А вы сталкивались с таким, что в докер контейнере нужно

судо?

Метавопрос жи 😊 Давай напрямую спрашивай, в чём проблема

да у нас госсайты анально огражденные, с кучей фаерволлов, впнов, локальных днс и прочего. вот шеф тыкался добавить в hosts, я ему сделала это нормально при запуске контейнера чтоб прописывалось. хотел изнутри контейнера пинговать эти хосты, а пинг то не работает. просит, чтоб я ему судо сделала. а я не знаю, нужно ли оно там, с другой стороны мы планируем переезд всего в кубик, и боюсь, смогу ли я нормально настроить и проверять там все эти анальные ограждения? я пока что считаю что судо не нужно, тк все настраивается при запуске контейнера

А зачем пинговать ему? В кубе же тоже попросит пинговать, переезд не поможет

чтоб проверить связь

Смотри, правило хорошего тона - "содержимое образа не должно изменяться в процессе работы контейнера". Это позволяет положиться на повторяемость работы контейнеров, созданных из одного образа. Если нужно что-то менять в файловой системе внутри контейнера - лучше использовать внешний mount.

Это мониторингом мне кажется лучше делать, а не вручную. Пусть софт в контейнере делает проверки нужных ему зависимостей и выплёвывает метрики в формате прома. А также endpoint отвечающий 200 если всё ок. В кубе потом это полезно будет, но и так тоже полезно

да, это мне понятно. но не пробрасывать же на хост папку etc, например)

Плюсую. Идеальный вариант - когда софтинка умеет выдать интегральный результат проверки с детализацией, типа того же микрометра джавовского.

Запуск пинг и sudo в образе не противоречит этому. Можно собрать образ со всем этим

Запуск - нет. Только это противоречит идее контейнеров - "нефиг туда лезть руками". Если требуется баш в контейнере - где-то в процессах лютые дыры, потрачено и пр.

Ага. Плюс нафига icmp проверки, пингами, когда софту наверняка нужно подключаться по tcp, udp. Поэтому все эти ручные пинги бесполезны по сути

надо подумать, как это сделать. но вообще звучит логично

надо посмотреть че это такое, у нас как раз жава

С параноей на максимум ICMP тоже отрубают, типа это злоумышленнику усложняет исследование сетевой структуры.

https://www.baeldung.com/micrometer

окей. Но судо зачем?

Ну я обычно прям в софт добавляю. Ендпоинт, который дергаешь, а он проверяет все нужные зависимости, и отвечает кто доступен, а кто нет. Если хочется статистику, то ещё а метриках это отражаю для прома. То есть экспортер добавляю в софт. Но это если софт этот ваш и его код можно править. Но если нет, то сайдкар придется делать, но в докере нет сайдкаров, но можно рядом контейнер запускать просто или внутри одного контейнера делать это

спасибо

Да кто ж знает, зачем тому шефу sudo в контейнере xD

Мрак, конечно. Сочувствую. Но в кубернетисе есть эфемерные дебаг-контейнеры для этого. Они запускаются на своём образе, но в том же сетевом неймспейсе, что и под

Угу, поэтому и часто бесполезно пингами проверять

Чтобы от рутс запускать. Но по идее можно и без рута с нужными капамами

в принципе в описанной мной ситуации я так и сделала - не пинг ip, а обращение к энпоинту по адресу, соответствие которому прописано в hosts. и типа он работает, значит, и hosts работает. че ещенадо

изучу это, спасибо

докер мёртв и воняет, закапывай. Подман умеет запускать поды из нескольких контейнеров.

Этим эфимерным контейнерам тоже правда на пинг нужны, так что проблема с судо или выдачей капов никуда не денится

докер сейчас у нас типа чтоб в контейнеры переводить, а потом уже в кубик. но идея не моя была, я хз)

Я про то, что в актуальных версиях ОС доскер уже, кхм, на парвах "третьего лишнего". А подман манифесты кубовые генерировать умеет, типа такого: https://www.redhat.com/sysadmin/compose-podman-pods

У меня мак Подман не нравится Докер не мертв. Отличная и быстрая штука для сборки образов.

Подумаешь, требует рута и работающего демона. А на свежих маках это всё в основном сводится к поеданию кактуса без новокаина.

Меня не смущает работающий демон. Сборка там шустрее и без багов. С кэшами удобнее работать и всякие моунты секретов делать На свежих маках альтернативы нет, nerdctl ещё хуже

а, в вайлдфлае microprofile smallrye есть. можно в приложении что-то прописывать

Вот это кстати скорее минус чем плюс. Зачем мне локально переусложненные манифесты куба.

Здесь вопрос вкуса, я полагаю. Изящность хода с выжиманием сока из разработчиков--поклонников докердесктопа с точки зрения генерации входящего потока бабла - офигенно!

Вопрос фич, скорости сборки и стабильности. Лично для меня вопрос в этом. Podman для меня по всем ним проигрывает.

Если тебе нужен buildkit, то юзай его, докер ему для работы не требуется.

А зачем, есть привычный cli интерфейс докера со встроенным buildkit. Не надо никого переучивать