Ma niekto skusenosti s https://www.weave.works/oss/scope/ ?

URPUTNIK: pro mysql:5.7 to totiz funguje "dle ocekavani" ..

ahoj, uz se zase placam cely den na stejnem miste , asi neco prehlizim :) mejme defaultni mysql:8 image z docker hubu .. kdyz ho pustim lokalne, s parametry:

$ docker run --name some-mysql -e MYSQL_ROOT_PASSWORD=pw -e MYSQL_USER=user -e MYSQL_PASSWORD=pw -e MYSQL_DATABASE=weborder -d mysql:8

tak se databaze i uzivatel spravne zalozi .. kdyz totez ale presypu do yaml souboru pro kubernetes deployment, tak ve spustenem image to neni, ani databaze, ani uzivatel .. tusite nekdo proc?

apiVersion: apps/v1
kind: Deployment
metadata:
  name: weborder-mysql
  namespace: dev10
spec:
  replicas: 1
  selector:
    matchLabels:
      app: weborder-mysql
  strategy:
    type: RollingUpdate
    rollingUpdate:
      maxSurge: 1        # how many pods we can add at a time
      maxUnavailable: 1  # maxUnavailable define how many pods can be unavailable during the rolling update
  template:
    metadata:
      labels:
        app: weborder-mysql
    spec:
      containers:
      - image: mysql:8
        name: weborder-mysql
        env:
        - name: "MYSQL_ROOT_PASSWORD"
          value: "pw"
        - name: "MYSQL_DATABASE"
          value: "weborder"
        - name: "MYSQL_USER"
          value: "user"
        - name: "MYSQL_PASSWORD"
          value: "pw"
        ports:
        - containerPort: 3306
          name: mysql
     ..

mozna souvisi s https://dev.to/yoshiyukikato/tips-to-use-mysql-80-on-kubernetes-m3l ?

DEFILA: tady se ale bavime o filesystemu v containeru, neni mi znamo a zatim jsem se nesetkal s image (z tech beznych oficialnich), ktera by mela nastaveny selinux labely (a pravdepodobne by byly neucinny). presah z containeru do filesystemu hosta, tak tam samozrejme plati politika hosta. ano, rhel ma selinux politiku pro docker, takze z kontejneru si i na explicitne bind mountovany adresare nesahnes, ale to s tim prilis nesouvisi

DEFILA: tak to prave naopak, to je hlavni filozofie kontejnerizace aplikaci, ze ma v containeru pid 1 a nebezi pod nejakymi proces managery. dale vetsinou kazda aplikace umi logovat, rekneme aspon do souboru. jako priklad dejme tomu ten webserver chci access log, tak nastavim logovani do konkretniho log souboru, pro jednoduchost v imagi vytvorim ten symlink soubor.log -> /proc/self/fd/1 a hotovo. jak si to interne prebere aplikace forkujici child workery neni az tak podstatne, access.log logovat umi, vyrizeno. problem nastava, pokud chce logovat z toho php, tam to ze skriptu proste do stdout a stderr pid 1 proste nedostane, tam je jedina moznost pouzit tu zkratku php://. dockerd cte log pouze z pidu 1 beziciho containeru

ADM:
tohle neni uplne pravda, pokud nevypnes security politku, tak ma prednost predevsim; zkus si nekdy pustit i jednoduchy Apache httpd na RHELu, kde je SElinux zapnuty(nebo na DEbianu s apparmor); v nejakem, 'custom' adresari -> nic ti nepojede bez ohledu na to, zda jsi root; budes muset menit labely na filech, abys to mohl pustit

ADM:
pokud netlacis jinak, tak mas v contejneru tvoji aplikaci ako pid 1 ..., coz je proste spatne, musis si ten kontejner ohnout, aby se tohle nedelo

problem je v tom, ze log dostane pouze z pidu 1, a z potomku pouze pokud si to ty potomci resi, ze to zaloguji prostrednictvim parenta. prava typu filesystem, apparmor, selinux v tom podle me nehraji roli, on to proste do ty pipe nedostane

ADM: ah, pardon, jsem natvrdlej .. ale je to stejne akorat symlink do /dev/pts, ktery ma root

root@0826b2dc6932:/usr/local/php# ls -la /proc/1/fd/1
lrwx------ 1 root root 64 May 28 15:06 /proc/1/fd/1 -> /dev/pts/0

problem s primym pouzitim php://stdout mam v tom, ze to znamena upravit zdrojak aplikace (coz nechci, aby se nam nerozjizdela codebase) .. asi to holt budu v ramci buildu prepisovat na stdout, tech mist jsou nastesti jednotky :)

diky moc za popostrceni!

URPUTNIK:

root@aa553164e3bf:/var/www/xmlrpc# ls -la /proc/self/fd/1 
lrwx------ 1 root root 64 May 28 15:02 /proc/self/fd/1 -> /dev/pts/1
root@aa553164e3bf:/var/www/xmlrpc# ls -la /dev/pts/1 
crw--w---- 1 root tty 136, 1 May 28 15:02 /dev/pts/1

kazdopadne mi ted nedava smysl, proc tohle funguje:

fopen('php://stdout', 'w')

protoze php://stdout interpretuje/obaluje apache?

DEFILA: nejsem admin, takze to budes muset asi rozvest :) mne ty symlinky prijdou stejne nastaveny, jako pro ten apache, kde ale fungujou :[ kazdopadne phpinfo() zacina s

Linux 63f6b1c48b39 4.15.0-50-generic #54-Ubuntu SMP Mon May 6 18:46:08 UTC 2019 x86_64

open_basedir je prazdny a safe_mode tam neni, protoze php7+ ..

ADM: aha! to zni logicky

root@aa553164e3bf:/var/www/xmlrpc# ls -la /dev/st*
lrwxrwxrwx 1 root root 15 May 28 14:52 /dev/stderr -> /proc/self/fd/2
lrwxrwxrwx 1 root root 15 May 28 14:52 /dev/stdin -> /proc/self/fd/0
lrwxrwxrwx 1 root root 15 May 28 14:52 /dev/stdout -> /proc/self/fd/1

predpokladam, ze poustet php pod rootem bude security dira jako krava, co? :) zeptam se nasich adminu .. diky!