@docker_ru
Docker — русскоговорящее сообщество

Обсуждаем вопросы, посвященные Docker🐳, Docker Swarm и всей экосистеме. Обмениваем идеями, новостями и решаем пробемы. Вам могут быть полезны: @coreos_ru, @kubernetes_ru, @devops_ru, @rkt_ru Рекомендуем сразу отключить уведомления для удобства

2608 members

Архив канала @docker_ru 31 октября 2016 г.

08:48:58 ДП
User 110309315
User 54466621
reverse-proxy нужен что-бы пробрасывать http/https трафик до сервис контейнеров
На чем сошлись? Как лучше статику подключать ?
1. Запихнуть в контейнер. Волюм из контейнера прислонить в фс и натравить на неё nginx. 
2. Положить статику внутрь, отдавать ее в nginx как и все остальное через proxy_pass, тот Ее себе аккуратно сложит на диск с помощью proxy_cache. И дальше будет пулеметом раздавать. 
3. Сделать отдельную сборку и отдельно выкладывать.
09:00:38 ДП
User 110309315
Коллеги, а кто игрался с  flynn.io? Этакий PaaS из грязи и веток в домашних усвлояих? Прям полноценный домашний Heroku.com
Обещают из коробки нормальное разорачивание контейнеров, связывание всего добра воедино, настройку базы(!), причем ставят сразу 3 ноды на разные сервера и организуют отказоустойчивость и автопереключение выпадающих нод.
10:06:28 ДП
User 114941324
Добрый день. Может кто подсказать по клиентским сертификатам в nginx? Делаю все по этой инструкции: http://nategood.com/client-side-certificate-authentication-in-ngi (только ssl_verify_client on и ключи перегоняю в ключи без паролей) и мне nginx все равно постоянно возвращает такой ответ:

< HTTP/1.1 400 Bad Request
< Server: nginx/1.10.0 (Ubuntu)
< Date: Mon, 31 Oct 2016 10:03:22 GMT
< Content-Type: text/html
< Content-Length: 240
< Connection: close
10:07:36 ДП
User 77550740
Включи полный debug лог и смотри на что ругается.
10:09:31 ДП
User 118473437
https://letsencrypt.org/ юзай
letsencrypt.org
Let’s Encrypt is a free, automated, and open certificate authority brought to you by the non-profit Internet Security Research Group (ISRG).
10:11:19 ДП
User 114941324
Похоже, нашел только такое: *2 client SSL certificate verify error: (18:self signed certificate) while reading client request headers, client: 138.201.244.18, server: loansinfo.com.ua, request: "GET / HTTP/1.1", host: "loansinfo.com.ua"
loansinfo.com.ua
Сервіс онлайн-кредитування Loany – це ваш помічник у будь-яких кредитних питаннях.
10:11:35 ДП
User 114941324
User 118473437
https://letsencrypt.org/ юзай
letsencrypt.org
Let’s Encrypt is a free, automated, and open certificate authority brought to you by the non-profit Internet Security Research Group (ISRG).
С самоподписанными сертификатами клиентскую авторизацию не реализовать?
10:12:00 ДП
User 118473437
реализовать конечно
10:15:25 ДП
User 114941324
User 118473437
реализовать конечно
Это просто тестовая площадка, которую надо запустить один раз и убить, поэтому пока так
10:18:12 ДП
User 118473437
User 114941324
Это просто тестовая площадка, которую надо запустить один раз и убить, поэтому пока так
server {

        listen         80;
        server_name    ХХХХХ.ru;
        return    301 https://ХХХХХ$request_uri;
        error_log /var/log/nginx/ХХХХ.error;
}
server {

        listen 443 ssl;
        server_name ХХХХ.ru;

        ssl on;
        ssl_session_cache  builtin:1000  shared:SSL:10m;

        ssl_certificate      /etc/letsencrypt/live/ХХХ.ru/fullchain.pem;
        ssl_certificate_key  /etc/letsencrypt/live/ХХХ.ru/privkey.pem;


        ssl_stapling on;
        ssl_stapling_verify on;
        ssl_trusted_certificate /etc/letsencrypt/live/ХХХХХ.ru/chain.pem;

        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_ciphers HIGH:!aNULL:!eNULL:!EXPORT:!CAMELLIA:!DES:!MD5:!PSK:!RC4;
        ssl_prefer_server_ciphers on;
        add_header Strict-Transport-Security "max-age=31536000;";
        add_header Content-Security-Policy-Report-Only "default-src https:; script-src https: 'unsafe-eval' 'unsafe-inline'; style-src https: 'unsafe-inline'; img-src https: data:; font-src https: data:; report-uri /csp-report";

         location / {
10:19:35 ДП
User 114941324
User 118473437
server {

        listen         80;
        server_name    ХХХХХ.ru;
        return    301 https://ХХХХХ$request_uri;
        error_log /var/log/nginx/ХХХХ.error;
}
server {

        listen 443 ssl;
        server_name ХХХХ.ru;

        ssl on;
        ssl_session_cache  builtin:1000  shared:SSL:10m;

        ssl_certificate      /etc/letsencrypt/live/ХХХ.ru/fullchain.pem;
        ssl_certificate_key  /etc/letsencrypt/live/ХХХ.ru/privkey.pem;


        ssl_stapling on;
        ssl_stapling_verify on;
        ssl_trusted_certificate /etc/letsencrypt/live/ХХХХХ.ru/chain.pem;

