• úvod
  • témata
  • události
  • tržiště
  • diskuze
  • nástěnka
  • přihlásit
    registrace
    ztracené heslo?
    ALMADDocker a kontejnery
    Docker aneb přístupný provoz kontejnerizovaných aplikací
    Docker(Hub), Compose, Swarm, boot2docker, DevOps, LXC, ECS, TumTum a jiné buzzwordy
    Bezpečnost v prostředí kontejnerů
    Related: automatizace [ Centralizovaná správa stanic a ostatních prvků v síti konfigurace/inventarizace/instalace/aktualizace/zalohovani ]
    rozbalit záhlaví
    INDIAN
    INDIAN --- ---
    DANIELSOFT: myslimze /etc/hosts je generovanej pri volani "build", takze to chovani je logicky a ten update neprobehne (nedavno sem resil podobnej problem).
    mas 3 moznosti:
    - parametr "--add-hosts" https://docs.docker.com/engine/reference/run/#network-settings
    - pokud boostrap probiha pres docker-compose, tak lze prodat sekci "extra_hosts" https://docs.docker.com/compose/compose-file/#extra-hosts
    - anebo to nacpat do /etc/hosts "rucne" do skriptu volanym jako ENTRYPOINT
    DANIELSOFT
    DANIELSOFT --- ---
    DANIELSOFT: zkoušel jsem ještě v Dockerfile editovat /etc/hosts, který je uvnitř image, ale změna se neprojeví
    DANIELSOFT
    DANIELSOFT --- ---
    Ahoj, mám problém: potřebuju, aby se proces, který je dockerizovaný, připojil na stroj, jehož jméno je na hostitelském stroji v /etc/hosts - Docker však z mě neznámého důvodu /etc/hosts ignoruje

    (což jsem zjistil tak, že na hostitelském stroji ten stroj pingnu, ale vevnitř běžícího kontejneru už ne)

    jak to řešit? dík
    SPIKE411
    SPIKE411 --- ---
    Humble Book Bundle: DevOps by O'Reilly (pay what you want and help charity)
    https://www.humblebundle.com/books/dev-ops-oreilly

    Já si musím vzít rok volno, abych taky něco z těch všech bundlů přečetl (a zahrál). :)
    RAINBOF
    RAINBOF --- ---
    HVJ3R: zkousel jsem posledni buildy. vlastne bych byl rad za jakykoliv do pulroku stari.
    HVJ3R
    HVJ3R --- ---
    RAINBOF: No, to bys musel trochu rozvest. Verze, buildfile apod. Ted ti muzu jen odpovedet, "nam to funguje". FF 34.0.5
    RAINBOF
    RAINBOF --- ---
    HVJ3R: no zatim se mi to nepovedlo. to je cely.. ff tam dam ale jak do nej otocim flash soubory zacne to chcipat.
    HVJ3R
    HVJ3R --- ---
    RAINBOF: Jo. Obe v prastarych (tedy deravych) verzich. Co presne ti nejde?
    RAINBOF
    RAINBOF --- ---
    pouzivate nekdo firefox s flashem v dockeru ? zaboha mi to spolu nechce jit.
    MARTEN
    MARTEN --- ---
    Resim tady jiz druhy den pro mne mensi orisek. Na serveru mi bezi traefik, vsechny sluzby se do nej automaticky pridavaji pres label a jsou tak ve stejne siti, pokud to potrebuji. Mam ted jeden projekt, ktery pro nektere api potrebuje byt ve vpn daneho zdroje. Moje predstava byla ke kazdemu takovemu projektu dat do docker compose dperson/openvpn-client ktery se pripoji do vpn a muze sdilet toto pripojeni. Bohuzel sit bere pres network_mode ktery nelze kombinovat s networks. Tim padem nemuzu container dat i do traefik. Zkousel jsem pridat i reverse proxy pres nxing, ale to se take nedostane do spravne site. Primo treba do python containeru sem nechtel instalovat openvpn, protoze bych pak musel resit nekolik contaneru a bylo by to slozite na udrzeni.
    Neresil jste to nekdo?
    ADM
    ADM --- ---
    WOODMAKER: napr. na centosu je tohle by default selinuxovany, tam si z kontejneru sahnes maximalne tak do /var/lib
    WOODMAKER
    WOODMAKER --- ---
    WOODMAKER
    WOODMAKER --- ---
    SATAI: Jo, já to teď celý procházím a snažím se to celý pochopit. Dík za další link.
    OMNISLASH
    OMNISLASH --- ---
    WOODMAKER: a skutecne je muze i menit? jinak na vice mistech jsem zahlednul, ze ta uzivatelska skupina je proste bezpecnostne ne uplne ok
    WOODMAKER
    WOODMAKER --- ---
    OMNISLASH: to, že může upravovat části hosting operačního systému, ke kterým normálně nemá oprávnění.
    OMNISLASH
    OMNISLASH --- ---
    WOODMAKER: co je divneho na tom, ze uzivatel, ktery ma prava ovladat docker, ma pmoznost ovladat kontejnery?
    WOODMAKER
    WOODMAKER --- ---
    WOODMAKER: zatím to chápu tak, že když dám uživatele do skupiny Docker je prostě díra, kterou mám najednou přístup ke všemu.
    WOODMAKER
    WOODMAKER --- ---
    Ahoj, začal jsem se učit docker a narazil jsem na takovou zvláštní věc. Příjde mi celkem nebezpečné, že mohu udělat něco takového (a ještě horší věci):
    docker run -v /etc/:/etc/ 30f8151551f4 cat /etc/shadow

    Příjde mi úplně špatně, že jako normální uživatel takhle můžu měnit konfiguraci hosta. Dělám něco úplně blbě? Celé té věci nerozumím.
    MUXX
    MUXX --- ---
    kdo ma malo cteni tak dneska je zdarma

    Mastering Docker - Second Edition
    Russ McKendrick, Scott Gallagher
    Free Learning - Free Programming eBooks from Packt
    https://www.packtpub.com//packt/offers/free-learning
    RAINBOF
    RAINBOF --- ---
    JINX: jinak dodavam jeste ze qubes jsem presne kvuli tomu testoval. je tam jako bezpecnostni princip definovano nekolik urovni/kontextu (barev) kde se data sdili ci naopak nesdili. navrch v desktopu je pak bezpecnost implementovana i na schrance kdyz kopirujes mezi kontexty.
    pristup k siti je pak pomoci malyho virtualu s firewalem.
    jako ten system je skvele vymyslenej ale je to proste porad beta stav.
    Kliknutím sem můžete změnit nastavení reklam