Ahoj, používáte nějaký "container management" ? našel jsem yacht.sh a portainer.io.
Je něco dalšího na co se podívat ?

HVJ3R: nope, zapsalo to na fs. koukal jsem na to i z venku kontejneru. Ale ještě jsem tem compose ne-předefinoval. Tak dám vědět, je to takovej hobby job ke kterému se vracím čas od času.

RUDOLF: Ja bych si aj tipnul, ze te to tam necha zapsat, ale pises do overlaye pro dany kontejner, nepropisuje se ti to do underlyimg FS. Nebo jo?

UNTOY: nedeklaroval jsem ji. Mám pocit, že už to docker-compose nevyžaduje (aspoň podle dokuemetnace) - mám dát tu trojkovou?

RUDOLF: jakou `version` máš v tom compose souboru?

možná protože běžím v tom kontejneru jako root?

něco mi uniká.. tohle z docker compose
pywb:
image: webrecorder/pywb:2.7.4
volumes:
- "/mnt/archive:/mnt/archive:ro"

dám docker exec -it do toho kontejneru a mám RW přístup do /mnt/archive.. co mi uniká?

je to hodně opensearch specifický, ale kdyby někdo věděl...

[MLEKAR_STEIN @ Nerelační databáze a data v distribuovaném prostředí]

MARTEN: je to pokračování toho, co jsi tu řešil a jde o to, aby ty dockery nikam z re mašiny nemohly?
jestli jo, tak nevím o ničem, co by bylo přívětivý.

MARTEN: traefik poslouchá na 443, máš tam nastavený routing pravidla, podle hostname např do různých služeb a systémový firewall má všechno krom 443 bloklé a těch pár jiných máš whitelistu. Vůbec bych dockeru firewall nenastoval, řeš to na úrovni OS. Ale možná jsem nepochopil tvůj problém;-)

Resil jste nekdo nastaveni firewallu pro server kde bezi docker? Prijde mi ze docker je na tohle docela blby, hlavne tim jak se sam stara o pravidla v iptables.
Co asi potrebuju je zakazat vsechny porty. Nektere povolit pouze z urcitych url. 80/443 povolit pro vsechny.
Co mam ted je docker kde bezi traefik a contanery si vytvareni hosty. 80/443 je presmerovane na to (docker si sam dela pravidlo). V iptables pravidla na zakazani vseho a jen povoleni co potrebuju. Ale tohle mi relativne blbne a mlati se s pravidlama z dockeru. Co zadam vlastni, tak bud nefunguji, nebo kdyz funguji, tak ale zafunguji i jako egress.
Nemate nekdo reseni tady pro to? Nejlepe i s gui, nebo lehce nastavitelne. Nektere sluzby budou pristupne z ostatnich serveru ale ne vsude muze byt docker swarm, aby to bylo lehci.

MLEKAR_STEIN: Nepomohl by stejda duckduckgo.com?
[bitnami/rabbitmq] invalid credentials issue when extraConfiguration used · Issue #4635 · bitnami/charts · GitHub
https://github.com/bitnami/charts/issues/4635

Stale jsem presvedcen, ze ty jsi se mel zamerit na heslo, kdyz mas hlasku neplatne jmeno nebo heslo.

The secret defining the RABBITMQ_PASSWORD :

➜ kgsec rabbit -o yaml
apiVersion: v1
data:
rabbitmq-erlang-cookie: SkZIRERQTUh6Mzd0Zk5Ba0w0a0VPbVBxamtPRXNsYzY=
rabbitmq-password: bXlwYXNzCg==
kind: Secret
metadata:
name: rabbit
namespace: test1100
type: Opaque

VELDRANE: nakonec jsem zjistil, že to dělá vzdycky. měl jsem v testovacím values pro samotnyho rabbita chybu, nechal jsem tam prefix z globalnich values,, takze se neuplatnily a tak se vlastne nainstalocal bez parametrru.
takze to dela dycky a tim padem to bude nekde okolo readiness probe, ta chyba co to vypisuje na to smeruje.

MLEKAR_STEIN: hele rad bych Ti pomoh, ale ac mam s helmem pomerne bohaty zkusenosti tak sem subchart nikdy nepouzil. Smrdi to tim ze ten secret se nevyrenderuje - btw: nebylo to donedavna tak ze se secrets nerenderovaly vubec ?

Co vyzvraci helm template ... -debug > nejakejfajl.out ?

GIOMIKY: to je čistej rabbitmq, tam žadnej apache neni
to spís je záznam od readiness probe nebo néco takovýho

MLEKAR_STEIN: logy apache si zkoumal? Ještě se může přístup řídit skupinou.

GIOMIKY:
ale tady se zadny hesla nikde nezadavaji. a zadny externi ucty to nema napojene.

pri instalaci si to vygeneruje secret s heslem, to je v obou dvou pripadech vygenerovany,

a asi maji neco blbe v helmu, protoze kdyz se da instalace uplne bez parametru, tak to prochazi spravne.
no nic, bitnami image.