DN
Статья о том как человек не смог осилить докер и хейтит его, большую часть статьи я прокоментирую такой картинкой 😊
почему они не в жопе друг у друга ковыряются??
Size: a a a
2019 September 17
GG
но это из серии - а давайте заюзаем куберенетис и будем его езать на 5%
GG
почему они не в жопе друг у друга ковыряются??
а ты наговникал на вентилятор?
GM
Ну и официальные говноконтейнеры тоже доставляют.
не. единственное что приемлимо для меня это разве что какой-нить гитлаб официальный. где слишком большой комбайн что бы время убивать на переделку пока не надо. а дальше там под куб есть
DN
а ты наговникал на вентилятор?
нет
DN
я же озвучивал свою позицию
SE
почему они не в жопе друг у друга ковыряются??
мопед не мой, я только надпись вставил 😊
МS
я вынужден подгореть и написать коментарий.
большая часть описанных "проблем" на самом деле не проблемы, а нечто из серии "не хочу читать документацию, а хочу что бы все как-то работало".
- docker и файрволл - тут даже ответ есть. Ошибкой было скорее вообще делать автоматическое создание правил по умолчанию - ну какой человек в здавром уме не будет управлять файрволом на серверах?
docker и сети - первая половина про то что почему то докер композ(отдельная от докера утилита и не нужная для его работы) игнорирует некую кастомную настройку докера(очень странно да?). Причем там даже комментатор вылез который сделал вид что понимает(на самом деле нет) пару строчек кода на голенге.
документация:
networks:
app:
ipam:
driver: default
config:
- subnet: 10.10.11.1/22
вторая половина:
"это что же надо параметры ядра крутить опять?".
docker — это не про совместимость
" Только через полную потерю всех volume и image" вот это горе, это же теперь целых 5 минут скачивать контейнеры из регистри.
вторая половина просто без коментариев.
docker hub — это помойка
ну кто опять же в здравом уме будет использовать нечто собранное непонятно где и кем? Изначально надуманная проблема и сразу же выкачено решение в конце абзаца
Путаница с терминами и с ключами командной строки
в чем проблема то? ну у меня тоже плохая память - поставил себе плагин в иде - кожа сразу стала гладкая и шелковистая
Порядок запуска
Ну окей, у нас есть бд, Читаем документацию делаем хелсчек ставим depends_on condition: service_healthy - доступно с версии 2.1 те оченью давно. Если для чего-то кроме миграций важен порядок запуска то пожалуй стоит прекратить на время разработку ПО и заняться самообразованием и наконец-то научиться делать нормально.
Форматы docker-compose
Опять лень читать документацию
Установка
И опять лень читать документацию
docker и безопасность
это уже затянулось, но опять лень читать документацию, но уже с рецидивами.
Опять же сделали как с iptables. Для максимально ленивых людей которые и на документацию не хотят потратить 5 минут. И даже за это огребли.
https://docs.docker.com/engine/security/trust/content_trust/
https://docs.docker.com/engine/security/security/
https://docs.docker.com/engine/security/apparmor/
https://docs.docker.com/engine/security/seccomp/
https://docs.docker.com/engine/security/userns-remap/
https://github.com/dev-sec/cis-docker-benchmark
https://github.com/docker/docker-bench-security
https://www.cisecurity.org/benchmark/docker/
https://csrc.nist.gov/CSRC/media/Publications/Shared/documents/itl-bulletin/itlbul2017-10.pdf
https://nvlpubs.nist.gov/nistpubs/ir/2017/NIST.IR.8176.pdf
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-190.pdf
https://docs.docker.com/engine/security/https/
https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux_atomic_host/7/html/container_security_guide/overview
https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux_atomic_host/7/html/container_security_guide/docker_selinux_security_policy
https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux_atomic_host/7/html/container_security_guide/docker_selinux_security_policy#leveraging_the_docker_selinux_security_model
https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux_atomic_host/7/html/container_security_guide/container_security_practices
https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux_atomic_host/7/html/container_security_guide/linux_capabilities_and_seccomp
http://jaormx.github.io/2018/selinux-and-docker-notes/
https://success.docker.com/article/security-best-practices
ну вообще прям никакой безопаности в докере, а селинукс тоже выключим потому что иначе ничего не работает.
большая часть описанных "проблем" на самом деле не проблемы, а нечто из серии "не хочу читать документацию, а хочу что бы все как-то работало".
