• úvod
  • témata
  • události
  • tržiště
  • diskuze
  • nástěnka
  • přihlásit
    registrace
    ztracené heslo?
    ALMADDocker a kontejnery
    Docker aneb přístupný provoz kontejnerizovaných aplikací
    Docker(Hub), Compose, Swarm, boot2docker, DevOps, LXC, ECS, TumTum a jiné buzzwordy
    Bezpečnost v prostředí kontejnerů
    Related: automatizace [ Centralizovaná správa stanic a ostatních prvků v síti konfigurace/inventarizace/instalace/aktualizace/zalohovani ]
    rozbalit záhlaví
    VELDRANE
    VELDRANE --- ---
    JON: mno me to prinde ze to je blbej napad. To api uz existuje a jmenuje se kubernetes api, role prirazujes pres cluster role a kde mas uzivatele zalezi na instalaci - pouze lokalni admin, oidc provider, 3rd party - entra treba). Kubeconfig imho vygenerujes i bez nejakejch spesl opravneni.

    long story short - je to jen imho o tom jak udelas cluster roli, komu ji pridelis a jak vygenerujes kubeconfig. Na to nepotrbujes nic specialniho
    JON
    JON --- ---
    Lepsi auditko jsem nenasel: V k8s clusteru bych potreboval on-demand zakladat namespace (pro testovaci prostredi). Ted to delam z CI/CD pipeliny, ale nelibi se mi, ze tam (v gitlab variables) musi byt kubeconfig s pristupem k celemu clusteru - chtel bych tam dat jen kubeceonfig omezeny na dany namespace, ale ten jde vytvorit az kdyz namespace existuje (mi teda prijde, muzu se plest).

    Tak me napadlo si na to udelat servicu, ktera pobezi v tom clusteru, a prostym zavolanim nejakyho API provede kontrolu opravneni, spravnosti jmena namespacu a namespace zalozi a vrati k nemu kubeconfig.
    Je to dobrej napad? Spatnej napad? Jakej je to vlastne napad?
    Neexistuje uz neco takovyho?
    RUDOLF
    RUDOLF --- ---
    VOJTAM: v enterprise jedem tohle. Umí to automaticky měnit cpu/mem konfiguraci definic v EKS podle vlastního sledování. Když máš scheduling přes Karpenter, tak je to super. Trabl je, že joby jsou created tak do toho moc nechceme developerům moc šahat, ale často spinují underutilized pody. Ale tím že provozujeme i non-prod prostředí, tak tam se to hodí.

    IBM Turbonomic
    https://www.ibm.com/products/turbonomic
    MRDAC_BEDEN
    MRDAC_BEDEN --- ---
    VOJTAM: Na produkci a develop serveru pouzivame Docker Swarm. Primarni administracni nastroj je prikazova radka, deploy z Gitlabu. Doplnkove pouzivame Portainer a Swarmpit
    Swarmpit - ma hezke grafy pouzitych zdroju (CPU / MEM) pro jednotlive kontejnery
    Portainer - ma lepsi ui a vice moznosti
    VOJTAM
    VOJTAM --- ---
    Ahoj, používáte nějaký "container management" ? našel jsem yacht.sh a portainer.io.
    Je něco dalšího na co se podívat ?
    RUDOLF
    RUDOLF --- ---
    HVJ3R: nope, zapsalo to na fs. koukal jsem na to i z venku kontejneru. Ale ještě jsem tem compose ne-předefinoval. Tak dám vědět, je to takovej hobby job ke kterému se vracím čas od času.
    HVJ3R
    HVJ3R --- ---
    RUDOLF: Ja bych si aj tipnul, ze te to tam necha zapsat, ale pises do overlaye pro dany kontejner, nepropisuje se ti to do underlyimg FS. Nebo jo?
    UNTOY
    UNTOY --- ---
    RUDOLF: zkusil bych to 🤷
    RUDOLF
    RUDOLF --- ---
    UNTOY: nedeklaroval jsem ji. Mám pocit, že už to docker-compose nevyžaduje (aspoň podle dokuemetnace) - mám dát tu trojkovou?
    UNTOY
    UNTOY --- ---
    RUDOLF: jakou `version` máš v tom compose souboru?
    RUDOLF
    RUDOLF --- ---
    možná protože běžím v tom kontejneru jako root?
    RUDOLF
    RUDOLF --- ---
    něco mi uniká.. tohle z docker compose
    pywb:
    image: webrecorder/pywb:2.7.4
    volumes:
    - "/mnt/archive:/mnt/archive:ro"

    dám docker exec -it do toho kontejneru a mám RW přístup do /mnt/archive.. co mi uniká?
    MLEKAR_STEIN
    MLEKAR_STEIN --- ---
    je to hodně opensearch specifický, ale kdyby někdo věděl...

