[過去ログ] Docker Part3 (1002レス)
上下前次1-新
このスレッドは過去ログ倉庫に格納されています。
次スレ検索 歴削→次スレ 栞削→次スレ 過去ログメニュー
368: 2019/11/30(土)18:35 ID:hmmzT75Z(1) AAS
まだやってんのかよ。
369(1): 2019/11/30(土)19:03 ID:yxXUcR2F(1/5) AAS
>>363
> Serverspec でテストすれば?
? なに使ってもlocalhostで接続できないじゃん
>>364
> OSの仮想化技術なんだから当然だろ?
だからDockerとは違うって言ってるんだろ?
お前意味不明だな。Dockerと同じことができないって言ってるのに
「Dockerと同じことができる。でも仮想化技術なんだから、それはできない!」
だーかーらー、Dockerと同じことできないじゃんw
> そもそもこんな事を書く必要は無い。遣りたければプロキシかませば?
今できるかどうかの話をしてる。できないんだね?プロキシを自分で建てなきゃできないんだね?
ほらまた一つ。VMではできないことが増えたw
370: 2019/11/30(土)19:04 ID:yxXUcR2F(2/5) AAS
仮想マシンを使った問題は、mozcの例でわかる。
仮想マシンじゃ、古いバイナリしか持っておけないんだよ。
最新のソースコードを持ってきてビルドしたいときに
古いOVAファイルは全く役たたない
これもVMでは無理なことの一つ
371: 2019/11/30(土)19:05 ID:yxXUcR2F(3/5) AAS
なぜmozcを作ってる人は、仮想マシンを使わなかったのか?
理由はわかるよね?
372(1): 2019/11/30(土)19:06 ID:yxXUcR2F(4/5) AAS
> 「Dcokerはこんなことが出来るから凄い」では無く、Dockerはこんな問題を解決しようとして、
だから、可搬性。
作ったイメージをあちこちに持っていける。
OVAファイルを作れば同じことができる?
どうやってawsやgcpで動かすのさ?
KVM使ってるんだぞ。
373(1): 2019/11/30(土)19:10 ID:yxXUcR2F(5/5) AAS
さて、VMではできないこと=Dockerが解決してることを一つ追加。
Dockerは最新のソースコードから簡単に素早くビルドしてイメージを作ることができる。
仮想マシンはタダの仮想マシンでしかない。
仮想マシンを使っても、ビルド済みの古いバイナリしかとっておけない
新しいソースコードからイメージを生成できない。
374(1): 2019/11/30(土)21:36 ID:Se1bf1fg(12/14) AAS
>>369
>お前意味不明だな。Dockerと同じことができないって言ってるのに
>「Dockerと同じことができる。でも仮想化技術なんだから、それはできない!」
お前が意味不明だろw
いつの間に何が出来て何が出来ない、と言う話になったのw?
>今できるかどうかの話をしてる。できないんだね?プロキシを自分で建てなきゃできないんだね?
Dockerはこれを標準で持ってしまっている為に余計な管理コストを強いている、
無ければ必要な人だけが学習して立てれば良いものを標準として強制するから、余計な
教育コストが掛かると>>173は言っている。
XXができてYYが出来ないと言う話をするのなら、Dockerは物理マシンA上に立てたAAと言うマシンが
物理B上に立ってたBBと言うマシンと通信したいと言うだけで、スゲー面倒くさいことをしなければならない。
>仮想マシンを使っても、ビルド済みの古いバイナリしかとっておけない
逆にdockerは古いビルドイメージ取っとくだけでスゲー苦労するじゃん
実務では、当たり前だが、そういう事は多く存在する。君の指摘は大体実務を無視してるけどね。
出来ないことの列挙もそう。普通に訊いて「だから何?」と思うものばかり。
375(1): 2019/11/30(土)21:38 ID:Se1bf1fg(13/14) AAS
>>372
>OVAファイルを作れば同じことができる?
>どうやってawsやgcpで動かすのさ?
だから本番機と開発機は別だっていってるでしょ。
相変わらず、実務を無視した指摘ばっかりしている。
そこで可搬性が無いのは寧ろメリットだろ。
仮に、本番機を誰でもエクスポートしてローカルのVMなんかで
動かしたら情報漏洩が簡単すぎて大問題だわ。
376: 2019/11/30(土)21:55 ID:3P4mm8Mh(2/2) AAS
とてもあたまがわるそう
377: 2019/11/30(土)22:01 ID:kFO69wK3(1) AAS
亞北ネル
378(1): 2019/11/30(土)22:01 ID:Se1bf1fg(14/14) AAS
まあネットワーク周りとか、どう見てもデメリットでしかないことを
XXが出来る!スゲーだろwとか言い出すからね・・・。
自分で問題を作って、その解決策を自分で提供して俺スゲーVMにゃ出来ねーだろとかw
訊いてるこっちはポカーンだよ。
379: 2019/11/30(土)23:15 ID:ncKkDOM9(1) AAS
>>373
実務じゃ多少古くても動作確認済みのバイナリをとっておいて使うので、
動くか分からない最新ソースコードをネットから拾ってビルドなんて、実験段階のPoC作成ぐらいでしかやらない。
Dockerが好きなのは分かったけど、比較が素人丸出しだから、これ以上の恥の上塗りはやめた方がいいよ。
380: 2019/12/01(日)01:38 ID:J+24ZJpj(1/3) AAS
やらないんじゃなくてできない
開発中に毎日数回ソースコードコミットしたら
新しくしなきゃいかんのに馬鹿じゃないのかこいつw
ここまで出たVMではできないこと・不便なこと
・VMイメージ(OVAファイル)を手動で作成する必要がある
・新しいソースコードからVMイメージをを作成できない
・ESXiが必要。KVM、HyperV、macOS上で動かない
・OVAファイルから手動で仮想マシンを作成しなければいけない
・仮想マシンに接続するときlocalhostで繋げない。プロキシを自分で設定する必要がる
まだまだ増えます。
381: 2019/12/01(日)01:42 ID:J+24ZJpj(2/3) AAS
>>378
ネットワークは仮想マシン弱いよ?
