• úvod
  • témata
  • události
  • tržiště
  • diskuze
  • nástěnka
  • přihlásit
    registrace
    ztracené heslo?
    ALMADDocker a kontejnery
    VELDRANE
    VELDRANE --- ---
    ...jinak dev ns a prod ns by meli mit oddelene clustery a tedy bys mel mit jasny vydefinovany kdo kam muze - vcetne pipeline.
    VELDRANE
    VELDRANE --- ---
    JON: to uz je trochu o tom jak mate nastaveny pipeliny pripadne procesy ktery s tim souvisej. Bud muzes mit namespace predvytvoreni v ramci zakladani projektu takoveho (u par zakazniku sem to videl), takze pak jen mazes objekty v nich. Nebo resis vytvareni namespacu o uroven niz kam nema pristup dev, nicmene muze nektere parametry ns ovlivnovat pres nejakej value file ale do logiky nesmi. Ty v ramci logiky overujes zda dotycny muze tohle na tom ns udelat nebo ne. Pripadne muzes zkusit na to napsat nakej operator, ale to mi prijde zbytecnej overkill
    JON
    JON --- ---
    VELDRANE: to ze api uz existuje, mas urcite pravdu, ale ja resim trochu slepice-vejce problem: potrebuju nejak z pipeliny zavolat vytvoreni noveho namespacu, ale zaroven v ni nechci mit kubeconfig, kterej ji opravnuje libovolne manipulovat s namespacama - zjednodusene chci, aby si uzivatele mohli on-demand zakladat a mazat dev-* namespacy, ale aby nemohli hrabat na prod-* namespacy.

    Nejde tady teda primarne o ten kubeconfig (s tim jen operuju v ramci te pipeliny), ale o nejakou RBAC roli, ktera tohle bude delat.

    V resourceNames nejde pouzit wildcard, a navic se tam pise: You cannot restrict create or deletecollection requests by their resource name. For create, this limitation is because the name of the new object may not be known at authorization time. ... tak nevim jak.
    VELDRANE
    VELDRANE --- ---
    JON: mno me to prinde ze to je blbej napad. To api uz existuje a jmenuje se kubernetes api, role prirazujes pres cluster role a kde mas uzivatele zalezi na instalaci - pouze lokalni admin, oidc provider, 3rd party - entra treba). Kubeconfig imho vygenerujes i bez nejakejch spesl opravneni.

    long story short - je to jen imho o tom jak udelas cluster roli, komu ji pridelis a jak vygenerujes kubeconfig. Na to nepotrbujes nic specialniho
    JON
    JON --- ---
    Lepsi auditko jsem nenasel: V k8s clusteru bych potreboval on-demand zakladat namespace (pro testovaci prostredi). Ted to delam z CI/CD pipeliny, ale nelibi se mi, ze tam (v gitlab variables) musi byt kubeconfig s pristupem k celemu clusteru - chtel bych tam dat jen kubeceonfig omezeny na dany namespace, ale ten jde vytvorit az kdyz namespace existuje (mi teda prijde, muzu se plest).

    Tak me napadlo si na to udelat servicu, ktera pobezi v tom clusteru, a prostym zavolanim nejakyho API provede kontrolu opravneni, spravnosti jmena namespacu a namespace zalozi a vrati k nemu kubeconfig.
    Je to dobrej napad? Spatnej napad? Jakej je to vlastne napad?
    Neexistuje uz neco takovyho?
    RUDOLF
    RUDOLF --- ---
    VOJTAM: v enterprise jedem tohle. Umí to automaticky měnit cpu/mem konfiguraci definic v EKS podle vlastního sledování. Když máš scheduling přes Karpenter, tak je to super. Trabl je, že joby jsou created tak do toho moc nechceme developerům moc šahat, ale často spinují underutilized pody. Ale tím že provozujeme i non-prod prostředí, tak tam se to hodí.

