23T10:37:51.184849131+02:00" level=warning msg="Your kernel does not support cgroup cfs period"
Aug 23 10:37:51 no-swi-sc-0135 dockerd[22386]: time="2016-08-23T10:37:51.184867080+02:00" level=warning msg="Your kernel does not support cgroup cfs quotas"
Aug 23 10:37:51 no-swi-sc-0135 dockerd[22386]: time="2016-08-23T10:37:51.184976453+02:00" level=warning msg="mountpoint for pids not found"
Aug 23 10:37:51 no-swi-sc-0135 dockerd[22386]: time="2016-08-23T10:37:51.185467441+02:00" level=info msg="Loading containers: start."
(END)

zdravim, s dockerem zacinam a jsem jenom vyvojar, takze mozna to ze mne budete muset trosku lamat :[

kazdopadne v mem prostredi (debian 8) mi zamrzava kontejner s mariadb, prestane komunikovat, nezere pamet, ale neda se vypnout ..
- docker-compose stop timeoutuje
-docker stop/rm -f trva nekonecne dlouho
- v kontejneru je akorat defunct mysqld
- pstree:

        ├─dockerd─┬─docker-containe─┬─docker-containe─┬─run.sh───mysqld─┬─mysqld
        │         │                 │                 │                 └─{mysqld}
        │         │                 │                 └─9*[{docker-containe}]
        │         │                 └─15*[{docker-containe}]
        │         ├─docker-proxy───4*[{docker-proxy}]
        │         └─20*[{dockerd}]

- v ps vidim i ty zamrzly mysqld, i ten docker:

999       8837  0.0  0.0      0     0 ?        Zl   09:54   0:00 [mysqld] <defunct>
999      11732  0.0  0.0      0     0 ?        Z    10:12   0:00 [mysqld] <defunct>
root       795  0.0  0.2 991556 46780 ?        Ssl  Aug19   1:50 /usr/bin/dockerd -H fd://
root       851  0.0  0.0 606348 11672 ?        Ssl  Aug19   0:11 docker-containerd -l unix:///var/run/docker/libcontainerd/docker-containerd.sock --shim docker-containerd-shim --metrics-interval=0 --start-timeout 2m --state-dir /var/run/docker/libcontainerd/containerd --runtime docker-runc
snek      8535  0.0  0.0   9648  2536 pts/1    S+   09:54   0:00 docker-compose up
snek      8536  0.3  0.1 616344 25312 pts/1    Sl+  09:54   0:24 docker-compose up
root      8633  0.0  0.0  43492  3592 ?        Sl   09:54   0:00 /usr/bin/docker-proxy -proto tcp -host-ip 0.0.0.0 -host-port 3306 -container-ip 172.17.0.2 -container-port 3306
root      8725  0.0  0.0 349360  3744 ?        Sl   09:54   0:00 docker-containerd-shim 4f6a7e3620c34035883ea9c016690d336bc2686e6fc9186bc070ee09f6bb4b0b /var/run/docker/libcontainerd/4f6a7e3620c34035883ea9c016690d336bc2686e6fc9186bc070ee09f6bb4b0b docker-runc

- /etc/init.d/docker stop vypne docker, ale ten docker-containerd-shim tam zustane, takze ho musim zabit jeste solo s -9
- ve vystupu z dockere compose to konci nejakyma deadlockama z mariadb

takze muj obecny dotaz, tusite o nejakych 'well known' issues s mariadb na 64bit debianu? nejak nic nemuzu vygooglit .. pripadne kudy mam pokracovat v patrani? zjistit co za image to pouziva? ten clovek co to tu nastavoval jede navic na widlich, mel s tim taky problemy nez presel z virtualboxu na vmware

ADM: ahoj, toho sdb2 se nelekej... na EL7 a novejsich distrech uz jsou vypisy prikazu mount o dost mene primejsi a v zakladu rikaji jen device z ktereho je podslozka nebo soubor mountbindnuty.

DANIELSOFT: tak pokud to neni nikde zdokumentovany ktery klic pouziva a neda se mu predat parametrem nebo konfiguraci, tak pouziva defaultne nejaky konkretni nazev souboru s klicem, to zjistis tak ze jej spustis pod strace

ahoj! sháním teď nějaké informace ohledně zabezpečení Kubernetes clusteru (orchestrace Docker kontejnerů)

v /srv/kubernetes se po puštění bundlovaného skriptu make-ca-cert.sh vytvořily certifikáty a páry klíčů a metodou pokus/omyl jsem zjistil, který klíč použít pro "kubectl", aby se napojilo na apiserver: a zrovna tento klíč (kubecfg.key) je sice v tom adresáři /srv/kubernetes, ale nepředávám ho jako commandline parametr žádné z komponent Kubernetu při spuštění

je to tedy tak, že Kubernetes bere všechny klíče, které jsou v tom adresáři? nebo jde jen o to, že byl podepsán "správnou" CA, tedy tou CA, která je v souboru ca.crt, který předávám parametrem? dokumentace na netu je příliš stručná a z googlení nejsem moudrý :(

moc jsem se SSL ještě nepracoval, tak je to pro mě celkem nové, taky svět Dockeru a Kubernetu objevuju teprve od tohoto května...