例えばデータベースの仮想マシンを作る
アプリの仮想マシンを作る。
この二台の仮想マシンをどうやって接続する?
dockerは簡単に繋げられるし、変更もできるから
イメージに一切手を加えることなく、
開発時はローカルのMacに2つを動かして
本番環境では、別々の仮想マシン上に配置することができる
柔軟性が高い。
382(3): 2019/12/01(日)01:54 ID:J+24ZJpj(3/3) AAS
>>374
> 逆にdockerは古いビルドイメージ取っとくだけでスゲー苦労するじゃん
何も大変なことはない。(プライベート)リポジトリにpushするだけ
OVAファイルは?いちいちファイル転送してダブルクリックするの?
dockerならrunするだけで新しいイメージも古いイメージも自由に使えるのに
> 仮に、本番機を誰でもエクスポートしてローカルのVMなんかで
VMはエクスポートするしか無いんだよなw
ソースコードからビルドするということができない
dockerでエクスポートなんかシない
リストに追加
ここまで出たVMではできないこと・不便なこと
・VMイメージ(OVAファイル)を手動で作成する必要がある
・ソースコードを新しくするたびにVMイメージを作成しなければいけない
・イメージが大きすぎて古いイメージをとっておくのが大変
・docker runのように簡単に新旧のイメージを使う方法がない
・ESXiが必要。KVM、HyperV、macOS上で動かない
・OVAファイルから手動で仮想マシンを作成しなければいけない
・仮想マシンに接続するときlocalhostで繋げない。プロキシを自分で設定する必要がる
・本番環境と開発環境で同じものを使えない
・環境を複製するときは既存のものをエクスポートしなければいけない。ゼロからの作り方がわからないから
383(1): 2019/12/01(日)07:42 ID:OfIPuRU/(1/4) AAS
>>382
だから、何?
結論は?
384(1): 2019/12/01(日)08:25 ID:qT+FNDQS(1/13) AAS
>>383
レス待ち。
最終的な答えは前から言ってる通り、VMはdockerの代わりにならないし
その逆にdockerもVMの代わりにならない。全く別のもの。
385: 2019/12/01(日)08:28 ID:qT+FNDQS(2/13) AAS
あとdockerないと不便すぎる。VMイメージーのコピーなんてやってられない。
386: 2019/12/01(日)08:51 ID:rd9VBfP6(1) AAS
ggrks
387(1): 2019/12/01(日)09:03 ID:OfIPuRU/(2/4) AAS
>>384
つまり比較すること自体が無意味で
>>382
の書き込みはバカ丸出しということですね。
わかります。
388(2): 2019/12/01(日)09:07 ID:qT+FNDQS(3/13) AAS
>>387
> つまり比較すること自体が無意味で
最初からそう言ってる。VMはDockerとはぜんぜん違う。
VMを持ち出してきて、dockerはいらないって言ったバカ丸出しはあいつ
>>382の書き込みはバカ丸出しに言ってる
389: 2019/12/01(日)09:12 ID:qT+FNDQS(4/13) AAS
> Dockerはこれを標準で持ってしまっている為に余計な管理コストを強いている、
> 無ければ必要な人だけが学習して立てれば良いものを標準として強制するから、余計な
> 教育コストが掛かると>>173は言っている。
VMを使うと教育コストが掛からないとバカが言っている。
このことを覚えておこう。バカ丸出しにこれがブーメランとして帰ってくることになるだろう
390(1): 2019/12/01(日)09:15 ID:OfIPuRU/(3/4) AAS
>>388
「狂人の真似とて大路を走らば、即ち狂人なり」
391(1): 2019/12/01(日)09:23 ID:qT+FNDQS(5/13) AAS
>>390
もしかしてお前が、バカ丸出しのバカか?
