• úvod
  • témata
  • události
  • tržiště
  • diskuze
  • nástěnka
  • přihlásit
    registrace
    ztracené heslo?
    ALMADDocker a kontejnery
    Docker aneb přístupný provoz kontejnerizovaných aplikací
    Docker(Hub), Compose, Swarm, boot2docker, DevOps, LXC, ECS, TumTum a jiné buzzwordy
    Bezpečnost v prostředí kontejnerů
    Related: automatizace [ Centralizovaná správa stanic a ostatních prvků v síti konfigurace/inventarizace/instalace/aktualizace/zalohovani ]
    rozbalit záhlaví
    ADM
    ADM --- ---
    URPUTNIK: docker-registry-url/namespace/image:tag tak ten namespace se pouziva u nekterych docker-registry jako forma autorizace (namespace tedy spis jako projekt), ale nexus to prave neumi, ten umi udelat vice 'hosted' registry jen na ruznych portech (coz asi pujde nejak skryt za loadbalancerem) ale kazdy projekt ma tedy jiny push url, a aby to jeste vic zamotali tak jde nad tim udelat jednotny pull docker 'group' registry (ktery zaroven jeste muze byt proxy dockerhubu). nikde jsem to nevidel poradne vysvetleny ale docker registry pry nic jako cestu/namespacy neumi (docker login nedelas na url ale na hosta) to delaji ty frontendy nad tim (treba docker-regisry v kubernetes to prave mapuje na namespacy).
    DEFILA
    DEFILA --- ---
    URPUTNIK:
    ono na contejneny nemusis mit docker, isolovat muzes ruznymi zpusoby - treba na urovni cgroup ... nebo zminenych namespacu. Docker drepi nad tim, dodava tomu hezke pozlatko a velky go-runtime :) -> v tomhle ohledu mi aktualne prijde hezci podman (nema ten go-runtime) ale jeste jsem si neudelal definitivni nazor
    URPUTNIK
    URPUTNIK --- ---
    URPUTNIK: kazdopadne to teda znamena, ze pro praci s privatni repo bude ta repo vzdycky soucasti cesty :/ mozna bych se dal provest nejaky MitM dns 'workaround', ale uz jsem si to sam zamitnul :)
    DEFILA: prijde mi, ze miris nekam do vnitrnosti dockeru, kam moje knowhow nesaha .. rozhodne ne takhle v noci :)
    DEFILA
    DEFILA --- ---
    URPUTNIK:
    ale vsak pojem namespace je spravny, kernel netusi co je to container - pouziva namespace(s) :)
    URPUTNIK
    URPUTNIK --- ---
    MARTEN: aha, jasny .. popravde ted nevim, z jakyho clanku to 'namespace' mam, myslel jsem ze to nadepisuje 'docker image(s)' pro sloupec, ale je tam jenom 'repository', co je pro mne teda taky zavadejici, ale to uz vem cert :)
    MARTEN
    MARTEN --- ---
    URPUTNIK: zalezi cemu rikas namespace. jestli tomu pred lomitkem, tak je to jen cesta. nginx, tedy bez casti pred lomitkem resolvuje docker agent jako hub.docker.com (tedy vse bez domeny) a pokud neni "namespace" tak pouzije podtrzitko.
    pokud mas vlastni hostovani imagu, tak pises celou cestu (pokud nezmenis defaultni) a tam adresaru muzes mit kolik chces.
    docker.domena.com/aaa/bbb/ccc/ddd:latest
    to ze nadocker hub je jen jeden je jen jejich nastaveni UI, ze nepovoli vic. definovane je v tagu kdyz vytvaris image

    docker build -t myname/image:latest
    docker push myname/image:latest

    v takovem pripade musis byt prihlasen k dane namespace na docker hub

    docker login
    URPUTNIK
    URPUTNIK --- ---
    URPUTNIK: ah, staci spravne zformulovat otazku .. tak "b" to jde pres docker CLI manifest, i do privatni repo .. kazdopadne tam teda namespace neni :/
    URPUTNIK
    URPUTNIK --- ---
    tak prece jen dotazy

