REFLEX: vytvareni stejneho uzivatele v image je dost na prd. Ale taky jsem to parkrat udelal. Jinak nejde o jmeno, ale musel by mit stejne UID

REFLEX: ten soubor ma fyzicky v sobe ulozeny dve cisla - uzivatele a skupinu (a par dalsich, whatever). A ty dve cisla tam potrebujes predelat z jednoho systemu na druhej. Group docker asi neni to, co potrebujes.

WOODMAKER: no to jsme cekal, ale je to normalne pres volumes pripojeny adresar, ale mel problem s opravnenim, mozna kdybych nastavil group slozky na docker...

jsem na tyhle veci s pravama retard :D

REFLEX: root ma pristup ke vsemu, pokud mu to nekam pripojis.

REFLEX: zalezi na use-case.
Normalne sluzby v dockeru, co potkavam, byvaji uvnitr jako root. A mivaji volumes, do kterych jim nikdo nesaha. A bavi se mezi sebou pomoci nejakych API jakoby po siti.

takze budto udelas kazdej container s uzivatelem, coz mi prijde neprakticky
Dockerfile:

nebo nastavis uid:gid tomu uzivateli, co ma pustenej ten kontejner (WOODMAKER)

nebo, pokud pracujes se souborem, ten soubor zpracujes jako root a pak mu nastavis, aby mel prava podle nejakyho jinyho souboru

REFLEX:
no reseni to je takovy trochu pojebany ale na jinej zpusob jsem neprisel.
v docker-compose pak volume nabindujes:
volumes:
- ${HOME}/mujdir/:${HOME}/mujdir/:rw

INDIAN: toto jsem udelal

RAGNAROK: WOODMAKER: aha, takze v containeru neni ten uzivatel, takze kdyz mam uzivatele reflex pustim docker-compose up tak vlastne v tom containeru je root a ten nema pristup k souborum co jsou pripojene pres volumes protoze vlastnik je reflex :D

takze reseni je zalozit toho sameho uzivatele v dockeru?

REFLEX:

Akorat ten user pak uvnitr neexistuje, tak nefunguji veci jako $HOME a tak. Ale s absolutnima cestama by se mely vytvaret soubory se spravnym uid a gid.

REFLEX:
v hostovym systemu pridat nonroot usera do skupiny docker.
v image (dockerfile) vytvorit nonroot usera se stejnym jmenem a id.
akorat pak image musis buildit pro kazdyho usera zvlast.

REFLEX:

Jak se ma spravne nastavit docker, abych ho nemusel poustet jako sudo a v containeru nebyl problem s pravy a container na pripojenych souborech nevytvarel soubory pod rootem? :)

FYI: https://community.cncf.io/events/details/cncf-kcd-czech-slovak-presents-kcd-kubernetes-community-days-2022-czech-slovak-virtual/

ADMIX: Odstrasujici priklad!

INDIAN: no vidis, zapomnel jsem to nejdulezitejsi...
... Diky

Dalsi z cyklu, jak nepouzivat Docker. Tedy mejme Dockerfile. A predpokladejme, ze nechci pouzit presmerovani portu, protoze mi to zasahne do iptables a to se mi nelibit. Tak jsem dosel k reseni, kdyz si presmeruju pres ssh port a potom, napriklad, pristupuju na svuj pypi server.
Neco jako:
...
RUN nohup bash -c "/usr/bin/autossh -o "StrictHostKeyChecking=no" -M 0 -N -q dokrhost &" && pip3 install --force-reinstall --trusted-host 127.0.0.1 --index-url http://127.0.0.1:8080 myfancypkg

Mam dotaz k ArgoCD - nevite nekdo o tom, jak/jestli tam jde udelat nejaky transformacni krok mezi repositarem podle ktereho syncuje a tim podle ceho syncuje?
Treba slej helmcharty z N adresaru v tom repu dohromady, naaplikuj na to nejake templatovani apod.

Samozrejme to jde udelat stylem: push do repositare A -> tam se pusti CI job, ktery provede ty transformace a pushne to do repositare B -> a podle repositare B to Argo vydeployuje. Ale moc se mi to takhle nelibi.

MLEKAR_STEIN: díky za postřehy ...

čekal jsem, že to má docker nějak zmáknutý - nějaký docker backup/docker restore ale nic moc