• úvod
  • témata
  • události
  • tržiště
  • diskuze
  • nástěnka
  • přihlásit
    registrace
    ztracené heslo?
    ALMADDocker a kontejnery
    Docker aneb přístupný provoz kontejnerizovaných aplikací
    Docker(Hub), Compose, Swarm, boot2docker, DevOps, LXC, ECS, TumTum a jiné buzzwordy
    Bezpečnost v prostředí kontejnerů
    Related: automatizace [ Centralizovaná správa stanic a ostatních prvků v síti konfigurace/inventarizace/instalace/aktualizace/zalohovani ]
    rozbalit záhlaví
    RATTKIN
    RATTKIN --- ---
    GIOMIKY: ano, já to někdy s importem npm přehráním, ale co takový mapbox-gl ? Interaktivní 3d mapu bych neuměl naprogramovat ani za 5 let, ale implementace npm je na odpoledne
    GIOMIKY
    GIOMIKY --- ---
    adlastni kernel ksem kompiloval naposled pro 386tku..
    ad vlasrni auto... no funkci na zjisteni, jestli je cislo sudy si jeste misto importi npm knihovny napisu
    GIOMIKY
    GIOMIKY --- ---
    Jeste jeden nablblej dotaz. Fak jsem zkousel hledat odpoved. Bezvysledne.
    Mejme image. Ma 500 MB. Namountuju pomoci -v adresar host. Provedu mv cca 200 MB z konteineru do adresare. du -hs ukazuje, ze v konteintou, adresari je 5 KB... tedy vsech 200 MB jsem presunul na fs hosta. No a pak provedu commit... a ten image ma furt 500 MB... ?! ... je to mozny? Nebo mam nekde chybu v postupu. Jinak s primountovanym adresarem to funuguje bezva... akorat nevim, jak shrinknout image... nebo se mi ty soubory nepresunuly? Ale to by potom nefunguvalo touch 1 v tom adresari na hostu, aniz by se nezobrail v konteineru. Filesystem je urcite jinej, protoze df -h / dava overlay a mount /dev/sda1 ... takze urcite se to primountovalo... akorat je zahada, proc, kdyz presunu 200 MB dat na adresar hosta se nezmensi ten image pri commitu...
    Predpokladam, ze to bude nejaka blbost v postupu... nebo tak...
    dik
    KING
    KING --- ---
    ADMIX: pláču si tady do piva. Naštěstí ale jen v kontejneru, tak to snad na zbytek života nebude mít vliv. #dockerftip
    ADMIX
    ADMIX --- ---
    KING: tys upadl v nemilost? no to uz pro tebe zivot nema zadnej smysl, ripko!
    ADMIX
    ADMIX --- ---
    THEODORT: ja se s temahle vecma potkavam a docker v tom fakt nefiguruje, ale dik za ruinovani myho genialniho vtipu :(
    KING
    KING --- ---
    THEODORT: https://en.wikipedia.org/wiki/Unikernel svýho času to byla móda, alespoň tedy i tom mluvit. Mě to vždy přišlo jako super nápad na to 0.0...1% případů, kde je taková performance (a hlavně prediktabilita) nutná.

    Jinak nevím, zda mám být rád, nebo nerad, že mě má Giomky v ignore, vypadá to na "zajímavou" diskuzi, byť teda opět jako diskuze, kde si naoko přišel pro radu a pak je zcela ignoruje... :)
    THEODORT
    THEODORT --- ---
    ADMIX: to je muj masterplan, malej kernel kde neni nic jinyho nez to co potrebjes.. zas tak desivy to neni, a docker je prej na tohle celkem fajn ;)
    ADMIX
    ADMIX --- ---
    GIOMIKY: A do toho image si doufam nenainstalujes kernel, kterej sis sam nenapsal!
    RATTKIN
    RATTKIN --- ---
    GIOMIKY: jezdíš v autě, který si sám postavil? Co dům? Vrtání zubů taky sám?
    Je nově tisíciletí.
    VELDRANE
    VELDRANE --- ---
    FALLENANGEL: No tohle video je jedna perla vedle druhy, imho asi nejlepsi Hitler co sem doted videl :)
    FALLENANGEL
    FALLENANGEL --- ---
    VELDRANE: 'Enterprises want to run Docker and they still have Red Hat 5 installed.' :D Nejsmutnejsi na tom je, ze je to pravda.