    a) kde je receno, jaky namespace ma dany image? v manifestu? a z druhe stranu? kdyz klient stahuje image? aka neni mi jasne, proc nekdy fungujou 'zkraceny url' (aka 'docker pull nginx', pritom by to melo byt 'docker pull library/nginx' :/ mozna je to nejakej legacy resolving pro starsi verze?
    b) do se nejak do nexusu3 dostat custom image manifest? mozna pres API ..
    KING
    KING --- ---
    TRAGIKOMIX: Veros Kaplan myslim skoli Ansible a rozhodne bych ho doporucil - https://veroskaplan.cz/
    TRAGIKOMIX
    TRAGIKOMIX --- ---
    Zdravim, nedoporucil byste nekdo nejakou firmu/cloveka co skoli Docker/Kubernetes pripadne Ansible/Puppet?
    URPUTNIK
    URPUTNIK --- ---
    ADM: jojo, nechal jsem se zlakat moznosti nastavovat connectory :) proxy defakto vystavuje 443 (pro gui nexusu) a 2 porty pro docker repa (pro pull a pro push), samotny nexus posloucha normalne na 8081
    MUXX:mame tam nejaky ofiko of thawte, takze v pohode
    MUXX
    MUXX --- ---
    URPUTNIK: Jaky tam mas certifikat? Selfsigned nebo nejaky verejny/poradny? Ja to zkousel se selfsigned ale nakonec jsem to vzdal
    ADM
    ADM --- ---
    URPUTNIK: zrovna vcera jsem to delal, ale na tom jinym portu to byt prece musi, nebo ne? na proxy mam jen https offload a forward na ten docker registry na portu 8082, na 8081 je standardni nexus. je to teda docker 'hosted' registry (privatni) ne ten 'global' (proxy)
    URPUTNIK
    URPUTNIK --- ---
    URPUTNIK: ah, tak nakonec nastaveno .. nakonec to byl ten nejdefaultnejsi scenar, nechal jsem se zlakat moznosti nastavit http/s connector :)
    URPUTNIK
    URPUTNIK --- ---
    nastavovali jste docker repository do nexusu? jestli chapu oficialni napovedu spravne, tak proxy bude ven vystavovat 2 porty (pro pull a pro push), ktera bude pak forwardovat na nexus na http:8081 .. proc se pak ma ale nastavovat connector pro http/https pro repozitory? kdyz to na nexus bude forwardovany na 8081 :/
    MUXX
    MUXX --- ---
    Free eBook: Containerize Your Apps with Docker and Kubernetes @ Microsoft - OzBargain
    https://www.ozbargain.com.au/node/435550

    DirectLink: https://azure.microsoft.com/...-and-kubernetes/Containerize_your_Apps_with_Docker_and_Kubernetes.pdf
    MARTEN
    MARTEN --- ---
    Klidne bych zacal s dockerem pro lokalni vyvoj. Mam takhle vsechny projekty a ne vsechny pak v produkci opravdu bezi v dockeru, ale na vyvoj je to taky super. Kdyz tohle uvidis ze ti to funguje jak potrebujes, tak pak uz je to jen o tom, ze musis automatizovat vytvareni novych imagu pro nove verze. Ale minimalne v te dobe neco o dockeru uz budes vedet.
    MUXX
    MUXX --- ---
    ASACHI: jak bylo psany, je toho shitload k pochopeni/nastaveni. Spoustu lidi uz prislo o data, kdyz si je nacpali do kontejneru misto do externiho volume a podobne pribehy.
    Poustel bych se do toho asi leda v pripade, ze bych to pak treba vyuzil v praci nebo chtel dat do dockerovyho cloudu a neplatit za VPS.

    Pokud bys chtel zacit s necim mensim, tak se da nechat DB samostatne a do dockeru dat treba jenom ten prestashop/wordpress. Usnadni to treba instalaci novejsi verze. Pullnes novejsi image, restartujes a hotovo.
    Prestashop docker https://hub.docker.com/r/prestashop/prestashop/ zrovna ani zadny volume nepotrebuje, takze to bude jenom jednoradkovej skript k nastartovani aplikace. Wordpress taky.
    Ovsem jak se budes chtit vrtat v nastaveni php, tak uz to bude chtit bud externi volume nebo vlastni docker image a nejspis te to prestane bavit.

    Pokud to budes drzet v gitu tak si dej bacha, at nemas .git adresar verejnej - https://lynt.cz/blog/globalni-scan-otevrenych-git-repozitaru
    ASACHI
    ASACHI --- ---
    MUXX: prestashop / wordpress ... ale rad mam nad vecma kontrolu :)
    MUXX
    MUXX --- ---
    ASACHI: A ty blogy/eshopy mas svuj kod nebo to jsou nejaky opensource veci? K tomu opensource uz vetsinou dockery jsou hotovy a staci vyresit db a konfiguraci.
    ASACHI
    ASACHI --- ---
    Diky vsem, od kontejnerovych reseni jsem asi odrazen ..
    Ted resim GIT, ze bych si u sebe na PC nastavil origin a pak to jen pushnul na VPS a restornul DB ... takze cela instalace serveru jde udelat jednim scriptem prakticky.

    Jen to neni tak fancy jak jsem doufal :)
    MLEKAR_STEIN
    MLEKAR_STEIN --- ---
    ASACHI: no, moje zkušenost je, že pokud chceš mít kontejnery "hezký" tak to nebude 100 hodin, ale tak desetkrát tolik. jednak potřebuješ mít nějak automatizovaný vytváření kontejnerů, což chvíli trvá, to celý odladit.
    a pak hlavně musíš u kontejnerů odladit deploy/restore, tedy, mám tadydle zálohu/novádata/nějakýpokusy a tu chci tady rozehrát.
    pak vlastně zjistíš, že docker asi nee samotnej, ale raději třeba docker-compose.
    mě osobně přijde že v takhle malým rozsahu se kontejnery moc nevyplatí. spíš si pohrát s automatickou instalací, třeba jak píše MARTEN s ansible a případným s deployem třeba z gitu. celé v nějakém VPS.
    ještě bych zdůraznil to co píše MARTEN, že docker image je statická. tj. nedrží se v ní data. na to musíš připojit nějaký externí volume. a nějak to z něj kopírovat ven.
    a další věc, výkon databází v dockeru je obecně nic moc.
    Kliknutím sem můžete změnit nastavení reklam