    [MLEKAR_STEIN @ Nerelační databáze a data v distribuovaném prostředí]
    GIOMIKY
    GIOMIKY --- ---
    GitHub - dockur/windows: Windows in a Docker container.
    https://github.com/dockur/windows
    MLEKAR_STEIN
    MLEKAR_STEIN --- ---
    MARTEN: je to pokračování toho, co jsi tu řešil a jde o to, aby ty dockery nikam z re mašiny nemohly?
    jestli jo, tak nevím o ničem, co by bylo přívětivý.
    RUDOLF
    RUDOLF --- ---
    MARTEN: traefik poslouchá na 443, máš tam nastavený routing pravidla, podle hostname např do různých služeb a systémový firewall má všechno krom 443 bloklé a těch pár jiných máš whitelistu. Vůbec bych dockeru firewall nenastoval, řeš to na úrovni OS. Ale možná jsem nepochopil tvůj problém;-)
    MARTEN
    MARTEN --- ---
    Resil jste nekdo nastaveni firewallu pro server kde bezi docker? Prijde mi ze docker je na tohle docela blby, hlavne tim jak se sam stara o pravidla v iptables.
    Co asi potrebuju je zakazat vsechny porty. Nektere povolit pouze z urcitych url. 80/443 povolit pro vsechny.
    Co mam ted je docker kde bezi traefik a contanery si vytvareni hosty. 80/443 je presmerovane na to (docker si sam dela pravidlo). V iptables pravidla na zakazani vseho a jen povoleni co potrebuju. Ale tohle mi relativne blbne a mlati se s pravidlama z dockeru. Co zadam vlastni, tak bud nefunguji, nebo kdyz funguji, tak ale zafunguji i jako egress.
    Nemate nekdo reseni tady pro to? Nejlepe i s gui, nebo lehce nastavitelne. Nektere sluzby budou pristupne z ostatnich serveru ale ne vsude muze byt docker swarm, aby to bylo lehci.
    MLEKAR_STEIN
    MLEKAR_STEIN --- ---
    GIOMIKY:
    no, je to blby heslo.
    helm si blbe nastavi heslo pro uzivatele. protoze tam neni to co je v secretu, ale neco jineho.

    a dokonce uz jsem prisel na to proc.

    po odinstalaci tam zustane pvc, kterej se v helmu jmenuje porad stejne, takze si to drzi stara data.
    GIOMIKY
    GIOMIKY --- ---
    MLEKAR_STEIN: Nepomohl by stejda duckduckgo.com?
    [bitnami/rabbitmq] invalid credentials issue when extraConfiguration used · Issue #4635 · bitnami/charts · GitHub
    https://github.com/bitnami/charts/issues/4635

    Stale jsem presvedcen, ze ty jsi se mel zamerit na heslo, kdyz mas hlasku neplatne jmeno nebo heslo.

    The secret defining the RABBITMQ_PASSWORD :

    ➜ kgsec rabbit -o yaml
    apiVersion: v1
    data:
    rabbitmq-erlang-cookie: SkZIRERQTUh6Mzd0Zk5Ba0w0a0VPbVBxamtPRXNsYzY=
    rabbitmq-password: bXlwYXNzCg==
    kind: Secret
    metadata:
    name: rabbit
    namespace: test1100
    type: Opaque
    MLEKAR_STEIN
    MLEKAR_STEIN --- ---
    VELDRANE: nakonec jsem zjistil, že to dělá vzdycky. měl jsem v testovacím values pro samotnyho rabbita chybu, nechal jsem tam prefix z globalnich values,, takze se neuplatnily a tak se vlastne nainstalocal bez parametrru.
    takze to dela dycky a tim padem to bude nekde okolo readiness probe, ta chyba co to vypisuje na to smeruje.
    VELDRANE
    VELDRANE --- ---
    MLEKAR_STEIN: hele rad bych Ti pomoh, ale ac mam s helmem pomerne bohaty zkusenosti tak sem subchart nikdy nepouzil. Smrdi to tim ze ten secret se nevyrenderuje - btw: nebylo to donedavna tak ze se secrets nerenderovaly vubec ?

    Co vyzvraci helm template ... -debug > nejakejfajl.out ?
    Kliknutím sem můžete změnit nastavení reklam