WOODMAKER: a skutecne je muze i menit? jinak na vice mistech jsem zahlednul, ze ta uzivatelska skupina je proste bezpecnostne ne uplne ok

WOODMAKER: RTFM: https://docs.docker.com/install/linux/linux-postinstall/

OMNISLASH: to, že může upravovat části hosting operačního systému, ke kterým normálně nemá oprávnění.

WOODMAKER: co je divneho na tom, ze uzivatel, ktery ma prava ovladat docker, ma pmoznost ovladat kontejnery?

WOODMAKER: zatím to chápu tak, že když dám uživatele do skupiny Docker je prostě díra, kterou mám najednou přístup ke všemu.

Ahoj, začal jsem se učit docker a narazil jsem na takovou zvláštní věc. Příjde mi celkem nebezpečné, že mohu udělat něco takového (a ještě horší věci):

docker run -v /etc/:/etc/ 30f8151551f4 cat /etc/shadow

Příjde mi úplně špatně, že jako normální uživatel takhle můžu měnit konfiguraci hosta. Dělám něco úplně blbě? Celé té věci nerozumím.

JINX: jinak dodavam jeste ze qubes jsem presne kvuli tomu testoval. je tam jako bezpecnostni princip definovano nekolik urovni/kontextu (barev) kde se data sdili ci naopak nesdili. navrch v desktopu je pak bezpecnost implementovana i na schrance kdyz kopirujes mezi kontexty.
pristup k siti je pak pomoci malyho virtualu s firewalem.
jako ten system je skvele vymyslenej ale je to proste porad beta stav.

JINX: hele qubes fakt ne. ten projekt je pomalej. sleduju ho uz od zacatku ale nejde nakonfugurovat tak jak bych chtel. spousta veci je na heslo nebo "not implemented yet" nebo netestovano... kdyz to pak odreportujes tak nic pripadne mail ze to preci neni testovano... cekal jsem 2 roky a za tu dobu se jen velmi malo posunul.
docker je presne to k cemu tohle slouzi - konfigurovatelnej chroot je presne ono. tim ze to ma koncept standardizovanych kontejneru to bude snazsi nekam nosit.

RAINBOF: nedavno jsem objevil https://www.manning.com/livevideo/docker-in-motion

... ale jeste jsem se k tomu samozrejme nedostal ;x

Tak to s Wine jsem teda prehlidl, sorry. Takze si raky nejsem moc jist zda to je ten pravy use case pro docker, zvlast kdyz si ty appky budou chtit nekam sahnout. Ve Windows existuje aplikace ktera se jmenuje Sandbox, na Linuxu nic takoveho neznam, napada me jen QubeOS, ktery jsem pochopil tak ze kazda aplikace jako napr. Firefox bezi v nejake oddelene virtualizaci - zde je to ale kvuli bezpecnosti, ne kvuli rozbijeni os kvuli instalaci ruzneho sw.

JINX: Tak v oficialni dokumentaci jsem se ztratil nepobral jsem z toho ten ekosystem nastroju takze mi to desne drhne. jsem na slepym bode proto takhle volam o pomoc :) YT videa jsem zkousel ale casto jsou to veci "how to make XYZ" a bud je to bez vysvetleni coz je na cocku protoze rad bych porozumel, nebo je to vysvetlovany vuci nejakymu kontextu problemu kterej autor resi.

RAINBOF: Co treba Pluralslight nebo alespon YT? Pripadne oficialni dokumentace? Obavam se ze v cestine toho moc nebude.

Potřeboval bych nějaký zdroj pro naučení se dockeru.
Ideálně česky ale anglicky bych to taky dal. je jedno zda text či video. Potřeboval bych něco co se zabývá i základy zdá se že mám mezery na každém kroku a tak bych si to potřeboval nějak povšechně doplnit.

Prvním větším cílem je spouštění některých programů v konťáku. Jako první bude Wine (mam 64bit systém a nehodlam si ho zašvihat 32bit architekturou a bordelem z Wine)

Následuje možná trošku naivní myšlenka, kdy bych si některé aplikace spouštěl v kontejnerech protože si je sám modifikuji a některé používají tak staré obsolete knihovny že jsem si je pro své účely vykuchal a spojil s aplikací. Tenhle krok by mi nikdy do upstreamu neprošel protože je to prasokód ale mě to takhle vyhovuje. Pro představu jsou to úpravy Pascal IDE, úpravy ve výstupu starého GDB, prehistorické GCC. Aktuálně to jedu ve virtuálu v debianu woody ale to mi velice nevyhovuje a rád bych to konsolidoval do něčeho udržitelnějšího.

kdyz si dam docker images
tak nejvetsi ma 500MB logy jsem kontroloval a nic zvlastniho, nejvetsi log mnel 15MB
ale je jasne videt ze ty dva adresare ktere jeste k tomu maji oznacene tmp maji kazdy po 20G.

ja sem to kontroloval, nejsou to logy ale je tam vice jakoby diff a merge containeru..... moc se v tom nevyznam , ale kdyz dam
sudo du -h /var/lib/docker/ |grep [0-9][0-9]G

tak mi to vypise tyto

20G /var/lib/docker/overlay2/cd29fdd129aad96eea8fa26f4b56010c98c36b9a1cd2fbe4e522115644fd1602/diff/tmp
20G /var/lib/docker/overlay2/cd29fdd129aad96eea8fa26f4b56010c98c36b9a1cd2fbe4e522115644fd1602/diff
20G /var/lib/docker/overlay2/cd29fdd129aad96eea8fa26f4b56010c98c36b9a1cd2fbe4e522115644fd1602/merged/tmp
21G /var/lib/docker/overlay2/cd29fdd129aad96eea8fa26f4b56010c98c36b9a1cd2fbe4e522115644fd1602/merged
41G /var/lib/docker/overlay2/cd29fdd129aad96eea8fa26f4b56010c98c36b9a1cd2fbe4e522115644fd1602
51G /var/lib/docker/overlay2
52G /var/lib/docker/


a ty dva soubory..? nejak sem nenasel jestli to muzu smaznout a nebo ne...?

zdravim, potrebuji poradit s nafukovanim dockeru... delam ve vyvojovim prostredi od firmy, je to asi 5 kontaineru dohromady. mysql, nginx a nejake firemne sluzby, cele se to ale strans nafukuje. kdyz to postavim tak to ma tak 1G cele, ale do vecera mi to naroste na 25GB. jako jo delam to ze to jednou za par dny cele zhodim a necham postavit znovu, ale neprisel sem na to co s tim, aby to takhle nebobtnalo. strycek G toho sice narikal hodne ale nic funkcniho sem nenasel. dik za rady

ADM: je to nějaká AWS versus K8s čudnost.. teď mi ta nette appka běží v pohodě, ale když se snažím do stejnýho namespace narvat nginx, AWS healthcheck selhávat..

jen podotku že z AWS access logu nedostaneš error co z dostane backed služby - takže se to debuguje pekelně..

imho se to z nějakýho důvodu ztrácí někde v Kubernetes, protože Host TCP SYNC dostane, ale už nikdy nedoputuje do kontejneru..