    Tohle video bych chtel ukazat kolegum, ale 50% z nich jsou nemci a tuhle hranici jsem se jeste neodvazil prekrocit :P
    VELDRANE
    VELDRANE --- ---
    Btw image z dockerhubu:

    Hitler uses Docker
    https://youtu.be/PivpCKEiQOQ


    Nejspis to tu uz bylo ale nedalo mi to :)
    VELDRANE
    VELDRANE --- ---
    Nahodou neni uplne od veci premejslet nad tim zda pouzit image treti strany (ofiko/dockerhub) a nebo si udelat vlastni.

    Casto se razi filosofie: Pokud je to v ramci naky subskripce (napr. ofiko redhat image) a muzu to pouzit tak pouzivam v prve rade tyto oficialni, protoze se takrka nemusim o nic starat mam krytou prdel.

    Na druhou stranu ne vzdycky mi takova image pokryva moje potreby, nemusi splnovat treba corporate standards (vetsina images je na postavenq na alpinu, co kdyz je jako corporate standard redhat nebo vlastni build image ?? ), muzu potrebovat moduly (treba nginx) ktery v ofiko buildu nejsou apod.
    Pak si vetsinou postavim image vlastni (klidne to muze bejt obslehnutej dockerfile, ale build delam u sebe). Je ale dobry mit vetsinou v tomhle pripade rozjetou i nakou tu infrastrukturu, kde tyhle image schranujes. Zkratka nejake lepsi repostiory jako je treba quay nebo harbour, kde delas security checky, hlidas jejich velikost pripadne dalsi parametry a to zda jsou company complaint. V tamci tehle build infrastruktury bys asi mel mit i nejake cemtralni repo pro artefakty - binarni casti buildu ktere ktere Tvuj build potrebuje a byly vytvoreny at v ramci nejakyho multistage neni nekym jinym v ramci firmy, ktere opet muzes prohnat proti bezpecnostnim chybam a nebo chybejicim standardum.
    GIOMIKY
    GIOMIKY --- ---
    no jo, kdyz ja to delam pro zabavu a ne pro profit... utloukam tim cas, tak me apt-get install maria nezabije.
    FALLENANGEL
    FALLENANGEL --- ---
    GIOMIKY: tohle je obecně problem a ne jenom v dockerhubu. Image se vytvoří, commitne a hotovo. A jak stárne, tak se proste objevuji diry. Tzn maintainer by mel udělat novou opatchovanou verzi a ty jako 'zakaznik' by jsi mel prejit na novej image. Zkus se dívat po datu. Stavět novej image s mariadb nemá moc valnej smysl, kdyz je ofiko image k dispozici.
    GIOMIKY
    GIOMIKY --- ---
    jj, tech 5 prikazu mi k zivotu staci. dekuji moc za pomoc.
    THEODORT
    THEODORT --- ---
    GIOMIKY: tim nemyslim ze bys byl nejakej hloupej nebo tak, jen to jsou image od lidi co maj proste +- podobnou uroven znalosti o dockeru jak ty, a tak tam maj napr. natvrdo vpaleny prihlasovaci udaje protoze jim to tak zatim pro jejich kuteni staci..
    GIOMIKY
    GIOMIKY --- ---
    jj, ne kazdy se narodi jako pocitacovy odbornik s mysi v kolebce.
    THEODORT
    THEODORT --- ---
    GIOMIKY: visjak, ono to vetsinove jsou image od lidi jako jsi ty
    RUDOLF
    RUDOLF --- ---
    GIOMIKY: známe, proto používáme ofiko repozitáře. Spoustu projektů si je šlechtí, dockehub má vulnerabity scanning out of box. A vždy si můžeš přečíst dockerfile, jak je to poskládaný. Většina věcí je postavená na nějakým ofiko OS image, nad tím si udělá instalaci závislostí pro svoji app. Mysql/Mária/postgres to budou imho takhle - používám ofiko postgres image s pár úpravama v našem repo, mám to proscanovaný od dockerhub a běží na tom produkční databáze.
    Kliknutím sem můžete změnit nastavení reklam