Hirdetés
Új hozzászólás Aktív témák
-
őstag
válasz samujózsi #200 üzenetére
Nem egy ilyen projekten kellett már dolgoznom.
Ott volt, hogy inkább fél lábon álltak, csak ne nyúljak az éppen működő rendszerhez.
Nyílván nem szélsőségesen, de én pl többre tartom a működést, mint a legfrissebb verziót. Még így, konténerekben is el tud néha b@szódni ez-az. -
haddent
addikt
válasz samujózsi #200 üzenetére
De ez tényleg nem tetszés kérdése. Ahogy írta a kollega, ez így működik. Pull, rebuild, deploy. Ez mehet CI alól teljesen beavatkozásmentesen. Tényleg nem sértésből, de az iparban óriási területeket hódított már meg és exponenciálisan nő évről évre. Ez, így, a te felhasználásodnál komolyabb és kritikusabb területeken
De ha ennyire kritikus számodra, akkor a CI tényleg nem értem miért nem jó megoldás. Tetszőleges X percenként pull, ha van új image akkor indul a saját image build, a végén pedig deploy. Közben bármelyik pontnál lehetnek tesztek is, nyilvángolya87 hoho, amikor megkapod a 4-5 éve telepített, akkor is lts -ként felrakott, elavúlt hulladék szutykot és hát őőő.. nem megy, frissíteni kéne. Ja, hogy azt senki nem fogja megcsinálni, mert minden 52 féleképpen dependency break meg társai
[ Szerkesztve ]
-
-
samujózsi
senior tag
-
-
samujózsi
senior tag
válasz stickermajom #208 üzenetére
Naprakészt ne úgy értsd, hogy amint bekerült a bugos szoftver forrásába a patch, már ugrik is fel az éles vasra.
Azért ennek jobb helyeken megvan a maga sorrendje.
De azt, hogy valami ismert lyuk hetekig tátong egy publikus szerveren, mert rajtam kívülálló ok miatt esélyem sincs felrakni a javítást... és sajnos van ilyen is...Primadonnát felveszünk! https://youtu.be/9lETrcMJZJM
-
samujózsi
senior tag
Egy kis trollkodás: [link] - google-n keresgélve találtam.
Primadonnát felveszünk! https://youtu.be/9lETrcMJZJM
-
haddent
addikt
válasz samujózsi #209 üzenetére
Elég nagy állami cégnél dolgozom, szarásig van virtualizálva, HA (high availability), cluster stb.. amit el tudsz képzelni, tényleg, Microsoft on-premise nem tudsz olyat kitalálni ami nincs. Ennek ellenére senkinek eszébe nem jutna random befrissíteni semmit. Erre vannak a tűzfalak, ips/ids, intrusion detection, endpoint detection stb. Majd munkaidőn kívül, előre tervezetten.
Az pedig nem, hogy túlzás, hanem egyenesen nem igaz, hogy nem áll módodban. Ha annyira kell, minden buildelsz akár forrásból Más kérdés, hogy emberi lény ilyet nem tesz, az is biztos. -
samujózsi
senior tag
szerintem ezt gondold àt újra, mert kb semmi köze ahhoz, amit írtam... épp azt írtam, hogy egy ilyen update/patch telepítésének megvan a maga rendje. Általában. Azért volt már olyan, ami akkora lyukat javított, hogy teszt nélkül fel kellett zavarni az éles szerverre.
IPS/IDS meg nem igazán arra van, hogy helyettesítse a biztonsági patch-ek telepítését.
Primadonnát felveszünk! https://youtu.be/9lETrcMJZJM
-
samujózsi
senior tag
No, ez már érdekesebb: azon a vason, ahol most egy kvm-ben fut pár service, felraktam egy alpine alapú konténerbe egy squid-t, a konfig fájlt kimásolva a kvm-ből, hogy amennyire lehet, egyforma konfiggal fussanak.
Ha a kvm-ben futó proxy-t használom, akkor a négy magos CPU egy magja 100%-on pörög a kvm processzen dolgozva, plusz egy másik magon 40% körül egy vnet-xxxx processz.
Ha a konténerbe pakolt proxy-t használom, akkor egyedül a konténer eszi a processzort, max. 60-70%-on.Ez az a pont, ahol kezdek elgondolkodni rajta, hogy esetleg nekem is megéri a macera a konténerekkel...
Primadonnát felveszünk! https://youtu.be/9lETrcMJZJM
-
samujózsi
senior tag
Hát ha sértetlen a rendszered ÉS a ps kimenetében a konténer egy privilegizálatlan user nevében fut, akkor pontosan annyit tud tenni, mint bármely más, nem admin/root jogú user.