Jinak Docker na Macu teda moc neuvolnuje misto, coz je pro nas s mensima diskama trochu otravny. Je potreba krom smazani images i "factory reset"

Docker doesn't release disk space used by `~/Library/Containers/com.docker.docker/` · Issue #23437 · docker/docker · GitHub
https://github.com/docker/docker/issues/23437

Jsem si teď konečně začal číst něco o VSphere a čím víc jsem se začítal, tím víc mi na mysl lezl docker.

Máte někdo praktický zkušenosti s dockerem na bare metal? Blade s dvěma socketama a 200+ GB RAM, původně jako ESX host. Má si člověk na něco dát pozor nebo je to no-brainer s člověk si prostě vybere distro / CoreOS etc. a nahodí ~ 25 kontejnerů (8 GB RAM na potřeby appky).

Druhá věc, jak zvládaj kubernetes/mesos/swarm fail-over kontejnerů či sama sebe na jinej host? Mám data cluster managementu udržovat někde sdíleně na SANce nebo to ta druhá instance zvládne se svým úložištěm?

RUDOLF: tak to bylo Safari;-)

ADM: vsechny data, ktery do dockeru potrebujes dostat z venku, musis primountovat. Sam docker treba nastavuje prave hostname, takze do tveho kontejneru mountne nejaky svoje hostname, kde je docker ID toho beziciho kontejneru. Tim se vlastne prepise ten soubor co mas uvnitr tim z venku, a system vidi jen ten venkovni. S pristupovymi pravy a/nebo read-only ochranou to nema nic spolecneho, krome toho ze nektery z volumes (mountu) muzes primountovat jako read-only.

ALMAD: s dockerem teprve zacinam a jsem ve fazi zkoumani, zatim jsem se dostal k tomu ze si vytvorim minimalni OS image, tu spustim pres run, doinstaluji a nakonfiguruji aplikaci a az jsem spokojenej commitnu z toho dalsi image (a snazim se to zautomatizovat). takze tohle je stav jak to vypada kdyz spustim kontejner pres run, ale s temihle soubory uz to asi chapu, jen me zarazil ten zpusob jakym je to dovnitr mapovany pres mount

ADM: Je to jenom kontejner, nebo kontejner launchnutej pres compose?

aha tak podle /proc/mounts se to tyka jeste /etc/resolv.conf a /etc/hostname a vsechny je mozno editovat. podle filesystemu (btrfs) to ukazuje na podle stejny subvolume id na subvolume kde mam docker data, takze je to asi nejaky interni mapovani zevnitr kontejneru na konfiguracni soubor ktery se drzi vne kontejneru

to je standardni chovani ten /etc/hosts? chapu ze je to asi aby se zajistilo ze je readonly, ale proc zrovna /dev/sdb2? v ty image nemam zadny fstab

myhost # docker run -i -t test-image /bin/bash
560fe7e1b8d3 / # df -h
Filesystem                                                                                    Size  Used Avail Use% Mounted on
/dev/mapper/docker-0:46-268-3e6c0dbd1f1e56164655cfd50dd6b2c3af075202f99fe4d1487c92c16d4bb54b  9.8G  888M  8.4G  10% /
tmpfs                                                                                         3.9G     0  3.9G   0% /dev
tmpfs                                                                                         3.9G     0  3.9G   0% /sys/fs/cgroup
/dev/sdb2                                                                                     902G  778G  120G  87% /etc/hosts
shm                                                                                            64M     0   64M   0% /dev/shm

ALMAD: kolega v praci uz taky machruje ze dostal a ja furt susim hubu :]

DARK_SAVANT: ...a experimentalne jsme zjistili, ze jde nainstalovat na max 5 stroju.

Taktez, nevypozorovali jsme zadny pattern v tom, jak se distribuujou klice (neni to first-come-first-served, zatim to nejvic vypada ze podle zemi...ale who knows).

DARK_SAVANT: Ten dmg sice mozna jo, ale potrebujes beta klic, co je per person...

ALMAD: uz jsem se prihlasil ale nic :-/ fakt to neni dmg, ktery se da nejak sirit?

DARK_SAVANT: Obavam se, ze ne, ale IMHO by te meli vybrat rozumne rychle, pokud se prihlasis.

ALMAD: to chci taky! nemuzes nejak nasdilet?