169 похожих чатов

А вы сталкивались с таким, что в докер контейнере нужно

судо?

37 ответов

80 просмотров

Метавопрос жи 😊 Давай напрямую спрашивай, в чём проблема

Marah-Swarkaster Автор вопроса
Sergey Pechenkó
Метавопрос жи 😊 Давай напрямую спрашивай, в чём пр...

да у нас госсайты анально огражденные, с кучей фаерволлов, впнов, локальных днс и прочего. вот шеф тыкался добавить в hosts, я ему сделала это нормально при запуске контейнера чтоб прописывалось. хотел изнутри контейнера пинговать эти хосты, а пинг то не работает. просит, чтоб я ему судо сделала. а я не знаю, нужно ли оно там, с другой стороны мы планируем переезд всего в кубик, и боюсь, смогу ли я нормально настроить и проверять там все эти анальные ограждения? я пока что считаю что судо не нужно, тк все настраивается при запуске контейнера

Marah Swarkaster
да у нас госсайты анально огражденные, с кучей фае...

А зачем пинговать ему? В кубе же тоже попросит пинговать, переезд не поможет

Marah Swarkaster
да у нас госсайты анально огражденные, с кучей фае...

Смотри, правило хорошего тона - "содержимое образа не должно изменяться в процессе работы контейнера". Это позволяет положиться на повторяемость работы контейнеров, созданных из одного образа. Если нужно что-то менять в файловой системе внутри контейнера - лучше использовать внешний mount.

Marah Swarkaster
чтоб проверить связь

Это мониторингом мне кажется лучше делать, а не вручную. Пусть софт в контейнере делает проверки нужных ему зависимостей и выплёвывает метрики в формате прома. А также endpoint отвечающий 200 если всё ок. В кубе потом это полезно будет, но и так тоже полезно

Marah-Swarkaster Автор вопроса
Sergey Pechenkó
Смотри, правило хорошего тона - "содержимое образа...

да, это мне понятно. но не пробрасывать же на хост папку etc, например)

Dmitry Sergeev 🇺🇦
Это мониторингом мне кажется лучше делать, а не вр...

Плюсую. Идеальный вариант - когда софтинка умеет выдать интегральный результат проверки с детализацией, типа того же микрометра джавовского.

Sergey Pechenkó
Смотри, правило хорошего тона - "содержимое образа...

Запуск пинг и sudo в образе не противоречит этому. Можно собрать образ со всем этим

Dmitry Sergeev 🇺🇦
Запуск пинг и sudo в образе не противоречит этому....

Запуск - нет. Только это противоречит идее контейнеров - "нефиг туда лезть руками". Если требуется баш в контейнере - где-то в процессах лютые дыры, потрачено и пр.

Sergey Pechenkó
Плюсую. Идеальный вариант - когда софтинка умеет в...

Ага. Плюс нафига icmp проверки, пингами, когда софту наверняка нужно подключаться по tcp, udp. Поэтому все эти ручные пинги бесполезны по сути

Marah-Swarkaster Автор вопроса
Dmitry Sergeev 🇺🇦
Это мониторингом мне кажется лучше делать, а не вр...

надо подумать, как это сделать. но вообще звучит логично

Marah-Swarkaster Автор вопроса
Sergey Pechenkó
Плюсую. Идеальный вариант - когда софтинка умеет в...

надо посмотреть че это такое, у нас как раз жава

С параноей на максимум ICMP тоже отрубают, типа это злоумышленнику усложняет исследование сетевой структуры.

https://www.baeldung.com/micrometer

окей. Но судо зачем?

Marah Swarkaster
надо подумать, как это сделать. но вообще звучит л...

Ну я обычно прям в софт добавляю. Ендпоинт, который дергаешь, а он проверяет все нужные зависимости, и отвечает кто доступен, а кто нет. Если хочется статистику, то ещё а метриках это отражаю для прома. То есть экспортер добавляю в софт. Но это если софт этот ваш и его код можно править. Но если нет, то сайдкар придется делать, но в докере нет сайдкаров, но можно рядом контейнер запускать просто или внутри одного контейнера делать это

Marah-Swarkaster Автор вопроса
Nick Kritsky 🇺🇦
окей. Но судо зачем?

Да кто ж знает, зачем тому шефу sudo в контейнере xD

Marah Swarkaster
да у нас госсайты анально огражденные, с кучей фае...

Мрак, конечно. Сочувствую. Но в кубернетисе есть эфемерные дебаг-контейнеры для этого. Они запускаются на своём образе, но в том же сетевом неймспейсе, что и под

Sergey Pechenkó
С параноей на максимум ICMP тоже отрубают, типа эт...

Угу, поэтому и часто бесполезно пингами проверять

Nick Kritsky 🇺🇦
окей. Но судо зачем?