さっさとレスしろ。VMはDockerの代わりにならんだろうが
392: 2019/12/01(日)09:33 ID:OfIPuRU/(4/4) AAS
>>391
他人だよ
いつまで執着してるんだよ。
393: 2019/12/01(日)09:37 ID:qT+FNDQS(6/13) AAS
この話題が出るたびだよw
394: 2019/12/01(日)09:53 ID:fdPwLs/X(1/4) AAS
>>388
お前、>>167だろ?日本語読めずに勝手に脳内で変な補完して話すからすぐ分かるよ。
> VMを持ち出してきて、dockerはいらないって言ったバカ丸出しはあいつ
誰もこんな事は言ってない。
395(1): 2019/12/01(日)09:55 ID:qT+FNDQS(7/13) AAS
結論 VMがあろうがなかろうがdockerは必要
396: 2019/12/01(日)09:55 ID:Cg6x2/4w(1/2) AAS
Linuxディストリビューション自体の配布には使えないから
VMが無くなる事はない
でもアプリの配布は特にできない理由がない限りdockerイメージだな
Dockerイメージでやりにくいのはカーネル設定の指定
コンテナに特権を与えれば変更は出来るが、同一のマシンで動いているすべてのアプリケーションに影響を与えるので注意が必要
Elasticsearchのhelmチャートが
vm.max_map_countを変更するのに特権付きのコンテナを使うが
それが嫌な場合は自分でOSに設定すればよい
397: 2019/12/01(日)10:08 ID:eVvGELNq(1) AAS
まだやってんのかよ(2回目)。
398: 2019/12/01(日)10:10 ID:Cg6x2/4w(2/2) AAS
hyperkubeやk3sを使えばdockerでKubernetesを動かすことさえ可能
他のコンテナを立ち上げたりするので特権が必要だが
399(1): 2019/12/01(日)10:20 ID:fdPwLs/X(2/4) AAS
>>395
多分君は、自分の出したdockerの利点に対する意見を否定されれた瞬間に
Docker自体を否定されたと感じているんだろうね。
否定しているのは君の意見、というだけだから。
400: 2019/12/01(日)10:47 ID:s2QdG24G(1) AAS
>>375
それは管理ポリシーの問題じゃね?Linuxデスクトップは不便で利用者少ないからウィルスに強いと言っているのと同じだぞ
vmに対するdockerの利点で重要なのは開発者視点ではリソースを食わない=金がかからないことだろう
これはマンパワーの不足している現在経営的にも重要で
新興国の開発者を取り込むのにvmでは進まないのだ
新興国だけではないぞ
日本の新人開発者の多くはノートを好み貧弱な環境で開発している
vm動かすリソースは無い
dockerはマンパワーを得るためにも有効なのです
401(1): 2019/12/01(日)10:49 ID:qT+FNDQS(8/13) AAS
>>399
俺が言ってる意見は、Dockerのメリットなのだから
俺の意見を否定することは、Dockerのメリットを否定することになるはずだが?
それとも、俺が言ってることとは別に、Dockerのメリットが他にあるって言いたいの?
俺の意見を否定して、Dockerを否定しないっていうのは、そういうことになるはずだけど
402: 2019/12/01(日)10:52 ID:qT+FNDQS(9/13) AAS
ちなみに俺はDockerのメリットをまだ全て書いてない
403: 2019/12/01(日)10:56 ID:qT+FNDQS(10/13) AAS
あと(あのバカが)「VMでも(頑張れば)できる」って言ってるだけで
俺が言ってるDockerのメリットを否定されたところはないはずだけど?
404: 2019/12/01(日)12:32 ID:PHV1P7RT(1) AAS
折角の休み、他にやることないのかね?
405(2): 2019/12/01(日)13:06 ID:fdPwLs/X(3/4) AAS
>>401
>俺の意見を否定することは、Dockerのメリットを否定することになるはずだが?
>
>それとも、俺が言ってることとは別に、Dockerのメリットが他にあるって言いたいの?
>俺の意見を否定して、Dockerを否定しないっていうのは、そういうことになるはずだけど
君はボッチでニートだから、そういう事になるんだろうけど、普通のITエンジニアは
会社単位で動くからね。Dockerへの移行は会社が決めたこと。確かに、今の利用者の
伸び率を見ているとシステム全体でやがて100台超えるサーバーにはなりそうだし、
社長の意向は世界展開したいとか言っているので、やがて1000台になる可能性はある。
DevOps/CircleCIのイチ技術としてDockerが入り込むのは、当然だなと。
だから別に最初からDockerを否定する気は全くない。そんな話はしていない。
ただ癖が強すぎるし、VMと比べて何故ここまで違いが大きいのかといった、当然の疑問に
誰も答えないから、話が長引いていると言うだけ。
ずっとそういう比較をしていたはずだが?
406: 915 2019/12/01(日)13:10 ID:pfsfGZDp(1) AAS
packer使えばVirtualboxでもESXiでもAWSでもGCPでもDockerでもなんでもよくなるよ
407: 2019/12/01(日)14:08 ID:UP4b2tw0(1) AAS
俺が納得できない=答えない
この思考パターンの人間は相手にするだけ無駄
特にネットでは
408: 2019/12/01(日)14:55 ID:jBK+RpjH(1) AAS
ええやん、別に VM でやりたければ、やればよいだけ。
Docker を使っても分からんやつは、分からんだけ。
Docker を使って分かるやつは、分かる。
VM を使っても分からんやつは、分からんだけ。
VM を使って分つやつは、分かる。
まぁ、VM を頑張ってね!
409(1): 2019/12/01(日)18:30 ID:qT+FNDQS(11/13) AAS
>>405
お前は悪口しか言わないな(笑) 品性の低さが溢れ出てる。
Mozcの例から理解しなかったのかな? Mozcのビルドのどこにクラウドが関係してる?
