možná protože běžím v tom kontejneru jako root?

něco mi uniká.. tohle z docker compose
pywb:
image: webrecorder/pywb:2.7.4
volumes:
- "/mnt/archive:/mnt/archive:ro"

dám docker exec -it do toho kontejneru a mám RW přístup do /mnt/archive.. co mi uniká?

je to hodně opensearch specifický, ale kdyby někdo věděl...

[MLEKAR_STEIN @ Nerelační databáze a data v distribuovaném prostředí]

MARTEN: je to pokračování toho, co jsi tu řešil a jde o to, aby ty dockery nikam z re mašiny nemohly?
jestli jo, tak nevím o ničem, co by bylo přívětivý.

MARTEN: traefik poslouchá na 443, máš tam nastavený routing pravidla, podle hostname např do různých služeb a systémový firewall má všechno krom 443 bloklé a těch pár jiných máš whitelistu. Vůbec bych dockeru firewall nenastoval, řeš to na úrovni OS. Ale možná jsem nepochopil tvůj problém;-)

Resil jste nekdo nastaveni firewallu pro server kde bezi docker? Prijde mi ze docker je na tohle docela blby, hlavne tim jak se sam stara o pravidla v iptables.
Co asi potrebuju je zakazat vsechny porty. Nektere povolit pouze z urcitych url. 80/443 povolit pro vsechny.
Co mam ted je docker kde bezi traefik a contanery si vytvareni hosty. 80/443 je presmerovane na to (docker si sam dela pravidlo). V iptables pravidla na zakazani vseho a jen povoleni co potrebuju. Ale tohle mi relativne blbne a mlati se s pravidlama z dockeru. Co zadam vlastni, tak bud nefunguji, nebo kdyz funguji, tak ale zafunguji i jako egress.
Nemate nekdo reseni tady pro to? Nejlepe i s gui, nebo lehce nastavitelne. Nektere sluzby budou pristupne z ostatnich serveru ale ne vsude muze byt docker swarm, aby to bylo lehci.

MLEKAR_STEIN: Nepomohl by stejda duckduckgo.com?
[bitnami/rabbitmq] invalid credentials issue when extraConfiguration used · Issue #4635 · bitnami/charts · GitHub
https://github.com/bitnami/charts/issues/4635

Stale jsem presvedcen, ze ty jsi se mel zamerit na heslo, kdyz mas hlasku neplatne jmeno nebo heslo.

The secret defining the RABBITMQ_PASSWORD :

➜ kgsec rabbit -o yaml
apiVersion: v1
data:
rabbitmq-erlang-cookie: SkZIRERQTUh6Mzd0Zk5Ba0w0a0VPbVBxamtPRXNsYzY=
rabbitmq-password: bXlwYXNzCg==
kind: Secret
metadata:
name: rabbit
namespace: test1100
type: Opaque

VELDRANE: nakonec jsem zjistil, že to dělá vzdycky. měl jsem v testovacím values pro samotnyho rabbita chybu, nechal jsem tam prefix z globalnich values,, takze se neuplatnily a tak se vlastne nainstalocal bez parametrru.
takze to dela dycky a tim padem to bude nekde okolo readiness probe, ta chyba co to vypisuje na to smeruje.

MLEKAR_STEIN: hele rad bych Ti pomoh, ale ac mam s helmem pomerne bohaty zkusenosti tak sem subchart nikdy nepouzil. Smrdi to tim ze ten secret se nevyrenderuje - btw: nebylo to donedavna tak ze se secrets nerenderovaly vubec ?

Co vyzvraci helm template ... -debug > nejakejfajl.out ?

GIOMIKY: to je čistej rabbitmq, tam žadnej apache neni
to spís je záznam od readiness probe nebo néco takovýho

MLEKAR_STEIN: logy apache si zkoumal? Ještě se může přístup řídit skupinou.

GIOMIKY:
ale tady se zadny hesla nikde nezadavaji. a zadny externi ucty to nema napojene.

pri instalaci si to vygeneruje secret s heslem, to je v obou dvou pripadech vygenerovany,

a asi maji neco blbe v helmu, protoze kdyz se da instalace uplne bez parametru, tak to prochazi spravne.
no nic, bitnami image.

MLEKAR_STEIN: Pátrej po heslech. Někde je blbě zadaný heslo. Nebo bloklej účet.

GIOMIKY:
tohle je stav po `helm install`
a neni to zavisly na zadnym externim zdroji.
jsou to vsechno ciste instalace do prazdneho namespace.
kdyz udelam prave cistou instalaci samotnyho chartu, tak to jede,
kdyz udelam instalaci jako subchartu, tak to hlasi tohle.

MLEKAR_STEIN: Nezmenil sis v posledni dobe nekde nejaky heslo?

a teda fuckup jestli nekdo nevite,
mam rabbitmq jako subchart, kdyz je jako subchart, tak se v logu objevi hlaska
a kontejner se nidky nedostane do stavu running, o kdyz vlastne bezi.


kdyz to s tema samyma values zkusim nainstalovat samotny, tak to normalne bezi.