Docker a kontejnery

GIOMIKY --- --- 16:03:36 26.7.2023

MARTEN: pulka verejnych docker masin je zamalwarowa...

GIOMIKY --- --- 16:02:08 26.7.2023

RAINBOF: Cronem systemctl restart dockerd, kdyz mas jeden, tak by to nekomplikoval neco, radeji, cronem v tom stroji, neco jako restart command cco x hodun, dnum minut. Radost pracovat, na takovym stroji, imho.

MARTEN --- --- 13:35:53 26.7.2023

1 odpověď +3

RAINBOF: Pokud nechces swarm, k3s/k8s apod., tak se zkus kouknout na tenhle image https://hub.docker.com/r/willfarrell/autoheal/, resi to. Bezi vedle ostatnich a monitoruje je, podobne treba jako traefik

RAINBOF --- --- 11:57:21 26.7.2023

2 odpovědi

nez se do toho opru,

potreboval bych neco co mi zkusi 2x-3x restartovat kontejner pokud jeho healthcheck failne, kolega radi docker swarm ale nejsem si uplne jist zda je to vubec vhodne.

MARTEN --- --- 11:41:29 26.7.2023

Tak pro zajimavost. V pripade kubernetes staci nastaveni egress. V pripade docker/docker-compose je reseni mit container s proxy a vsem kterym chci zakazat pristupovat ven, tak nastavit `network_mode: service:` a tam uz vse resit jako beznou proxy.

HVJ3R --- --- 18:52:08 16.7.2023

DOKIS: ad 2 je v zasade sys root trusted a java root trusted. Pokud teda neresime browsery, ale i tem se to da podstrcit.

GIOMIKY --- --- 16:42:18 12.7.2023

MARTEN: Na testy bych zkusil tinyproxy.

DOKIS --- --- 12:56:12 2.7.2023

1 odpověď +1

MARTEN: Pokud chces logovani a filtrovani na urovni URL, ne IP adres, a zaroven to ma byt nejen HTTP, ale i HTTPS, tak mas problem. Protoze chces delat neco, cemu ma HTTPS z principu branit - jde vlastne o variantu man-in-the-middle (MITM) utoku. V zasade mas asi dve moznosti, obe spatne:
1) v kazdem kontejneru pro kazdy produkt nastavit proxy, takze ten klient na tom MITM bude vedome spolupracovat; samozrejme nastaveni proxy neni nejake jednotne a env. promennou sice dost veci bere, ale zdaleka ne vsechny.
2) skutecne udelat MITM na spojeni nespolupracujich aplikaci. Tam ale potrebujes tem aplikacim vnutit svuj root certifikat jako duveryhodny. Opet plati, ze existuje bezny zpusob, jak to udelat, ale zdaleka ne vsechno ho pouziva.

MARTEN --- --- 23:22:10 1.7.2023

MUXX: Budu muset zkusit. Jen ta http_proxy variable neni podporovana kazdym toolem/jazykem a je pro nektere hrozny opruz najit co specialne potrebuji. Ale asi to zkusim

MUXX --- --- 23:17:50 1.7.2023

1 odpověď

MARTEN: Rekl bych, ze squid bude nejlepsi. Proxy se resi stejne jako na linuxu pres http_proxy env variable. Zalezi kde to provozujes, da se to nastavit i na host https://docs.docker.com/network/proxy/

MARTEN --- --- 23:08:47 1.7.2023

2 odpovědi +1

Neresim inbound. Nic s balancingem, routingem apod.
Potrebuju vyresit outbound z containeru. Defaultne zakazat containerum jakoukoliv komunikaci ven a pouze jim povolovat whitelistem kam muzou.
Tedy nic spolecneho s haproxy, nginxem, traefik atd.
Squid rozchodim (pokud nezna nekdo ted lepsi reseni), ale nevim jak nastavit containery a automaticky je brat pres proxy a vlastne i at drzi container informaci o tom, ktera pravidla pro nej plati. At se zmenou ip, apod., nemusim resit znovu whitelistovani.

JON --- --- 13:05:45 1.7.2023

MARTEN: a nechces spis neco, co je opravdova service-mesh?

MUXX --- --- 12:24:41 1.7.2023

MARTEN: kdyz je vsude SSL, tak v tom logu uvidis maximalne IP adresy ne? to jeste pak bude dost prace zjistit co vlastne ten traffic znamena ne?

RUDOLF --- --- 11:42:00 1.7.2023

MARTEN: traefic se dá řídit podle labels co máš u každého kontejneru

Traefik Docker Documentation - Traefik
https://doc.traefik.io/traefik/providers/docker/

RAINBOF --- --- 6:54:58 1.7.2023

Haproxy se nelibi ?

MLEKAR_STEIN --- --- 23:18:30 30.6.2023

MARTEN:
jestli je to jen http tak by mohlo fungovat ngx_http_proxy_connect_module
ale zkusenost nemam

a na odchozi trafik asi muze byt squid funkcni

MARTEN --- --- 22:58:34 30.6.2023

2 odpovědi

MLEKAR_STEIN: Nechci reverse proxy, ale traffic z containeru pres proxy, abych mohl whitelistnout adresy kam smi bezici service.

MLEKAR_STEIN --- --- 22:05:51 30.6.2023

1 odpověď

MARTEN:
squid je asi trochu na jine pouziti.

urcite bych pouzil nginx, da se misto dns pouzit path a pak mas pro kazdou path vlastni proxy_pass.

MARTEN --- --- 10:53:57 30.6.2023

4 odpovědi

Potreeboval bych vsechny sve docker containery dat za proxy. Jaky proxy server by ste pouzili? Znam akorat tak squid, ale prijde mi to trochu kanon na vrabce. Chci jen at to ma log, nejake UI at zjistim co kam leze. Ani nepotrebuju snad uzivatele.
A jde nejak udelat, aby kazdy container jel pres tuto proxy, abych to nemusel pro kazdy tool nastavovat zvlast a jeste uvnitr?

BONEFLUTE --- --- 4:19:59 24.5.2023

Ahoj.
Zkouším použít podman-compose pod neroot uživatelem.
Mám jednoduchý webový php server + mysql. Tedy dvě služby. Nic složitého. Běží to.
Problém je v tom, že já bych rád, aby ta databáze měla IP adresu. Abych si ji mohl vypsat pomocí podman inspect a abych se pomocí té IP adresy do té databáze mohl přihlásit pomocí nástroje (dbeaver například).

Doufám, že to bude něco jednoduchého a jsem jen slepej. Nedaří se mi nic najít.

Předem díky.

Kliknutím sem můžete změnit nastavení reklam

přezdívka
heslo

pamatuj si mě
registrace
ztracené heslo?