100台のサーバーとかDevOpsとかCircleCIとか言ってるが、
Mozcのビルドとは関係ないぞ。Dockerfileのおかげで簡単にビルドができた。
(ビルドスクリプトが古いという問題はDockerと関係ない。
実機でもVMでも最新のソースから新しいビルドを作成したら同じことになる)
お前の頭の中からにはこの使い方が完全に抜け落ちてるんだわ
そういうやつが語っても説得力無いよ。
VMとDockerは組み合わせて使うもの。最初から俺はそう言ってる。
Docker (前々スレ。何年前だよw)
2chスレ:linux
> 760 名前:login:Penguin[sage] 投稿日:2016/10/30(日) 19:57:56.57 ID:PgdoAzbd [1/2]
> AMI or Dockerじゃないんだよ。
>
> AMI + Dockerというふうに組み合わせて使うんだよ。
> っていうかDockerだけじゃ使えない。
410: 2019/12/01(日)18:31 ID:qT+FNDQS(12/13) AAS
当時はDockerだけじゃ使えないと書いているが、
今は、Dockerイメージをそのまま動かすサービスが生まれてるな。
まあもちろん実際にはその下にVMがいるわけだけど。
Dockerイメージを指定するだけで動かせるという意味ね。
411: 2019/12/01(日)18:34 ID:qT+FNDQS(13/13) AAS
>>405
> ただ癖が強すぎるし、VMと比べて何故ここまで違いが大きいのかといった、当然の疑問に
VMと全く別のものだから
違うも何も、別のものだから違って当たり前
初心者は勘違いしてVMと比べてしまうが、そもそもDockerはVMとは関係ないものだから
俺は違いがどうとか比較なんかしてない。お前は初心者から抜け出せてないんだよ。
412(2): 2019/12/01(日)23:16 ID:fdPwLs/X(4/4) AAS
>>409
相変わらずお前はズレまくってるな!w
もうマジでこの件に関するDockerに出てくるDocker特有の問題はDockerのせいじゃなく、
VMに関する全ての操作はやってられないとw。
>Mozcの例から理解しなかったのかな?
これも
>お前の頭の中からにはこの使い方が完全に抜け落ちてるんだわ
これも君にそっくり返すよW
もうお前はレスするなw馬鹿すぎて話にならない。
ボッチでニートで実務経験に乏しすぎるお前じゃ、俺が何も止めているのか絶対にわからないw
話をしても無駄だから話はしないw
>> AMI + Dockerというふうに組み合わせて使うんだよ。
うん、正にそういうことだね。
おれはお前以外の人の書き込みからそれを学んで、心から納得したよ。
お前の書き込み「だけ」ズレすぎているし一人よがり過ぎるから、その点で突っ込まずにはいられなかった、と言うだけ。
413: 2019/12/01(日)23:19 ID:YiJOHqAn(1/4) AAS
>>412のレスについて
ズレまくってると言うばかりで、どこがズレてるのか言わない。
相変わらず、俺に対して、何も指摘できていない。
ただただ、文句を言うばかり。
414: 2019/12/01(日)23:20 ID:YiJOHqAn(2/4) AAS
> VMに関する全ての操作はやってられないとw。
VMは関係ないと言ってるのに、またVMの話を持ち出す。
全ての操作はやってられないなどと俺は言ってない。全部>>412の思い込み。
415(1): 2019/12/01(日)23:41 ID:Y8NJ61TV(1) AAS
Ruby 製のVagrant の作者、HashiCorp のMitchell Hashimoto は、今世紀最大の起業家!
今は、Go 製のTerraform, Packer を作っている
彼が時代の中心だから、彼についていけばよい
他には、CircleCI, GitHub Actions
416: 2019/12/01(日)23:55 ID:YiJOHqAn(3/4) AAS
> おれはお前以外の人の書き込みからそれを学んで、心から納得したよ。
ようやくVMとDockerは使い方が違う。組み合わせて使うものと理解したようだが
お前のその書き込みは「お前から学んだということは認めたくない」と言うためだけの書き込みだなw
「組み合わせて使う」と書き込んでるのはたいてい俺だと思うけど、
俺以外の書き込みから学んだとは、一体どの書き込みから学んだんだろうか?
指摘してみてほしいところだが、ま、いえないよなぁw
417(1): 2019/12/01(日)23:59 ID:YiJOHqAn(4/4) AAS
>>415
CircleCIもGitHub ActionsもDockerベース
CircleCIは2.0でDockerベースに変わったし、
GitHub Actionsは以前はDockerfileが必須だった。
Packerも随分前からDockerイメージを作れる
(Packerはしばらく使ってないが、dockerのキャッシュ使うようになった?
