• úvod
  • témata
  • události
  • tržiště
  • diskuze
  • nástěnka
    • přihlásit
    registrace
    ztracené heslo?
    ALMADDocker a kontejnery
    Docker aneb přístupný provoz kontejnerizovaných aplikací
    Docker(Hub), Compose, Swarm, boot2docker, DevOps, LXC, ECS, TumTum a jiné buzzwordy
    Bezpečnost v prostředí kontejnerů
    Related: automatizace [ Centralizovaná správa stanic a ostatních prvků v síti konfigurace/inventarizace/instalace/aktualizace/zalohovani ]
    rozbalit záhlaví
    RUDOLF
    RUDOLF --- ---
    JON: když jsem si dělal PoC, tak jsem si to templatoval v ansible;-) dneska bych asi šáhl pro kapitan. Helm mě přišel překoplikovaný tehdy. Ale nějak si mi furt K8s vyhýbá, tak nemám produkční zkušenost.
    VELDRANE
    VELDRANE --- ---
    1 odpověď
    JON: S templatovanin ceho konkretne ? Instalace ? Aplikaci ?

    Na deploy aplikaci casto pouzivame helm coz je v podstate templatovani
    JON
    JON --- ---
    2 odpovědi
    mate nekdo nejake dobre zkusenosti s templatovanim k8s yamlu? Pohravam si s myslenkou celou tu vopicarnu generovat z pythonu - ale sere me na tom, ze clovek samozrejme prijde o tu deklarativnost. Nejvic by se mi libilo neco mezi, ale fakt bych to nechtel psat inhouse.
    RUDOLF
    RUDOLF --- ---
    +1
    REFLEX: to je jen jeden stroj ne? Normálně nastav stejnou network pro všechny kontejnery co na sebe mají lokálně vidět. Ty kontejnery budou mít stejné dns jako název služby, nebo možná prefix compose.

    Když chceš něco mít veřejně, nahoď třeba traefik na routování do kontejnerů. A jen tuhle službu exposni. Pravidla routování si nastvíš jako labels u každého kontejneru.

    Na server si nasměruj DNS a jen si nastav routování konkrétnich hostnames do kontejnerů.

    No a kdybys chtěl víc reselient řešení pro víc hostů, jde použít i Docker swarm. Je to imho jednodušší než K8s a můžeš používat compose pro deployování stacků služeb.
    VELDRANE
    VELDRANE --- ---
    +2
    MLEKAR_STEIN: Mno porad mi prijde jednodussi si projit “porodnimi bolestmi” stavby k8s nebo ocp, nez to lepit pokoutne pres linux bridge, vlastni dns a ja nevim cim vsim. Ale proti gustu zadnej disputat :))

    Btw co je starsi server ? Ja tu mam na hrani proliant dl380 gen8 a na te to v kvm jede jak z praku. Mel sem tu i starou gen6, a na ni hezky 8 nodovy ocp cluster (taky v kvm).
    HVJ3R
    HVJ3R --- ---
    MLEKAR_STEIN: Rozjet na jednom nebo dvou starejch serverech se to taky da: minikube a microk8s. Vyhoda je, ze orchestrace (helmy) rozjeta pro tyhle tooly ti bude fungovat i na managed clusteru.
    MLEKAR_STEIN
    MLEKAR_STEIN --- ---
    2 odpovědi
    VELDRANE: jasně, taky bych rekl ze existuje lepší řešení, ale ne každý umí rozjet k8s cluster
    problem je když na to neni hw a je potreba "ten docker" rozjet na jednom mebo svou starych serverech.
    VELDRANE
    VELDRANE --- ---
    1 odpověď+1
    MLEKAR_STEIN: ehh neni tohle presne ten duvod proc zacit s k8s nebo openshiftem ? :)
    MARTEN
    MARTEN --- ---
    +3
    Poslu i sem. Tohle je priblizne co pouzivam lokalne. jen tady takove neserazene a bez popisu. https://github.com/marten-cz/docker-templates
    MLEKAR_STEIN
    MLEKAR_STEIN --- ---
    REFLEX: tak na dev jsem to takhle provozoval. nekde mam k tomu schovany Docker a compose files. v nedeli se dostanu domu tak v pondeli se po tom muzu podivat.
    REFLEX
    REFLEX --- ---
    1 odpověď
    MLEKAR_STEIN: zapomnel jsem to zminit, ma to byt pouze na dev
    MLEKAR_STEIN
    MLEKAR_STEIN --- ---
    2 odpovědi
    tak zavisi, jak moc to musi byt production ready.