        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_ciphers HIGH:!aNULL:!eNULL:!EXPORT:!CAMELLIA:!DES:!MD5:!PSK:!RC4;
        ssl_prefer_server_ciphers on;
        add_header Strict-Transport-Security "max-age=31536000;";
        add_header Content-Security-Policy-Report-Only "default-src https:; script-src https: 'unsafe-eval' 'unsafe-inline'; style-src https: 'unsafe-inline'; img-src https: data:; font-src https: data:; report-uri /csp-report";

         location / {
Спасибо за помощь, на самом деле, все оказалось значительно проще (даже немного стыдно). Ответ тут: http://serverfault.com/questions/342918/apache-client-certificate-authentication-errors-certificate-verification-error
serverfault.com/questions/342918/apache-client-certificate-authentication-errors-certificate-verification-error
So I have been following instructions on setting up Client Certificate Authentication in Apache2 w/ mod_ssl. This is solely for the purpose of testing an application against CAA, not for any sort of
10:19:43 ДП
User 114941324
User 77550740
Включи полный debug лог и смотри на что ругается.
Спасибо за совет :)
10:20:13 ДП
User 118473437
Логи - наше ВСЁ
10:22:12 ДП
User 114941324
Ну, у меня есть оправдание - температура мешает думать :)
02:25:28 ПП
User 117201680
Гайз, а вольюмы в докере это типа шаред директория, всё верно?
02:26:28 ПП
02:26:53 ПП
User 228403837
Это больше на маунт просто похоже
02:27:40 ПП
User 117201680
Я хочу локальную директорию замаунтить как директорию с конфигом энджинкса в контенере. Типа -v /something:/etc/nginx
02:27:57 ПП
User 117201680
И чтобы из директории энджинкса ничего не пропало.
02:28:26 ПП
User 118473437
Встречный вопрос, имеем контейнер в котором идет установка bareos, но при установке (как я понимаю из ошибки) не создаются конфиги ..
02:28:42 ПП
User 228403837
ребят, у меня вопрос по поводу onbuild и кэширования. Допустим у меня есть образ A с onbuild инструкцией которая что-то делает. А делает она установку зависимостей. И есть контейнер B в котором еще какие-то операции. Не будет ли так, что поскольку onbuild инструкции всегда будут выполняться (там же есть копирование файлов) то это будет вызывать полный ребилд всех дочерних образов?
02:28:51 ПП
User 118473437
Встречали такое?
02:28:54 ПП
User 228403837
@ads_alpha ну так делай)
02:28:57 ПП
User 261004863
учти что /etc/nginx будет полностью заменена на содержимое /something
02:29:04 ПП
User 228403837
@ads_alpha я так в dev делаю
02:29:15 ПП
User 117201680
User 261004863
учти что /etc/nginx будет полностью заменена на содержимое /something
Вот в этом и был вопрос.
02:29:33 ПП
User 117201680
У меня были сомнения.
02:30:25 ПП
User 117201680
Тогда надо всё то счастье из стандартного /etc/nginx поставить в отдельную папку и маунтить.
02:30:32 ПП
User 261004863
монтировать только определенный файл с конфигом в  /etc/nginx/conf.d/
02:31:16 ПП
User 117201680
User 261004863
монтировать только определенный файл с конфигом в  /etc/nginx/conf.d/
Мне надо в sites-available/sites-enabled, но там принцип вроде такой же… Ладно, подумаю.
02:32:20 ПП
User 261004863
можно сразу в /etc/nginx/sites-enabled чтоб не возится с симликами еще
03:28:09 ПП
User 89706347
в докер-композе build выполняется до подключения volum'ов?
03:32:45 ПП
User 54466621
volume подключаются во время запуска
03:46:10 ПП
User 89706347
т.е. нельзя при использовании билда подключить вольюм в самом докер-композе?
04:07:38 ПП
User 118473437
Сначала идет сборка build, на данном этапе идет сборка образа из Dockerfile или же просто скачивание если юзаем стандартный image , далее up, настроки сети ,волумы и так далее взлетают на данном этапе.
04:08:09 ПП
User 118473437
Если не прав, сильно пинайте.
04:58:10 ПП
User 228403837
Anton на данный момент нельзя юзать волумы при сборке (в промежуточных контейнерах). Тикет об этом есть в ишус трекере докера, и даже есть сторонние запатченные докер демоны где эта возможность есть (мне например ее не хватает).
04:58:59 ПП
User 228403837
https://github.com/docker/docker/issues/14080
github.com/docker/docker/issues/14080
As suggested by @cpuguy83 in #3156 here is the use case for a flexible -v option at build time. When building a Docker image I need to install a database and an app. It's all wrapped up in two tarb...
05:01:01 ПП
User 71516652
в rocker для примерно этого есть mount
10:05:12 ПП
User 228403837
так это... все же подниму вопрос. onbuild или не onbuild?
10:08:07 ПП
User 228403837
например... есть менеджер пакетов который ставит зависимости. и сейчас я вызываю его до сборки образа. Это выливается в то, что вместо того что бы залить пол мегабайта приложения, льется внутрь 100 метров зависимостей + пол мегабайта приложения. Как следствие - увеличение времени сборки (ажно на 10-15 секунд!), увеличение размера образов и т.д.

Есть вариант запихнуть в onbuild у родительского образа инструкции необходимые для установки всего и вся, но в этом случае в контейнер запихиваются вещи, необходимые исключительно для скачивания зависимостей (например git). Более того, при изменениях в зависимостях происходит полный ребилд дочернего образа (не то что бы сильно долго но все же). Так же отсутствует возможность использование кэша (проектов у меня много, где-то 80% зависимостей можно кешировать, одинаковые).
10:08:12 ПП
User 228403837
что делать? как жить?
10:08:47 ПП
User 228403837
p.s. изменения в зависимостях происходит максимум у одной сборки из 10-ти.