正直これができないと、使い物にならないレベルなんだけど)
Terraformはすまんね。知らない。
世の中Dockerだらけw
418: 417 2019/12/02(月)00:04 ID:iQ/jQknl(1) AAS
VagrantはVirtualBoxがHyperVと共存できないから使うのやめたな。
Vagrant+HyperVという使い方ができるのは知ってるけど、
WSLができてWindowsがLinux同等に使えるようになったから実機で必要十分になった。
(Macはもとより実機で開発。もちろんDockerはWindowsでもMacでも使える。)
わざわざ開発マシン(実機)の中に、別の開発マシン(VM)を作るという二重構成にする必要がない。
419: 2019/12/02(月)09:24 ID:UZ4iaYjq(1) AAS
Windowsでdocker自体を動かすのには
さすがに仮想マシンが必要
ホストOSもLinuxなら要らない
Docker for WindowsはLinux使うからHyper-Vが必要
WSL2もHyper-Vを利用する
WSL2は必要なHyper-V機能の一部がHome Editionにも配布されるので
Homeでも利用可能になる
仮想マシンを利用する方式に変更した事で
WSL1では動かなかったdockerもWSL2では使えるようになった
420: 2019/12/02(月)15:23 ID:cX5TDnkz(1) AAS
GAFAMは普通にDockerの考え方に順応して使ってるよな
最近出てきた訳でもない
登場してかなり経つ安定した技術なのに
まだ全く使ってないというのは流石に頭硬すぎ
421: 2019/12/02(月)21:16 ID:nGJwV5Oa(1) AAS
GoogleはDockerが登場する前からコンテナ使ってたらしいしな
そういう所は今、一日に何十回(何百回?)もデプロイしてる。
古いやり方、多くても一ヶ月に一回、一週間前までにデプロイ計画立てて
サービス停止して深夜作業でデプロイするようなやり方では到底無理
顧客も賢くなってきてるから、丁寧にやってるから遅いんですよとかいう
言い訳はもう通じなくなってる。
みんながコンテナ使ってる中、あなたはコンテナ使わずに
同じぐらいの速度で開発ができますか?ってことだよ。
422: 2019/12/03(火)00:34 ID:tig7/aUP(1) AAS
オフラインで使う組み込み系だと開発環境構築をちょっと楽するぐらいしか使い道ないわ
423: 2020/01/04(土)16:07 ID:IuViAdEQ(1/2) AAS
1. あるマシンに他ユーザーから隠しておきたい秘密情報のファイルがある
2. rootから隠すことはできない。
3. だから他ユーザーはrootになったりsudoが使えてはいけない。(自分はなって良い)
4. ユーザーがdockerを使えるということはrootの権限があるのと同じことである
(例えばボリュームを使えば、どのディレクトリも読み書きができる。)
5. dockerグループに追加してdockerコマンドの実行にsudoを不要にした所でそれは変わらない
以上のことから、あるマシンに他ユーザーから隠しておきたい秘密情報がある場合は
そのマシンで他にdockerが使えるユーザーがいてはならない
言い換えると、自分以外のdocker使用者がいる場合はそのマシンに秘密情報を置くことができないので
「秘密情報を置いて安全に管理してる」ならば「他に自分以外のdocker使用者がいない」を意味する
あってるよね?
424: 2020/01/04(土)16:20 ID:IuViAdEQ(2/2) AAS
dockerサーバーがリモートにある場合がよくわからないんだよな
マシンAとマシンBがあってそれぞれ所有者は異なる。
dockerサーバーがリモートにあって
マシンAとマシンBの両方から接続する
ん?ローカルのディレクトリってリモートマシンのボリュームにできるの?
マシンAがdockerサーバーでコンテナを作ったとして、
マシンBが同じdockerサーバーに接続したらそのコンテナは見えてしまうのか?
つまりdocker execで乗り込めてしまうのか?
もしできてしまったら、マシンAが渡したボリュームにたいして
マシンBから読み書きできてしまう?
どこかで実験したいな
425(2): 2020/01/04(土)23:16 ID:4WXnY3BD(1) AAS
ローカルをリモートのボリュームには通常できないでしょう。
426: 2020/01/05(日)09:23 ID:sWW1tNjy(1) AAS
>>425
NFSやらSMBやらで共有するという話ではなくて?
427: 2020/01/05(日)16:26 ID:PM+h1CUF(1) AAS
>>425
そのとおりでした。なんか勘違いしてましたね。
つまりはDockerサーバーにアクセスできるユーザーは
そのDockerサーバーが動いているマシンのroot権限を
持ってるのに等しいと理解しました。
だから例えばCIサービスとかを作るとして、複数の人が同じサーバーで
コンテナを動かす場合、Dockerに直接接続させてはならないわけですね。
ウェブインターフェースやRESTインターフェースをもたせて
そこで認証かけて、やれることも制限しろと
428: 2020/01/05(日)18:41 ID:6QavSJIx(1) AAS
root持ってりゃdocker停止もアンインストールもOSシャットダウンもできるわけなので
429(2): 2020/01/05(日)21:24 ID:p4jkzryR(1/3) AAS
docker composeがルート権限必要だから、AとBでコンテナ作れたらどちらでもなんでもありになる。
430: 2020/01/05(日)22:06 ID:9zcJiqAl(1) AAS
あれ非特権モードでも?
431: 429 2020/01/05(日)22:28 ID:p4jkzryR(2/3) AAS
Docker19.03からルート権限不要モードが追加されたんだな。>>429は誤情報。
432: 2020/01/05(日)22:30 ID:IPuUazgK(1/3) AAS
ルート権限が不要ってだけで
同じdockerサーバーに接続してるユーザー同士で
隠し事はできないよね?
433: 2020/01/05(日)22:44 ID:IPuUazgK(2/3) AAS
あるユーザーがDockerを起動して
同じホストの他のユーザーはそのDockerに接続できるのだろうか?
接続できてしまったら、あるユーザーのファイルは読み書きし放題?
434: 2020/01/05(日)22:50 ID:IPuUazgK(3/3) AAS
そうか、MySQLなんかと何が違うのかと思ったら
Dockerって認証がないのか。無いよね?
435: 429 2020/01/05(日)23:36 ID:p4jkzryR(3/3) AAS
ルートレスモードは分からないが、通常モードはその通り。マルチユーザー向きではない。
実験した方が早いのでは?ルートレスをインストールして、
ubuntu 辺りで二つアカウント作って、
それぞれのコンテナにアクセスできるかどうか。
436: 2020/01/06(月)08:12 ID:/JEJvQJG(1/7) AAS
Docker Toolbox (windows)使ってる人いる?
docker run -v /:/mnt -it alpine ls -al /mnt
の結果が見たいんだけど誰か貼り付けてくれない?