------------------------------------------------------------------------------
A gond ott van, hogy alaphelyzetben a konténer processz is root jogú, ráadásul az összes joggal rendelkezik, nincs korlátozva (lásd man 7 capabilities).
Ha be van zárva kellőképp, akkor sem lehet 100%-os biztonsággal állítani, hogy ebből nem fog kitörni senki (mert szerintem csak idő kérdése, előbb-utóbb mindig találnak valamit, ahogy asszem idén tavasszal volt is valami ilyen gond a dockerrel), de akkor legalább elmondhatom, hogy a magam részéről mindent megtettem a biztonság érdekében.Primadonnát felveszünk! https://youtu.be/9lETrcMJZJM
-
PumpkinSeed
addikt
válasz samujózsi #216 üzenetére
Ha ilyen alapon megyunk akkor azert ne fejlodjon a vilag infrastrukture szinten mert elobb-utobb mindent meg lehet boritani? Nalunk egy 1000+ konteneres k8s cluster fut penzugyi rendszerrel. Ezt azert nehez lenne replikalni egy nem kontenerizalt kornyezetbe. Nyilvan meg kell mindent tenni, hogy a kontenerek biztonsagosak legyenek. Ami nem azt jelenti, hogy beirom Google-be "how to secure docker image".
[ Szerkesztve ]
"Akinek elég bátorsága és türelme van ahhoz, hogy egész életében a sötétségbe nézzen, elsőként fogja meglátni benne a fény felvillanását." - Kán
-
samujózsi
senior tag
válasz PumpkinSeed #217 üzenetére
Ennek mi köze ahhoz, ami írtam?
Primadonnát felveszünk! https://youtu.be/9lETrcMJZJM
-
huliganboy
addikt
Sziasztok!
Korábban kértem segítséget. A docker megy, a container elindult, fut, de valami nem jó... Több napom ráment már, nem vagyok az a feladós típus, de most kezdem feladni...
Tudom nem szép dolog, de valaki sör, csoki, kóla fejében nem nézne rá kivűlről ha adok egy SSH hozzáférést?
Ubuntu 16 Server
Ez a docker én futtatni kívánt dolog -
samujózsi
senior tag
válasz huliganboy #219 üzenetére
Nem publikus, hogy mi a konkrét gond?
Esetleg (ha nem is én) valaki egy részletesebb hibaleírás alapján tudna segíteni.Primadonnát felveszünk! https://youtu.be/9lETrcMJZJM
-
huliganboy
addikt
válasz samujózsi #220 üzenetére
Szia!
Publiksnak publikus, csak nem értem... A docker elméletét megtanultam, már a használat is menne, csak ez amit futtatom kell benne nem megy, pedig elméletileg jól van konfigurálva.... Még a logolás sem működik benne...
Jelenleg haddent segít, leírom majd mi volt a gond, ha elmondja..
-
samujózsi
senior tag
válasz huliganboy #221 üzenetére
Ennyiből én arra tippelek, hogy nem indul el benne a programod/elindul és kilép, mert démont indítasz anélkül, hogy ráerőltetnéd a foreground módot (ugye a démonként működő programok nagy része úgy indul, ha parancssorból indítod, hogy forkolja magát és az előtérben futó processz kiszáll), mindehhez esetlegesen társítva egy --rm kapcsolót, hogy nyoma se maradjon.
Na jó, ha haddent boldogul vele, akkor én kiszálltam, majd írd meg, mi volt
[ Szerkesztve ]
Primadonnát felveszünk! https://youtu.be/9lETrcMJZJM
-
huliganboy
addikt
válasz samujózsi #222 üzenetére
Ne szállj ki! Szeretem megérteni a dolgokat...
a program elindul, sőt a
sudo docker ps -a
listázza us hogy up és mutatja mióta...A lényege ennek, hogy több fajta riasztót lehet vele okosítani, okos otthonba integrálni. Soros porton csatlakozik a szerver a riasztóhoz, és elvileg ez a program MQTT és IP modult emulál mellé. A Kommunikáció soros porton zajlik ezután...