    IBM Turbonomic
    https://www.ibm.com/products/turbonomic
    MRDAC_BEDEN
    MRDAC_BEDEN --- ---
    VOJTAM: Na produkci a develop serveru pouzivame Docker Swarm. Primarni administracni nastroj je prikazova radka, deploy z Gitlabu. Doplnkove pouzivame Portainer a Swarmpit
    Swarmpit - ma hezke grafy pouzitych zdroju (CPU / MEM) pro jednotlive kontejnery
    Portainer - ma lepsi ui a vice moznosti
    VOJTAM
    VOJTAM --- ---
    Ahoj, používáte nějaký "container management" ? našel jsem yacht.sh a portainer.io.
    Je něco dalšího na co se podívat ?
    RUDOLF
    RUDOLF --- ---
    HVJ3R: nope, zapsalo to na fs. koukal jsem na to i z venku kontejneru. Ale ještě jsem tem compose ne-předefinoval. Tak dám vědět, je to takovej hobby job ke kterému se vracím čas od času.
    HVJ3R
    HVJ3R --- ---
    RUDOLF: Ja bych si aj tipnul, ze te to tam necha zapsat, ale pises do overlaye pro dany kontejner, nepropisuje se ti to do underlyimg FS. Nebo jo?
    UNTOY
    UNTOY --- ---
    RUDOLF: zkusil bych to 🤷
    RUDOLF
    RUDOLF --- ---
    UNTOY: nedeklaroval jsem ji. Mám pocit, že už to docker-compose nevyžaduje (aspoň podle dokuemetnace) - mám dát tu trojkovou?
    UNTOY
    UNTOY --- ---
    RUDOLF: jakou `version` máš v tom compose souboru?
    RUDOLF
    RUDOLF --- ---
    možná protože běžím v tom kontejneru jako root?
    RUDOLF
    RUDOLF --- ---
    něco mi uniká.. tohle z docker compose
    pywb:
    image: webrecorder/pywb:2.7.4
    volumes:
    - "/mnt/archive:/mnt/archive:ro"

    dám docker exec -it do toho kontejneru a mám RW přístup do /mnt/archive.. co mi uniká?
    MLEKAR_STEIN
    MLEKAR_STEIN --- ---
    je to hodně opensearch specifický, ale kdyby někdo věděl...

    [MLEKAR_STEIN @ Nerelační databáze a data v distribuovaném prostředí]
    GIOMIKY
    GIOMIKY --- ---
    GitHub - dockur/windows: Windows in a Docker container.
    https://github.com/dockur/windows
    MLEKAR_STEIN
    MLEKAR_STEIN --- ---
    MARTEN: je to pokračování toho, co jsi tu řešil a jde o to, aby ty dockery nikam z re mašiny nemohly?
    jestli jo, tak nevím o ničem, co by bylo přívětivý.
    RUDOLF
    RUDOLF --- ---
    MARTEN: traefik poslouchá na 443, máš tam nastavený routing pravidla, podle hostname např do různých služeb a systémový firewall má všechno krom 443 bloklé a těch pár jiných máš whitelistu. Vůbec bych dockeru firewall nenastoval, řeš to na úrovni OS. Ale možná jsem nepochopil tvůj problém;-)
    MARTEN
    MARTEN --- ---
    Resil jste nekdo nastaveni firewallu pro server kde bezi docker? Prijde mi ze docker je na tohle docela blby, hlavne tim jak se sam stara o pravidla v iptables.
    Co asi potrebuju je zakazat vsechny porty. Nektere povolit pouze z urcitych url. 80/443 povolit pro vsechny.
    Co mam ted je docker kde bezi traefik a contanery si vytvareni hosty. 80/443 je presmerovane na to (docker si sam dela pravidlo). V iptables pravidla na zakazani vseho a jen povoleni co potrebuju. Ale tohle mi relativne blbne a mlati se s pravidlama z dockeru. Co zadam vlastni, tak bud nefunguji, nebo kdyz funguji, tak ale zafunguji i jako egress.
    Nemate nekdo reseni tady pro to? Nejlepe i s gui, nebo lehce nastavitelne. Nektere sluzby budou pristupne z ostatnich serveru ale ne vsude muze byt docker swarm, aby to bylo lehci.
    Kliknutím sem můžete změnit nastavení reklam