• úvod
  • témata
  • události
  • tržiště
  • diskuze
  • nástěnka
  • přihlásit
    registrace
    ztracené heslo?
    ALMADDocker a kontejnery
    Docker aneb přístupný provoz kontejnerizovaných aplikací
    Docker(Hub), Compose, Swarm, boot2docker, DevOps, LXC, ECS, TumTum a jiné buzzwordy
    Bezpečnost v prostředí kontejnerů
    Related: automatizace [ Centralizovaná správa stanic a ostatních prvků v síti konfigurace/inventarizace/instalace/aktualizace/zalohovani ]
    rozbalit záhlaví
    RAINBOF
    RAINBOF --- ---
    GIOMIKY: pravdepodobne jsi vubec nepochopil co resim.
    GIOMIKY
    GIOMIKY --- ---
    RAINBOF: Zkusil bych bugtracker a urgovat to pres nejaky issue... nebo tak, nevymejslet zaplatu, kdyz svec pracuje, urcite, na oprave. Muzu ti tam dat nejaky komentar, ze se mi to taky nelibi.
    Ale myslim, ze je to stejne neresitelny. To je opravdu hodne velky myslenkovy krok do neznama, aby host upravoval firewall pravidla hostitelskeho stroje. Nekonecna radka bugu ze vsech stran, asi to nema cenu.
    Docker Container does not have internet access for accessing Nuget · Issue #4807 · docker/for-win · GitHub
    Docker Container does not have internet access for accessing Nuget · Issue #4807 · docker/for-win · GitHub
    https://github.com/docker/for-win/issues/4807
    RAINBOF
    RAINBOF --- ---
    GIOMIKY: vubec nevim co ted naznacujes. Je to vec co realne resim. Na stole je swarm, a me to prijde jako tezkotonazni reseni vzhledem k tomu co chci delat.
    GIOMIKY
    GIOMIKY --- ---
    RAINBOF: RAINBOF: zkusil bych bugtracker a urgovat to pres nejaky issue... nebo tak, nevymejslet zaplatu, kdyz svec prajcuje, urcite, na oprave. Nejsi sam, kdo se s timto mily bugem setkava.
    RAINBOF
    RAINBOF --- ---
    GIOMIKY: tak presne tomu se chci vyhnout.

    Udelat kontinualne neco jako

    Docker compose stop kontak-hoven
    Docker compose up kontak-hoven -d

    Fakt nechci. Jde o to ze kdyz to chcipne, zalogovat k reseni a nahodit a ne ze to ceka na nekoho s vysokejma pravama na produkci aby to otocil. Stava se to velmi zridka tak 2x za rok ale klasika v patek vecer o vanocich.
    GIOMIKY
    GIOMIKY --- ---
    GIOMIKY:
    WTF?
    kill docker
    iptables -t nat -F
    ifconfig docker0 down
    brctl delbr docker0
    docker -d
    
    GIOMIKY
    GIOMIKY --- ---
    Permanente jsem s timhle:
    devops - My docker container has no internet - Stack Overflow
    https://stackoverflow.com/questions/20430371/my-docker-container-has-no-internet
    Co s tim?
    GIOMIKY
    GIOMIKY --- ---
    MARTEN: ta ho restarnes co 24 hodin, no. Rikam, ze pracovat na takovem stroji je radots. Ono to patlani dockerovych firewall rulu do iptables hostitelskeho stroje je dost prasarna, proto permanente vypada sit a je to nutny restartovat cely, vcetne dockerd demona, u mne. Nevim, presel jsem na Amiga Forever. Less Hustle, More Phun.
    MARTEN
    MARTEN --- ---
    GIOMIKY: Tady je to o docker containeru, tam ani zadny ssh neni. Container ani nemusi vedet ze ma problemy, protoze bude mit takove problemy, ze ani nenabehne. Tohle se proste resi z venku. Od toho ten docker container ma ten healthcheck a dostava se dal k daemonu, aby s tim neco mohl delat
    GIOMIKY
    GIOMIKY --- ---
    man rsh