[ Szerkesztve ]
-
haddent
addikt
válasz samujózsi #222 üzenetére
Nagyon sok alapvető faxság, amit a git készítője rontott el, nem a user tehet róla.. Kezdve onnan, hogy nem bind-mountolunk ilyen aliasokkal, hogy "~/", mert hiába van a compose-ban UID=1000, a compose -t magát a root futtatja és tök meglepő módon a /root -ra létrehozta a /home/blabla -n keresett dolgott
Nem mappelünk (meg mégis hogy?!) directoryt - fájlba és fordítva. Meg még pár "apróság"
Na mindegy, most épp megy, de a /dev/ttyusb0 chownolnom kellett a userének, mert le se szarta a group membershipeket. Ez a része ugyan nem szép, de egyelőre megy.IP bindolni nem tud, szerintem kétszer akarja megkötni a 10000 portot, mert amikor nem fut, akkor semmi nem fogja. Amint elindul foglalt de ő is ezt látja..Megy az is, konfig el volt írva, host ip -re akart bindolni, pedig ugye konténeren belül 0.0.0.0 -ra bindolunk
[ Szerkesztve ]
-
haddent
addikt
válasz huliganboy #225 üzenetére
Szerkesztettem, nézd meg, szerintem már az is megy
pai | 2020-01-04 13:11:31,318 - INFO - PAI.paradox.connections.serial_connection - Connecting to serial port /dev
/ttyUSB0
pai | 2020-01-04 13:11:31,324 - INFO - PAI.paradox.connections.serial_connection - Serial port open
pai | 2020-01-04 13:11:31,325 - INFO - PAI.paradox.paradox - Connecting to panel
pai | 2020-01-04 13:11:31,325 - INFO - PAI.paradox.paradox - Initiating communication
pai | 2020-01-04 13:11:31,330 - INFO - PAI.paradox.interfaces.ip_interface - IP Interface: serving on ('0.0.0.0',
10000)
pai | 2020-01-04 13:11:31,331 - INFO - PAI.paradox.interfaces.ip_interface - IP Interface startedArra figyelj máskor, hogy konfigokban nem elég, hogy törlöd a # előle, a space is kell törölni. Illetve konténeren belül "mindenhova" (0.0.0.0) bindolunk, nem a külső hoszt lan ip -re, mert akkor szépen összeakad (a Docker engine bindolja a külső portot és NAT-olja be a konténerbe. A konténernek tök más IP címe van, nem is tudnál a külsőre bindolni. Ha ezt ki akarod hagyni, akkor futtathatod network_mode host -ban és akkor natívan megy NAT nélkül)
[ Szerkesztve ]
-
samujózsi
senior tag
Hűbammeg... hát ebből jobb ha kimaradok.
És ilyenkor röhög a rossz májam, az "én megmondtam", hogy ez a docker azért elég necces játék, mert amíg egy disztro készítőjében, ha kényszerből is, de megbízom, addig a docker, amit nem from scratch építek... és ugye a docker egyik nagy előnye pont az lenne, hogy a from scratch kihagyható.(#223) huliganboy
Akkor eleve tárgytalan amit írtam. Egyébként az ötlet onnan jött, hogy log általában van, ha a konténer elindul normálisan.Primadonnát felveszünk! https://youtu.be/9lETrcMJZJM
-
haddent
addikt
válasz samujózsi #227 üzenetére
Hát ez valami zug github repo cucc, örüljünk, ha egyáltalán menni fog.. Azóta látom be akart lépni (gondolom vmi kliensről) és a python kód elhányta magát valami exceptionnel
Mindegy, ahogy én látom most a Docker része rendben van, fogjuk rá.
De válts(atok) le a debugban, mennem kell most kicsit -
samujózsi
senior tag
válasz huliganboy #229 üzenetére
Hát ha nem egy mappelt directory-ban van a konfig, akkor valami rebuild-féleség.
Primadonnát felveszünk! https://youtu.be/9lETrcMJZJM
-
haddent
addikt
válasz huliganboy #229 üzenetére
Csak re-up és kész, de az kell
-
addikt
Sziasztok!
Felraktam dockerben a Watchtowert-t, hogy majd az frissítget mindent, frissített is, csak azóta a Jackett nem hajlandó működni, nem tud az adott oldalhoz csatlakozni, ezt írja:
An error occured while updating this indexer
The operation was canceled.
Logban az első sorban ez van: System.Threading.Tasks.TaskCanceledExceptionValaki találkozott már ilyennel?