ちなみにDocker Desktop for Windowsの場合
total 8494
drwxr-xr-x 1 root root 280 Jan 4 19:54 .
drwxr-xr-x 1 root root 4096 Jan 5 23:10 ..
lrwxrwxrwx 1 root root 11 Jan 4 19:54 C -> /host_mnt/c
drwxr-xr-x 2 root root 14336 Nov 13 09:39 bin
lrwxrwxrwx 1 root root 11 Jan 4 19:54 c -> /host_mnt/c
drwxr-xr-x 11 root root 2960 Jan 4 19:54 dev
drwxr-xr-x 1 root root 180 Jan 4 19:54 etc
drwxr-xr-x 1 root root 60 Jan 5 22:08 home
drw-r--r-- 3 root root 60 Jan 4 19:54 host_mnt
drwxr-xr-x 1 root root 60 Jan 4 19:54 lib
drwxr-xr-x 5 root root 2048 Nov 13 09:39 media
drwxr-xr-x 2 root root 2048 Nov 13 09:39 mnt
drwxr-xr-x 1 root root 80 Jan 4 19:54 opt
dr-xr-xr-x 174 root root 0 Jan 5 04:53 proc
drwx------ 1 root root 60 Jan 4 19:54 root
drwxr-xr-x 1 root root 140 Jan 4 19:54 run
drwxr-xr-x 2 root root 30720 Nov 13 09:39 sbin
-rwxr-xr-x 1 root root 8640280 Nov 6 09:27 sendtohost
drwxr-xr-x 2 root root 2048 Nov 13 09:39 srv
dr-xr-xr-x 13 root root 0 Jan 5 21:55 sys
drwxrwxrwt 1 root root 40 Jan 5 23:10 tmp
drwxr-xr-x 1 root root 80 Nov 13 09:39 usr
drwxr-xr-x 13 root root 2048 Nov 13 09:39 var
437(1): 2020/01/06(月)08:41 ID:/JEJvQJG(2/7) AAS
Docker Desktop for WSL2ってWSL2の中のディレクトリもボリュームに指定できるっぽい?
438(1): 2020/01/06(月)08:54 ID:OVK7howH(1) AAS
ただのVMなんだからできないわけがないだろう
439: 2020/01/06(月)09:09 ID:/JEJvQJG(3/7) AAS
>>437
WSL1もVMだよ?
現行のDocker Desktop for Windowsではdocker専用のVMを使っていて、
Docker Desktop for WSL2では、WSLすべてで一つのVMを共有しているからできるのかな?
440: 2020/01/06(月)09:09 ID:/JEJvQJG(4/7) AAS
>>438あての間違い
441: 2020/01/06(月)09:10 ID:/JEJvQJG(5/7) AAS
もう一つ訂正
× WSL1もVMだよ?
○ Docker Desktop for WindowsもVMだよ?
WSL1はVMではないね
442: 2020/01/06(月)09:12 ID:2KANC7Df(1) AAS
よく知らんがwslのディレクトリをwinからマウント出来るのであれば可能なんじゃないの?試して教えて
443: 2020/01/06(月)09:13 ID:/JEJvQJG(6/7) AAS
でもまあ、すべてのWSLのインスタンスd一つのVMを共有しているからと言って
そのWSLはコンテナ技術で分離されてるはずなんだから、そう単純にはいかないはずなんだがな
/mnt/wslに他のWSLのコンテナのディレクトリらしきものが見えてるし
WSLのコンテナ間でディレクトリを共有する技術がWSL2にあるんだろうな
444: 2020/01/06(月)09:18 ID:/JEJvQJG(7/7) AAS
WSL2のubuntuのマウント状況
$ df -T
Filesystem Type 1K-blocks Used Available Use% Mounted on
/dev/sdd ext4 263174212 1396116 248339940 1% /
tmpfs tmpfs 1633568 0 1633568 0% /mnt/wsl
tools 9p 66509328 30595464 35913864 47% /init
none devtmpfs 1631092 0 1631092 0% /dev
none tmpfs 1633568 8 1633560 1% /run
none tmpfs 1633568 0 1633568 0% /run/lock
none tmpfs 1633568 0 1633568 0% /run/shm
none tmpfs 1633568 0 1633568 0% /run/user
tmpfs tmpfs 1633568 0 1633568 0% /sys/fs/cgroup
C:\ 9p 66509328 30595464 35913864 47% /mnt/c
/dev/sdc ext4 263174212 1545568 248190488 1% /mnt/wsl/docker-desktop-data/isocache
/dev/sdb ext4 263174212 123192 249612864 1% /mnt/wsl/docker-desktop/shared-sockets
/dev/loop0 iso9660 248570 248570 0 100% /mnt/wsl/docker-desktop/cli-tools
/mnt/wsl/docker-desktop-dataとかって/dev/sdcでext4なのか
ちょっと想定外だったw これ他のコンテナじゃなさそう。
WSLに割り当てたディスクなのかも
445(1): 2020/01/08(水)15:48 ID:ksPzE1/R(1/2) AAS
あるコンテナを--restart=alwaysで自動起動するタイミングで、ホスト側でコマンドを実行させる方法ってありますか?
