В самом крайнем случае. Я ухреневаю когда docker.sock в контейнер пробрасывают

Этож считай рут на хостовой машине

почему? а как еще service discovery делать?

Хотел пулнуть пыху из реджестри просто

Собраную

Ну давай всем подряд рута на хоста раздавать, ага )

Вообще реально с помощью Kexec загрузиться с ядра из докера?

ну блин, если хост скомпрометировали, то там и без докерсокетов много чего навернут )

Report on spam message was send to admins. Plz be patient.

другой вопрос, если не знаешь, что лежит в контейнере

Сам собираешь или готовый какой-то софт чтоли? Если сам что мешает рядом собрать статику и в реджистри положить?

Там есть момент как volume работает. Пока он пустой - он наполнится статикой из пыха, но если ты обновишь образ - вольюм не перепишет содержимое. И привет. Надо костылять.  Это вообще при условии что у тебя одна тачка и все, а будет кластер будет еще веселее. Так что "right way" это напихать статику при сборке. Остальное костыли разной степени дикости.

докер же твое ядро катает емнип

> 2028й год от рождества господа нашего Ричарда Столлмана
> бсд

я точно не в канале с хентаем? )

Точно?

Ты о чем ? Если пробросить сокет докера в КОНТЕЙНЕР, то я из КОНТЕЙНЕРА могу получить рута на ХОСТЕ

В контейнере с пхп должен быть запущен php-fpm с портом наружу, на него и должен проксировать nginx

Необязательно наружу еси всякие docker-compose