• úvod
  • témata
  • události
  • tržiště
  • diskuze
  • nástěnka
  • přihlásit
    registrace
    ztracené heslo?
    ALMADDocker a kontejnery
    Docker aneb přístupný provoz kontejnerizovaných aplikací
    Docker(Hub), Compose, Swarm, boot2docker, DevOps, LXC, ECS, TumTum a jiné buzzwordy
    Bezpečnost v prostředí kontejnerů
    Related: automatizace [ Centralizovaná správa stanic a ostatních prvků v síti konfigurace/inventarizace/instalace/aktualizace/zalohovani ]
    rozbalit záhlaví
    OMNISLASH
    OMNISLASH --- ---
    WOODMAKER: a skutecne je muze i menit? jinak na vice mistech jsem zahlednul, ze ta uzivatelska skupina je proste bezpecnostne ne uplne ok
    WOODMAKER
    WOODMAKER --- ---
    OMNISLASH: to, že může upravovat části hosting operačního systému, ke kterým normálně nemá oprávnění.
    OMNISLASH
    OMNISLASH --- ---
    WOODMAKER: co je divneho na tom, ze uzivatel, ktery ma prava ovladat docker, ma pmoznost ovladat kontejnery?
    WOODMAKER
    WOODMAKER --- ---
    WOODMAKER: zatím to chápu tak, že když dám uživatele do skupiny Docker je prostě díra, kterou mám najednou přístup ke všemu.
    WOODMAKER
    WOODMAKER --- ---
    Ahoj, začal jsem se učit docker a narazil jsem na takovou zvláštní věc. Příjde mi celkem nebezpečné, že mohu udělat něco takového (a ještě horší věci):
    docker run -v /etc/:/etc/ 30f8151551f4 cat /etc/shadow

    Příjde mi úplně špatně, že jako normální uživatel takhle můžu měnit konfiguraci hosta. Dělám něco úplně blbě? Celé té věci nerozumím.
    MUXX
    MUXX --- ---
    kdo ma malo cteni tak dneska je zdarma

    Mastering Docker - Second Edition
    Russ McKendrick, Scott Gallagher
    Free Learning - Free Programming eBooks from Packt
    https://www.packtpub.com//packt/offers/free-learning
    RAINBOF
    RAINBOF --- ---
    JINX: jinak dodavam jeste ze qubes jsem presne kvuli tomu testoval. je tam jako bezpecnostni princip definovano nekolik urovni/kontextu (barev) kde se data sdili ci naopak nesdili. navrch v desktopu je pak bezpecnost implementovana i na schrance kdyz kopirujes mezi kontexty.
    pristup k siti je pak pomoci malyho virtualu s firewalem.
    jako ten system je skvele vymyslenej ale je to proste porad beta stav.
    RAINBOF
    RAINBOF --- ---
    JINX: hele qubes fakt ne. ten projekt je pomalej. sleduju ho uz od zacatku ale nejde nakonfugurovat tak jak bych chtel. spousta veci je na heslo nebo "not implemented yet" nebo netestovano... kdyz to pak odreportujes tak nic pripadne mail ze to preci neni testovano... cekal jsem 2 roky a za tu dobu se jen velmi malo posunul.
    docker je presne to k cemu tohle slouzi - konfigurovatelnej chroot je presne ono. tim ze to ma koncept standardizovanych kontejneru to bude snazsi nekam nosit.
    ARXIE
    ARXIE --- ---
    RAINBOF: nedavno jsem objevil https://www.manning.com/livevideo/docker-in-motion

    ... ale jeste jsem se k tomu samozrejme nedostal ;x
    JINX
    JINX --- ---
    Tak to s Wine jsem teda prehlidl, sorry. Takze si raky nejsem moc jist zda to je ten pravy use case pro docker, zvlast kdyz si ty appky budou chtit nekam sahnout. Ve Windows existuje aplikace ktera se jmenuje Sandbox, na Linuxu nic takoveho neznam, napada me jen QubeOS, ktery jsem pochopil tak ze kazda aplikace jako napr. Firefox bezi v nejake oddelene virtualizaci - zde je to ale kvuli bezpecnosti, ne kvuli rozbijeni os kvuli instalaci ruzneho sw.
    SUK
    SUK --- ---
    Nebude problem. I Xkovy veci bezi v pohode, jen je potreba protunelovat socket.
    MARTEN
    MARTEN --- ---
    RAINBOF: mozna se pletu, ale zrovna wine v dockeru asi nebude to prave. problem tam vidim v tom, ze budes muset pristupovat pres vnc. treba to pujde obejit, ale nikdy jsem nic takoveho nepotreboval. uprimne jsem nikdy nespoustel bic co by melo graficky vystup a pokud ano, vzdy jsem videl moznost jen pripojeni pres vnc, nebo nejakou alternativu.
    JINX
    JINX --- ---
    RAINBOF: Ok, chapu problem s dokumentaci. Co treba knizky od Oreilly apod? Kazdopadne ted Pluralslight by mel mit videa kde se to probira vic obecne...
    RAINBOF
    RAINBOF --- ---
    JINX: Tak v oficialni dokumentaci jsem se ztratil nepobral jsem z toho ten ekosystem nastroju takze mi to desne drhne. jsem na slepym bode proto takhle volam o pomoc :) YT videa jsem zkousel ale casto jsou to veci "how to make XYZ" a bud je to bez vysvetleni coz je na cocku protoze rad bych porozumel, nebo je to vysvetlovany vuci nejakymu kontextu problemu kterej autor resi.
    JINX
    JINX --- ---
    RAINBOF: Co treba Pluralslight nebo alespon YT? Pripadne oficialni dokumentace? Obavam se ze v cestine toho moc nebude.
    RAINBOF
    RAINBOF --- ---
    Potřeboval bych nějaký zdroj pro naučení se dockeru.
    Ideálně česky ale anglicky bych to taky dal. je jedno zda text či video. Potřeboval bych něco co se zabývá i základy zdá se že mám mezery na každém kroku a tak bych si to potřeboval nějak povšechně doplnit.