「そのコンテナが起動したら、ホストのスタティックルートをコンテナのIPに向ける」
という条件を実現したいです。
これまでは --restart=always を使っておらず、スクリプトでいちいちコンテナを起動していました。
それならスクリプト内にrouteコマンドを仕込んでおくだけで簡単だったんですが。
446: 2020/01/08(水)15:52 ID:wWoUnX7g(1) AAS
そんな面倒なことしなくても普通に固定IP振ればいいだけでは
447(1): 2020/01/08(水)16:50 ID:ksPzE1/R(2/2) AAS
コンテナでOpenVPN動かしてて、そのVPN先までルートを通したいんですよね。
コンテナには固定IP振ってるんですが、そもそもその固定IPがDockerネットワークなので
OS起動時には存在せず、OS起動時のルーティングは切れない、と。
コンテナに物理NWのIPを振るとか
ホストでcron回すとか割と泥臭いことやれば解決できると思うんですが、
なんかもっとスマートな方法ないかな…と。
448: 2020/01/08(水)17:21 ID:ITBdUvUl(1) AAS
好みとは思うが
「コンテナの機能にホストが依存する構成」
は上下ひっくり返った感じで落ち着かないので避ける
449: 2020/01/08(水)18:55 ID:i7Ggys1A(1/2) AAS
>>447
> コンテナでOpenVPN動かしてて、
使い方が間違ってる可能性が高いな。
Dockerはそのような目的で作られていない。
目的外のことをするから難しくなる
450: 2020/01/08(水)20:29 ID:m+D5UTvu(1) AAS
Kubernetesのhelmチャートには
ホストOSの設定を起動時に変える物があるけど?
kiamはAWSのメタデータAPIへのアクセスを仲介するのにiptableルールを自動的に書き換える機能がある
Elasticsearchはカーネル設定のvm.max_map_countを特権コンテナを使って置き換える
これらはホストごとに一回だけで良いので
1回しか起動しないが
451: 2020/01/08(水)20:36 ID:avX2X6NW(1) AAS
だから何なの
452: 2020/01/08(水)22:07 ID:htMW+uqX(1) AAS
前の人もそうだが、複雑な事をやりたければk8s使えばどうにかなる。
設定その他簡単ではないけどね
453(1): 2020/01/08(水)22:23 ID:i7Ggys1A(2/2) AAS
話分かってないならでてこなくていいよ。
k8sは大規模な構成を作るためのもので
複雑な事をするものではないし、
ましてや間違った使い方を解決するためのものでもない
たった数個のコンテナでk8sなんか使い物になるかよ
OpenVPNなんて使用メモリ5MBぐらいで、貧弱なブロードバンドルータでも
動くっていうのにk8sつかうと1GBも持っていかれるわ
超軽量(苦笑)のk3sでもたった(苦笑)512MBってアピールしてる程度だしな
454(1): 2020/01/08(水)23:57 ID:ghrrHBBS(1) AAS
よく分かんないけどホストOSのネットワークで動かしたり
ポートマッピングでホストOSのポートでアクセスできるよう設定してから
iptablesでルート設定して流すだけじゃないの?
455: 2020/01/09(木)00:45 ID:M2xrYdZL(1/5) AAS
>>454
あのさあ、せっかくコンテナの外から
仮想化して可搬性持たせてるのに
それをぶち壊すような使い方したら
Docker使う意味ないでしょ
456(1): 2020/01/09(木)04:57 ID:6QLBQsrn(1/2) AAS
>>453
間違った使い方ってのは貴方の主観でしょ。
メモリ1G程度の違いが何の問題になるのか、全く分からないのだがw
自宅で運用してるが、消費電力で2W程度の違いでしかない。
457(1): 2020/01/09(木)05:08 ID:6QLBQsrn(2/2) AAS
VPNのIPの話はk8sのサービス→ロードバランサ使えば瞬時に解決する話。
k8sは外部公開用の話が多いのでその手の技術や情報が充実している。dockerはローカル環境想定なので、外部公開系はできなくはないが機能的に微妙。
そもそもとしてvpnはクラウド経由させれば細かいIPの設定は不要なわけだが、その辺りの知識も無さそうw
458: 2020/01/09(木)08:20 ID:M2xrYdZL(2/5) AAS
>>456
> メモリ1G程度の違いが何の問題になるのか、全く分からないのだがw
金かかるだろ?何を言ってるんだろうか
459: 2020/01/09(木)08:21 ID:M2xrYdZL(3/5) AAS
あと電気代じゃねーぞ。まあ電気代の話にすり替えてごまかそうとしてるんだろうけどなw
460: 2020/01/09(木)08:23 ID:M2xrYdZL(4/5) AAS
>>457
なにクラウド使う前提にしてんの?w
VPNがクラウド経由させれば不要とか
何をどう使えばそうなるのか言ってみ
つまりいくら金がかかるのかって話だ
461: 2020/01/09(木)08:51 ID:CnTio2h+(1/3) AAS
Dockerコンテナをシステム・サービスのように使う例などいくらでもある
外部リンク[html]:coreos.com
これだってそうだ
kiam同様、AWSメタデータ APIの仲介役として
ECSエージェントとして利用している
kiamやElasticsearchのhelmチャートが
ホストOSの設定を変更するのは、あくまで一例
Dockerコンテナ内でやらずとも、systemdユニットでやる方法がある
462: 2020/01/09(木)09:04 ID:CnTio2h+(2/3) AAS
DockerでOpenVPNってこれ?
外部リンク[md]:github.com
コンテナに特権を与える事でホストOSのネットワークへのアクセスを可能にしている
systemdの初期化スクリプトも入ってる
これ使えばいいんじゃね?
知らんけど
463: 2020/01/09(木)09:16 ID:M2xrYdZL(5/5) AAS
今回問題にしてるのは、システムサービスじゃなくて
ルーティングサービスだ
464(1): 2020/01/09(木)09:28 ID:CnTio2h+(3/3) AAS
特権与えればホストOSの設定にアクセス出来るから
基本的にコンテナ外でできる事は
コンテナ内でも出来る
iptablesの設定だって変えられる
変えて何が悪い?