    taky se.da vytvořit docker network,.te udělat bridge se sitovkou a nastavit routování. pak je ta sit dostupna.
    je to docela hack, ale da se to relativne automatizovat.
    a pak se da udelat autoregistrace do dns. to ani hack neni, jen clovek musi mitinteeni dns.
    pak to muze vypadat tak,ze na fyzickym serveru mam sit propagovanou ven a kontejner z te site se autoregistruje do nejake subdomeny
    a pak se da ke kontaku pristupovat pres dns jmeno :)
    MARTEN
    MARTEN --- ---
    REFLEX: Ty porty bych nedelal, protoze pak by si musel pres host. Poslu ti jak to mam :) Exposnout port DB je dobre pro tebe at se pripojis pres gui, ale ne mezi serivces
    REFLEX
    REFLEX --- ---
    1 odpověď
    WOODMAKER: pravda to by slo taky, proste by exposoval port databaze, mozna jednodusi reseni
    WOODMAKER
    WOODMAKER --- ---
    1 odpověď
    a nestaci, aby ten hlavni web exposnul nejaky porty? Ale ta stejna network zni lip.
    REFLEX
    REFLEX --- ---
    REFLEX: tak musi byt na stejne network https://stackoverflow.com/questions/38088279/communication-between-multiple-docker-compose-projects
    REFLEX
    REFLEX --- ---
    2 odpovědi
    Mam n webu, kazdy ma svoje git repo a potrebuji pro ne rozbehat vyvojove prostredi

    Kde je 1 hlavni web, ktery ma databazi na kterou se pripojuji i ty ostatni weby.

    Jde se pripojit z jednoho docker-compose do druheho? Jak na to? :D

    Muj plan je takovy ze v kazdem projektu by byl docker-compose a clovek by musel nejdriv pustit ten hlavni a pak ten nejaky jiny na kterym pracuje a komunikovali by mezi sebou
    FALLENANGEL
    FALLENANGEL --- ---
    Mate nekdo trik jak udelat podman pull v rootles kontejnerech?

    sh-4.4$ podman pull registry.redhat.io/ubi8/ubi:latest
    WARN[0000] Failed to detect the owner for the current cgroup: stat /sys/fs/cgroup/systemd/kubepods.slice/kubepods-burstable.slice/kubepods-burstable-pod2f195ec9_139e_4aa4_a216_b234d869a681.slice/crio-f86c6929612ccad07edd12119f4a968c2dad830e335500fc21416995225fb4e2.scope: no such file or directory
    Trying to pull registry.redhat.io/ubi8/ubi:latest...
    Getting image source signatures
    Checking if image destination supports signatures
    Copying blob d0c9851d609d done
    Copying blob 33db084abe90 done
    Copying config 0724f7c987 done
    Writing manifest to image destination
    Storing signatures
    Error processing tar file(exit status 1): potentially insufficient UIDs or GIDs available in user namespace (requested 0:81 for /usr/libexec/dbus-1/dbus-daemon-launch-helper): Check /etc/subuid and /etc/subgid: lchown /usr/libexec/dbus-1/dbus-daemon-launch-helper: invalid argument
    Error: Error committing the finished image: error adding layer with blob "sha256:33db084abe90803d3c1ed1fa2db456724adb80961c94c09f91bf5b2c046a9008": Error processing tar file(exit status 1): potentially insufficient UIDs or GIDs available in user namespace (requested 0:81 for /usr/libexec/dbus-1/dbus-daemon-launch-helper): Check /etc/subuid and /etc/subgid: lchown /usr/libexec/dbus-1/dbus-daemon-launch-helper: invalid argument

    Why can’t rootless Podman pull my image? | Enable Sysadmin
    https://www.redhat.com/sysadmin/rootless-podman
    MORTAELTH
    MORTAELTH --- ---
    +2
    VELDRANE: jj, vim. rekl bych ze tem clankum ktere neco srovnavaji nepridava bonusovy body kdyz jsou z microsoftu, nebo ne nejak vyrazne. hodne se snazi tlacit tu jejich monitorovaci platformu, ktera je ale hodne draha, takze my jedem monitoring, metriky, logy nemicrosofti reseni a jsem za to rad.. komunita v tomhle funguje dobre.
    BLACKOUT
    BLACKOUT --- ---
    RUDOLF: AWS CDK > Terraform > Rucne vyklikat > Pulumi > Azure ARM :D
    FALLENANGEL
    FALLENANGEL --- ---
    VELDRANE: Na tom asi neni nic spatnyho. Velka cast korporatnich zakazniku ma Azure first. I kdyz to asi neni uplne best of breed cloud.
    VELDRANE
    VELDRANE --- ---
    2 odpovědi
    MORTAELTH: Problem Tomase je trosku v tom ze je zamestnanec MS a tak imho dost tlaci Azure a ekosystem kolem nej, i kdyz je to nepochybne hodne chytrej typek.
    Kliknutím sem můžete změnit nastavení reklam