    Prvním větším cílem je spouštění některých programů v konťáku. Jako první bude Wine (mam 64bit systém a nehodlam si ho zašvihat 32bit architekturou a bordelem z Wine)

    Následuje možná trošku naivní myšlenka, kdy bych si některé aplikace spouštěl v kontejnerech protože si je sám modifikuji a některé používají tak staré obsolete knihovny že jsem si je pro své účely vykuchal a spojil s aplikací. Tenhle krok by mi nikdy do upstreamu neprošel protože je to prasokód ale mě to takhle vyhovuje. Pro představu jsou to úpravy Pascal IDE, úpravy ve výstupu starého GDB, prehistorické GCC. Aktuálně to jedu ve virtuálu v debianu woody ale to mi velice nevyhovuje a rád bych to konsolidoval do něčeho udržitelnějšího.
    DRUDRIGER2
    DRUDRIGER2 --- ---
    kdyz si dam docker images
    tak nejvetsi ma 500MB logy jsem kontroloval a nic zvlastniho, nejvetsi log mnel 15MB
    ale je jasne videt ze ty dva adresare ktere jeste k tomu maji oznacene tmp maji kazdy po 20G.
    DRUDRIGER2
    DRUDRIGER2 --- ---
    ja sem to kontroloval, nejsou to logy ale je tam vice jakoby diff a merge containeru..... moc se v tom nevyznam , ale kdyz dam
    sudo du -h /var/lib/docker/ |grep [0-9][0-9]G

    tak mi to vypise tyto

    20G /var/lib/docker/overlay2/cd29fdd129aad96eea8fa26f4b56010c98c36b9a1cd2fbe4e522115644fd1602/diff/tmp
    20G /var/lib/docker/overlay2/cd29fdd129aad96eea8fa26f4b56010c98c36b9a1cd2fbe4e522115644fd1602/diff
    20G /var/lib/docker/overlay2/cd29fdd129aad96eea8fa26f4b56010c98c36b9a1cd2fbe4e522115644fd1602/merged/tmp
    21G /var/lib/docker/overlay2/cd29fdd129aad96eea8fa26f4b56010c98c36b9a1cd2fbe4e522115644fd1602/merged
    41G /var/lib/docker/overlay2/cd29fdd129aad96eea8fa26f4b56010c98c36b9a1cd2fbe4e522115644fd1602
    51G /var/lib/docker/overlay2
    52G /var/lib/docker/


    a ty dva soubory..? nejak sem nenasel jestli to muzu smaznout a nebo ne...?


    RUDOLF
    RUDOLF --- ---
    DRUDRIGER2: Nerostou ti logy? Kdyby hej, buď omez velikost logů parametrem pro danej kontejner nebo je směruj do syslogu a rotuj. Většinou se dívám do /var/lib/docker - tam je divět co ti vlastně tak roste.
    DRUDRIGER2
    DRUDRIGER2 --- ---
    zdravim, potrebuji poradit s nafukovanim dockeru... delam ve vyvojovim prostredi od firmy, je to asi 5 kontaineru dohromady. mysql, nginx a nejake firemne sluzby, cele se to ale strans nafukuje. kdyz to postavim tak to ma tak 1G cele, ale do vecera mi to naroste na 25GB. jako jo delam to ze to jednou za par dny cele zhodim a necham postavit znovu, ale neprisel sem na to co s tim, aby to takhle nebobtnalo. strycek G toho sice narikal hodne ale nic funkcniho sem nenasel. dik za rady
    RUDOLF
    RUDOLF --- ---
    ADM: je to nějaká AWS versus K8s čudnost.. teď mi ta nette appka běží v pohodě, ale když se snažím do stejnýho namespace narvat nginx, AWS healthcheck selhávat..

    jen podotku že z AWS access logu nedostaneš error co z dostane backed služby - takže se to debuguje pekelně..

    imho se to z nějakýho důvodu ztrácí někde v Kubernetes, protože Host TCP SYNC dostane, ale už nikdy nedoputuje do kontejneru..
    Kliknutím sem můžete změnit nastavení reklam