172 похожих чатов

Добрый день. Собираю Docker-образ под Alpine Linux с приложением, написанным

на Net5.0. Приложению необходимо ходить в БД MS SQL, которая развернута на винде. СУБД пускает пользователей только по доменной аутентификации. Чтобы подключиться к БД с применением доменной аутентификации я использовал Kerberos. В итоге приложение работает, подключение к БД есть, но возникает вопрос в обновлении билетов Kerberos. Вопрос не в renew билета, а в перевыпуске его, так как по умолчанию в домене срок жизни билета составляет 7 дней, и менять этот параметр админы не дают. Приложение должно работать 24\7 и перезапускать контейнер с целью перевыпуска билетов - не вариант.
Исходя из этого я решил воспользоваться Crond, который бы просто запускал kinit один раз в день, тем самым перевыпуская билет.
Здесь я столкнулся с настройкой Dockerfile, entrypoint при запуске контейнера регистрирует crond в Runlevel: sysinit и пытается запустить crond, и при старте контейнера вижу в логе сообщение "WARNING: crond is already starting". Но по факту crond не запускается. Как правильно настроить заупск crond в docker alpine linux?

19 ответов

17 просмотров

если у вас приложение должно работать 24/7 в единственном экземпляре, то вы уверены, что докер это то что вам нужно?

Дмитрий-Норкин Автор вопроса
Andrey Kartashov
если у вас приложение должно работать 24/7 в единс...

Сейчас такой сервис работает на винде, там докер и керберос не нужен и проблемы озвученной не стоит, но планируется переезд с виндовых сервисов в кубернетис. А проблема с доступом к БД c AD аутентификацией остается

Дмитрий Норкин
Сейчас такой сервис работает на винде, там докер и...

вариантов несколько 1 использовать init сервис в контейнере, который будет управлять приложением и кроном 2 использовать дополнительный контейнер, который будет обновлять тикеты и шарить их с контейнером приложения 3 научить приложение обновлять тикеты 4 запускать кронтаску с хоста чтоб она обновляла тикет в контейнере приложения

Andrey Kartashov
вариантов несколько 1 использовать init сервис в к...

Продавить админов сделать не доменную учётку.

Дмитрий-Норкин Автор вопроса
Andrey Kartashov
вариантов несколько 1 использовать init сервис в к...

да, я думал над такими же решениями. Пока решил пойти в сторону Kubernetes CronJob

Дмитрий-Норкин Автор вопроса
Дмитрий-Норкин Автор вопроса
Ilia Koteikin
Чем?

надо хранить пароли доступов в плейнтексте конфига приложения

Ilia Koteikin
Чем?

по сравнению с керберос несекурно

Дмитрий-Норкин Автор вопроса
Andrey Kartashov
https://www.openshift.com/blog/kerberos-sidecar-co...

очень интересно, спасибо, почитаю

Дмитрий-Норкин Автор вопроса
Ilia Koteikin
А как ты керберос тикет получаешь?

во время деплоя приложения подкидываю заранее изготовленный кейтаб в докер контейнер

Дмитрий-Норкин Автор вопроса
Ilia Koteikin
А его. где хранишь?

в шифрованном хранилище, куда имеет доступ только Ci\CD

Дмитрий Норкин
в шифрованном хранилище, куда имеет доступ только ...

ну, кейтаб считай пароль. Т.е. тебе по сути всё равно приходится менеджить нечто, что позволяет тебе авторизоваться. Пароль или кейтаб файл

Andrey Kartashov
кейтаб != пароль

Получив кейтаб я смогу получить тикет и зайти в базу?

Похожие вопросы

Обсуждают сегодня

Господа, а что сейчас вообще с рынком труда на делфи происходит? Какова ситуация?
Rꙮman Yankꙮvsky
29
А вообще, что может смущать в самой Julia - бы сказал, что нет единого стандартного подхода по многим моментам, поэтому многое выглядит как "хаки" и произвол. Короче говоря, с...
Viktor G.
2
30500 за редактор? )
Владимир
47
а через ESC-код ?
Alexey Kulakov
29
Чёт не понял, я ж правильной функцией воспользовался чтобы вывести отладочную информацию? но что-то она не ловится
notme
18
У меня есть функция где происходит это: write_bit(buffer, 1); write_bit(buffer, 0); write_bit(buffer, 1); write_bit(buffer, 1); write_bit(buffer, 1); w...
~
14
Добрый день! Скажите пожалуйста, а какие программы вы бы рекомендовали написать для того, чтобы научиться управлять памятью? Можно написать динамический массив, можно связный ...
Филипп
7
Недавно Google Project Zero нашёл багу в SQLite с помощью LLM, о чём достаточно было шумно в определённых интернетах, которые сопровождались рассказами, что скоро всех "ибешни...
Alex Sherbakov
5
Ребят в СИ можно реализовать ООП?
Николай
33
https://github.com/erlang/otp/blob/OTP-27.1/lib/kernel/src/logger_h_common.erl#L174 https://github.com/erlang/otp/blob/OTP-27.1/lib/kernel/src/logger_olp.erl#L76 15 лет назад...
Maksim Lapshin
20
Карта сайта