    NAME
    ssh — OpenSSH remote login client

    SYNOPSIS
    ssh [-46AaCfGgKkMNnqsTtVvXxYy] [-B bind_interface] [-b bind_address]
    [-c cipher_spec] [-D [bind_address:]port] [-E log_file]
    [-e escape_char] [-F configfile] [-I pkcs11] [-i identity_file]
    [-J destination] [-L address] [-l login_name] [-m mac_spec]
    [-O ctl_cmd] [-o option] [-p port] [-Q query_option] [-R address]
    [-S ctl_path] [-W host:port] [-w local_tun[:remote_tun]] destination
    [command]

    DESCRIPTION
    ssh (SSH client) is a program for logging into a remote machine and for
    executing commands on a remote machine. It is intended to provide secure
    encrypted communications between two untrusted hosts over an insecure
    network. X11 connections, arbitrary TCP ports and UNIX-domain sockets
    can also be forwarded over the secure channel.
    GIOMIKY
    GIOMIKY --- ---
    MARTEN: Kdysi existovali na linuchu detekce zmeny souboru jako kernelovy volani, ale moc se je nedoporucuje pouzivat. Nevim, co treba rsh reboot?
    MARTEN
    MARTEN --- ---
    GIOMIKY: Restartovat container, ne docker daemon.
    Masin, nebo imagu? Pokud je mysleny image, tak tim rikas, ze by se docker nemel pouzivat.
    GIOMIKY
    GIOMIKY --- ---
    MARTEN: pulka verejnych docker masin je zamalwarowa...
    GIOMIKY
    GIOMIKY --- ---
    RAINBOF: Cronem systemctl restart dockerd, kdyz mas jeden, tak by to nekomplikoval neco, radeji, cronem v tom stroji, neco jako restart command cco x hodun, dnum minut. Radost pracovat, na takovym stroji, imho.
    MARTEN
    MARTEN --- ---
    RAINBOF: Pokud nechces swarm, k3s/k8s apod., tak se zkus kouknout na tenhle image https://hub.docker.com/r/willfarrell/autoheal/, resi to. Bezi vedle ostatnich a monitoruje je, podobne treba jako traefik
    RAINBOF
    RAINBOF --- ---
    nez se do toho opru,

    potreboval bych neco co mi zkusi 2x-3x restartovat kontejner pokud jeho healthcheck failne, kolega radi docker swarm ale nejsem si uplne jist zda je to vubec vhodne.
    MARTEN
    MARTEN --- ---
    Tak pro zajimavost. V pripade kubernetes staci nastaveni egress. V pripade docker/docker-compose je reseni mit container s proxy a vsem kterym chci zakazat pristupovat ven, tak nastavit `network_mode: service:` a tam uz vse resit jako beznou proxy.
    HVJ3R
    HVJ3R --- ---
    DOKIS: ad 2 je v zasade sys root trusted a java root trusted. Pokud teda neresime browsery, ale i tem se to da podstrcit.
    GIOMIKY
    GIOMIKY --- ---
    MARTEN: Na testy bych zkusil tinyproxy.
    DOKIS
    DOKIS --- ---
    MARTEN: Pokud chces logovani a filtrovani na urovni URL, ne IP adres, a zaroven to ma byt nejen HTTP, ale i HTTPS, tak mas problem. Protoze chces delat neco, cemu ma HTTPS z principu branit - jde vlastne o variantu man-in-the-middle (MITM) utoku. V zasade mas asi dve moznosti, obe spatne:
    1) v kazdem kontejneru pro kazdy produkt nastavit proxy, takze ten klient na tom MITM bude vedome spolupracovat; samozrejme nastaveni proxy neni nejake jednotne a env. promennou sice dost veci bere, ale zdaleka ne vsechny.
    2) skutecne udelat MITM na spojeni nespolupracujich aplikaci. Tam ale potrebujes tem aplikacim vnutit svuj root certifikat jako duveryhodny. Opet plati, ze existuje bezny zpusob, jak to udelat, ale zdaleka ne vsechno ho pouziva.
    MARTEN
    MARTEN --- ---
    MUXX: Budu muset zkusit. Jen ta http_proxy variable neni podporovana kazdym toolem/jazykem a je pro nektere hrozny opruz najit co specialne potrebuji. Ale asi to zkusim
    Kliknutím sem můžete změnit nastavení reklam