- docker и файрволл - тут даже ответ есть. Ошибкой было скорее вообще делать автоматическое создание правил по умолчанию - ну какой человек в здавром уме не будет управлять файрволом на серверах?
docker и сети - первая половина про то что почему то докер композ(отдельная от докера утилита и не нужная для его работы) игнорирует некую кастомную настройку докера(очень странно да?). Причем там даже комментатор вылез который сделал вид что понимает(на самом деле нет) пару строчек кода на голенге.
документация:
networks:
app:
ipam:
driver: default
config:
- subnet: 10.10.11.1/22
вторая половина:
"это что же надо параметры ядра крутить опять?".
docker — это не про совместимость
" Только через полную потерю всех volume и image" вот это горе, это же теперь целых 5 минут скачивать контейнеры из регистри.
вторая половина просто без коментариев.
docker hub — это помойка
ну кто опять же в здравом уме будет использовать нечто собранное непонятно где и кем? Изначально надуманная проблема и сразу же выкачено решение в конце абзаца
Путаница с терминами и с ключами командной строки
в чем проблема то? ну у меня тоже плохая память - поставил себе плагин в иде - кожа сразу стала гладкая и шелковистая
Порядок запуска
Ну окей, у нас есть бд, Читаем документацию делаем хелсчек ставим depends_on condition: service_healthy - доступно с версии 2.1 те оченью давно. Если для чего-то кроме миграций важен порядок запуска то пожалуй стоит прекратить на время разработку ПО и заняться самообразованием и наконец-то научиться делать нормально.
Форматы docker-compose
Опять лень читать документацию
Установка
И опять лень читать документацию
docker и безопасность
это уже затянулось, но опять лень читать документацию, но уже с рецидивами.
Опять же сделали как с iptables. Для максимально ленивых людей которые и на документацию не хотят потратить 5 минут. И даже за это огребли.
https://docs.docker.com/engine/security/trust/content_trust/
https://docs.docker.com/engine/security/security/
https://docs.docker.com/engine/security/apparmor/
https://docs.docker.com/engine/security/seccomp/
https://docs.docker.com/engine/security/userns-remap/
https://github.com/dev-sec/cis-docker-benchmark
https://github.com/docker/docker-bench-security
https://www.cisecurity.org/benchmark/docker/
https://csrc.nist.gov/CSRC/media/Publications/Shared/documents/itl-bulletin/itlbul2017-10.pdf
https://nvlpubs.nist.gov/nistpubs/ir/2017/NIST.IR.8176.pdf
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-190.pdf
https://docs.docker.com/engine/security/https/
https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux_atomic_host/7/html/container_security_guide/overview
https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux_atomic_host/7/html/container_security_guide/docker_selinux_security_policy
https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux_atomic_host/7/html/container_security_guide/docker_selinux_security_policy#leveraging_the_docker_selinux_security_model
https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux_atomic_host/7/html/container_security_guide/container_security_practices
https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux_atomic_host/7/html/container_security_guide/linux_capabilities_and_seccomp
http://jaormx.github.io/2018/selinux-and-docker-notes/
https://success.docker.com/article/security-best-practices
ну вообще прям никакой безопаности в докере, а селинукс тоже выключим потому что иначе ничего не работает.
Весь docker это про хуяк хуяк и в продакшн
а тут выясняется, что надо читать доку?!
а тут выясняется, что надо читать доку?!
DN
собаки лают, каравану надо идти
GG
собаки лают, каравану надо идти
замолчи, пес )
GM
Весь docker это про хуяк хуяк и в продакшн
а тут выясняется, что надо читать доку?!
а тут выясняется, что надо читать доку?!
я вот ночью часа за 4 все прочитал. еще и с допами и по ЕЕ
GM
че там читать то
DN
Весь docker это про хуяк хуяк и в продакшн
а тут выясняется, что надо читать доку?!
а тут выясняется, что надо читать доку?!
лет пять назад ( а может и больше) весь инет пестрел говностатьями типа "docker run myapp" олололо и все!
DN
кто-то до сих пор так и пользуется
DN
Я ЖЕ СКОЧЯЛ ОБРАЗ С ДОКЕРХАБА ПОЧЕМУ ОНО НЕ РАБОТАЕТ
GG
лет пять назад ( а может и больше) весь инет пестрел говностатьями типа "docker run myapp" олололо и все!
мы так гитлаб обмазали баш скриптами ) сердито, но работает )
GG
Я ЖЕ СКОЧЯЛ ОБРАЗ С ДОКЕРХАБА ПОЧЕМУ ОНО НЕ РАБОТАЕТ
GG
там куча подводных камней
МS
т.е. вольюмы не шаришь между контейнерами?
а нахуя?
GG
я запустил бд сервер - а оно не коннектит. ПАМАГИТЕ ПАЧИМУ