Swift 1.3 GLX, Garmin Fēnix 6s, EOS R, Dell T110 II, iPad Pro, iPhone 15 Pro, Unifi
-
szuszinho
őstag
Sziasztok,
Egy ideje gond nélkül használom már a dockert (emby, domoticz, pihole, habridge, openvpn-as, stb.). Amikor ugyanazon portot használná 2 konténer, akkor megváltoztattam az egyiket, és a böngészőbe ezt írva el is érem. Most ngix, owncloud következne, de a 80, és a 443 is foglalt. Továbbra is ezt a gyakorlatot kövessem, hogy megváltoztatom ezeket a portokat, így már egyre nehezebb lesz észben tartani mi hol van, vagy létezik valami elegánsabb megoldás is?
Köszi!
-
samujózsi
senior tag
válasz szuszinho #233 üzenetére
Csak úgy a "pálya széléről": úgy emlékszem, nem csak porthoz lehet rendelni. Ha a host több IP címmel rendelkezik, akkor a különböző IP-khez rendelheted a konténered portjait.
Akár ugyanahhoz az adapterhez is felvehetsz több IP-t, így el tudod különíteni a konténereket is. Kérdés, hogy ez elegánsnak számít-ePrimadonnát felveszünk! https://youtu.be/9lETrcMJZJM
-
-
szuszinho
őstag
Na ez jó móka lesz: duckdns, letsencrypt, nginx, mariadb, nextcloud...
Már csak egy jó leírást kell találnom. Ma éjjel nem alszom -
haddent
addikt
válasz szuszinho #236 üzenetére
Ahogy írta a kolléga, nginx többek közt erre is kiváló: reverse proxy. Ráadásul ha esetleg veszel 1 domaint ami nem vészes, akkor nem portokkal meg ip -kel kell szenvedni, hanem emby.te.hu, cloud.te.hu stb. Sokkal kifinomultabb ráadásul biztonságosabb is, https/ssl endpoint stb.
Ahogy samujózsi írta, külön ip -re is kötheted, de mindenképp az első megközelítés az elegáns. Valamennyire nézz utána szerintem, hogy az alapok, működési elv legyen meg, utána szívesen segítek és vagyunk itt páran akik nem először vágnának bele, ha elakadnálPl.:
https://docs.nginx.com/nginx/admin-guide/web-server/reverse-proxy/
https://www.scaleway.com/en/docs/how-to-configure-nginx-reverse-proxy/[ Szerkesztve ]
-
haddent
addikt
válasz samujózsi #238 üzenetére
Az nginx fog listenelni a 80, 443 porton (80 -> 443 átirányítás, ssl/https miatt ugye), és a http(s) requestből eldönti, hogy hova irányítson át. Tehát a gyakorlatban best practice szerint úgy néz ki, hogy:
kliensek --- (https app protocol, 443 port, fqdn) --- > nginx (ssl bontás, fqdn értelmezése, 80 -> 443 redirect, headerek csatolása stb..) ---- http (vagy https, de itt már nem indokolt az ssl) ---> valódi szerver
Vagyis a kliensek az nginx -szel beszélnek és az nginx beszél az aktuális szerverekkel. Kívülről biztonságos, belülről akár sima http is lehet, így különböző layer7 analizálók is benézhetnek a forgalomba, it security stb.
Nagyjábol ilyen elven lehet egyetlen ip címen hosztolni lényegében végtelen számú domaint, szervert.
Pl. egyszerűség kedvéért legyen a publikus cím 1.2.3.4 és van egy Teszt.hu meg egy Valami.hu cím, aldomainekkel. Ekkor
Teszt.hu meghívod a böngészőben, resolveolódik 1.2.3.4 -re, de a requestben benne lesz, hogy te "Teszt.hu" címen keresed, nginx fut 80,443 -on, elkapja, látja a Teszt.hu, ezért a 192.168.1.123:1234 szerverre továbbít, tetszőleges, bármilyen porton (így egy szerveren futhat akár 100 másik nginx, apache bármi is, más-más portokon)
Valami.hu -t meg mondjuk a 10.20.30.40:80 -ra, emby.valami.hu meg a 10.20.30.41:8096 -ra.
Ebből kívülről semmit nem fogsz látni, zökkenőmentes, https kapcsolatod lesz.
Kb így lehetne jellemezni konyhanyelven rövidenA felhasználóbarát kényelmen óriási előnye, hogy igazából csak 80,443 van nyitva az internet felé, nem kell 5-10-100 portot megnyitnod
[ Szerkesztve ]
-
őstag
Sziasztok!
Docker for Windows-ban, powershell-en keresztül, ha futtatom a docker volume create test_meghajto parancsot. Akkor a test_meghajto mappa(?) hol jön létre?