Чтобы от рутс запускать. Но по идее можно и без рута с нужными капамами

Marah-Swarkaster Автор вопроса
Dmitry Sergeev 🇺🇦
Ну я обычно прям в софт добавляю. Ендпоинт, которы...

в принципе в описанной мной ситуации я так и сделала - не пинг ip, а обращение к энпоинту по адресу, соответствие которому прописано в hosts. и типа он работает, значит, и hosts работает. че ещенадо

Dmitry Sergeev 🇺🇦
Ну я обычно прям в софт добавляю. Ендпоинт, которы...

докер мёртв и воняет, закапывай. Подман умеет запускать поды из нескольких контейнеров.

Marah Swarkaster
изучу это, спасибо

Этим эфимерным контейнерам тоже правда на пинг нужны, так что проблема с судо или выдачей капов никуда не денится

Marah-Swarkaster Автор вопроса
Sergey Pechenkó
докер мёртв и воняет, закапывай. Подман умеет зап...

докер сейчас у нас типа чтоб в контейнеры переводить, а потом уже в кубик. но идея не моя была, я хз)

Marah Swarkaster
докер сейчас у нас типа чтоб в контейнеры переводи...

Я про то, что в актуальных версиях ОС доскер уже, кхм, на парвах "третьего лишнего". А подман манифесты кубовые генерировать умеет, типа такого: https://www.redhat.com/sysadmin/compose-podman-pods

Sergey Pechenkó
докер мёртв и воняет, закапывай. Подман умеет зап...

У меня мак Подман не нравится Докер не мертв. Отличная и быстрая штука для сборки образов.

Dmitry Sergeev 🇺🇦
У меня мак Подман не нравится Докер не мертв. Отли...

Подумаешь, требует рута и работающего демона. А на свежих маках это всё в основном сводится к поеданию кактуса без новокаина.

Sergey Pechenkó
Подумаешь, требует рута и работающего демона. А на...

Меня не смущает работающий демон. Сборка там шустрее и без багов. С кэшами удобнее работать и всякие моунты секретов делать На свежих маках альтернативы нет, nerdctl ещё хуже

Marah-Swarkaster Автор вопроса
Sergey Pechenkó
https://www.baeldung.com/micrometer

а, в вайлдфлае microprofile smallrye есть. можно в приложении что-то прописывать

Sergey Pechenkó
Я про то, что в актуальных версиях ОС доскер уже, ...

Вот это кстати скорее минус чем плюс. Зачем мне локально переусложненные манифесты куба.

Dmitry Sergeev 🇺🇦
Меня не смущает работающий демон. Сборка там шустр...

Здесь вопрос вкуса, я полагаю. Изящность хода с выжиманием сока из разработчиков--поклонников докердесктопа с точки зрения генерации входящего потока бабла - офигенно!

Sergey Pechenkó
Здесь вопрос вкуса, я полагаю. Изящность хода с в...

Вопрос фич, скорости сборки и стабильности. Лично для меня вопрос в этом. Podman для меня по всем ним проигрывает.

Dmitry Sergeev 🇺🇦
Меня не смущает работающий демон. Сборка там шустр...

Если тебе нужен buildkit, то юзай его, докер ему для работы не требуется.

Alexander
Если тебе нужен buildkit, то юзай его, докер ему д...

А зачем, есть привычный cli интерфейс докера со встроенным buildkit. Не надо никого переучивать

Похожие вопросы

Обсуждают сегодня

Господа, а что сейчас вообще с рынком труда на делфи происходит? Какова ситуация?
Rꙮman Yankꙮvsky
29
А вообще, что может смущать в самой Julia - бы сказал, что нет единого стандартного подхода по многим моментам, поэтому многое выглядит как "хаки" и произвол. Короче говоря, с...
Viktor G.
2
30500 за редактор? )
Владимир
47
а через ESC-код ?
Alexey Kulakov
29
Чёт не понял, я ж правильной функцией воспользовался чтобы вывести отладочную информацию? но что-то она не ловится
notme
18
У меня есть функция где происходит это: write_bit(buffer, 1); write_bit(buffer, 0); write_bit(buffer, 1); write_bit(buffer, 1); write_bit(buffer, 1); w...
~
14
Добрый день! Скажите пожалуйста, а какие программы вы бы рекомендовали написать для того, чтобы научиться управлять памятью? Можно написать динамический массив, можно связный ...
Филипп
7
Недавно Google Project Zero нашёл багу в SQLite с помощью LLM, о чём достаточно было шумно в определённых интернетах, которые сопровождались рассказами, что скоро всех "ибешни...
Alex Sherbakov
5
Ребят в СИ можно реализовать ООП?
Николай
33
https://github.com/erlang/otp/blob/OTP-27.1/lib/kernel/src/logger_h_common.erl#L174 https://github.com/erlang/otp/blob/OTP-27.1/lib/kernel/src/logger_olp.erl#L76 15 лет назад...
Maksim Lapshin
20
Карта сайта