A Settings/Resources/Advanced/Disk Image Location beállítás gondolom nem erre szolgál, mert ott csak egy vhdx file van.Köszönöm a segítséget!
-
haddent
addikt
-
instantwater
addikt
válasz szuszinho #233 üzenetére
Amit keresel az a következő: jwilder/nginx-proxy
Automatizált nginx.
Automatikusan létrehozza a megfelelő virtualhostokat, és egy darab 80/443 porttal használhatsz akármennyi konténert.Ez pedig egy Let's Encrypt kiegészítő a fenti proxyhoz.
Innentől már csak egy darab domain név, néhány subdomainnel bekonfigurálva a szervered IPjére, és mehet a móka.
-
haddent
addikt
válasz instantwater #245 üzenetére
Azta, menő cucc. Mondjuk ez meg elég erős egy reverse proxy -hoz (mindenhez, de van amihez indokolt/nem tudod máshogy):
/var/run/docker.sock:/tmp/docker.sock:ro
Okéro
, de ehh..[ Szerkesztve ]
-
instantwater
addikt
Azért kell neki olvasási jog a Docker sockethez, mert figyeli a futó konténereket, és amelyiken megfelelő változók vannak konfigurálva, azokhoz beállítja a proxyzást.
Úgy gondolom, hogy egy olyan image amit már több mint 100 milliószor letöltöttek nem adhat okot aggodalomra.
Illetve teljesen opensource a megoldás, tehát, ha akarod leszedheted GitHubról és buildelheted magadnak. Ott is van közel 13 ezer csillagja.
Használtam már számtalanszor, és nagyon jól jön, ha csak egy sima Docker hostod van, és kényelmesen akarsz több dolgot futtatni rajta.
Mondjuk oda kell figyelni, mert ha a standard 80/443 porton figyel a proxy, akkor céltáblája lehet különböző botoknak de valamit valamiért, és az eredeti példában szereplő random portok nem éppen megfelelő védelem a botok ellen.
Inkább valami fail2ban vagy tűzfal a megoldás.[ Szerkesztve ]
-
haddent
addikt
válasz instantwater #248 üzenetére
Ja félreérted, egyáltalán nem azt vonom kétségbe, hogy legit a cucc, egyértelmű, hogy az. Csak én pl. egyetlen esetben mountoltam be a docker sockot, a Jenkins CI alá, hogy saját magát újra tudja rántani a konténereket. És csak lokál elérhető és így is elég szürke terület, szerintem.
De valamit valamiért, ahogy mondod. Én személy szerint inkább írom vimmel a kis nginx configjaim, bár a múltkor napokat szotyiztam, hogy ssllabs teszten A+ minősítést kapjon a domainem minden tagja
Néha scannelgetnek meg próbálkoznak egyébként nálam pl, de pfSense + egy hányásnyi IPS szabály azért elég szépen pofánveri őketsamujózsi de, épp ez a "baj" (ami nem baj, csak ésszel..). RO -ban max reconnaissance lehet belőle, de rendes mount esetén már elég ocsmány dolgokat lehet, pl ugye többek közt bemountolod egy új konténerbe a host rootot rw -ben
[ Szerkesztve ]
-
őstag
Az a baj ezzel, hogy a Hyper-V konzolon keresztül elérhetetlen ez a VM, a vhdx file-t felcsatolja, de az ext4 fájlrendszerrel már nem tud mit kezdeni ez a szerencsétlen. Így sajnos nem tudom szépen megoldani, marad a szokásos felmountolás. (C:\kulso\mappa:/belso/mappa)
Rimuru: Próbáltam már korábban is az inspect-et, de nem nagyon segített:
"CreatedAt": "2020-02-20T19:48:01Z",
"Driver": "local",
"Labels": {},
"Mountpoint": "/var/lib/docker/volumes/test_test/_data",
"Name": "test_test",
"Options": {},
"Scope": "local"Hát nem ezzel lett szimpatikusabb a Windows...
Új hozzászólás Aktív témák
Hirdetés
- Windows, Office licencek kedvező áron, egyenesen a Microsoft-tól - 2990 Ft-tól!
- Windows 10/11 Home/Pro , Office OEM/Retail kulcsok
- Win 11 Pro Retail kulcs - digitális licenckulcs - Online aktiválás Win 11 Professional
- GTA V komplett, eredeti PC verzió eladó
- Bitdefender Total Security 3év/3eszköz! - Tökéletes védelem, kedvező ár!
Állásajánlatok
Cég: Ozeki Kft
Város: Debrecen
Cég: Ozeki Kft
Város: Debrecen