実際やってる人なんていくらでも居るじゃん
465: 2020/01/09(木)11:13 ID:1eanVRuK(1) AAS
外部リンク:github.com
自分はこれつかってIPsec/L2TPサーバーやらせてるな
466: 445 2020/01/09(木)13:14 ID:cTaOp8rO(1) AAS
皆さんありがとうございます。
k8s未経験だけに、ルーティング1つ書くためだけに導入するのはちょっとハードル高いですが
入れればできそうってのは覚えておいて、今後機会があればやってみます。
OpenVPNコンテナは、alpineスクラッチからDockerfileで手構築です。
元々オンプレで動かしてたものをコンテナ化した都合から、色々いじってるので。
ただアプローチとしては>>464さんの言うとおりだなぁと思いました。
権限与えてるんだから、コンテナ内からホストにルーティング投げればいいだけですね。
その方向で試してみたいと思います。
467: 2020/01/10(金)23:04 ID:SGMX+Q1g(1) AAS
openvpnのコンテナ探して、やり方をそのままやった方が早そう
468(2): 2020/01/15(水)16:07 ID:M8GRLPix(1/5) AAS
dockerでもdocker-composeでもいいんだけど、
シェルスクリプトを作る以外でマルチステージビルドの
ようなことを他の手段はないですかね?
つまりあるDockerfileをbuildする。
この時、FROMに別のDockerfileが指定されていて、
そっちを先にビルドして使うような感じにしたい
FROMにイメージ名が書いてあればそれをpullするけど
そうじゃなくてイメージをアップしたくなくて、
ローカルでビルドしたい。それを自動的にしたい。
469: 2020/01/15(水)16:13 ID:+oUgohk9(1) AAS
>>468
ローカルにdockerイメージリポジトリを作ればよい。
470: 2020/01/15(水)16:21 ID:M8GRLPix(2/5) AAS
dockerイメージリポジトリにイメージをアップしたくないんですよ
471: 2020/01/15(水)16:44 ID:cqAMYOAh(1) AAS
いやだからローカルに作ろうよ
472: 2020/01/15(水)16:46 ID:M8GRLPix(3/5) AAS
いや、だからアップしたくないって言ってるやんw
相手の環境なんかわからないんだからさ
473: 2020/01/15(水)16:48 ID:M8GRLPix(4/5) AAS
相手に、このコマンドを実行すればOKですって書くのはまだいいけど、
相手に、ローカルに作ってください、作ってアップしてくださいって
手順を長々と書くのはダメやろ?
474(1): 2020/01/15(水)16:51 ID:6O0iX9bd(1) AAS
相手ってなんだよ
いきなり新しい登場人物か
475: 2020/01/15(水)18:45 ID:yxjUdNw1(1) AAS
できるけど
476: 2020/01/15(水)19:29 ID:M8GRLPix(5/5) AAS
>>474
何も増えてないよ。
「dockerイメージリポジトリにイメージをアップしたくない」と言ってるのに
それを無視するから、無視できないように補足しただけ
477: 2020/01/15(水)21:02 ID:FeJAdkeM(1) AAS
最初はなかった「相手」が増えてるじゃん
478: 2020/01/15(水)21:12 ID:WmUoZk76(1) AAS
じゃあ「相手」は無視していいよ
関係ない話だから
479: 2020/01/15(水)21:30 ID:D3zJtvMI(1) AAS
利用マニュアルにコマンド並べればいいんじゃないの?
シェルスクリプトとPowerShell両方用意してるプロジェクトもあるね
480(1): 2020/01/16(木)15:06 ID:HmEXTTgD(1) AAS
>>468
そのDOCKERイメージをtgz形式にsaveしたものを、
dockerリストアコマンドでイメージリストに展開してから、処理を行えば?
あ、シェルスクリプト禁止か。
481: 2020/01/16(木)19:00 ID:zyhk0GYW(1) AAS
>>480
禁止っていうか、シェルスクリプト作るなら誰だってできるって話
Dockerfileビルド時に依存したDockerfileも自動的にビルドする方法は
マルチステージビルド以外では方法はなさそうね
482: 2020/01/17(金)07:24 ID:ZAXZSb1y(1) AAS
むしろマルチステージビルドという仕組みがあるのね
483(3): 2020/01/19(日)19:15 ID:6YirC2HC(1) AAS
Docker Hubのさぁ、Automated Buildでさぁ
GitHubのREADME.mdを中途半端に持ってくるのやめてくれないかな
リンクあるだけでいいだろ、あれ誰が嬉しいんだ?
484: 2020/01/20(月)17:21 ID:NtEsdlOO(1) AAS
>>483
一理ある
485: 2020/01/20(月)18:26 ID:hh3AXqYf(1) AAS
>>483
一理あるから、Docker Hubに文句言ってきてください。
486(1): 2020/01/20(月)23:01 ID:j4KqcwiZ(1) AAS
>>483
デメリットあるの?
概要把握したい向きもあるだろう
487: 2020/01/21(火)00:08 ID:3DzPFxLf(1) AAS
>>486
> 概要把握したい向きもあるだろう
一行の見出しでは情報を伝えられないだろ?
Automated Buildを使わなければ丁寧に概要を書くこともできるし、
GitHubのREADME.mdをコピペすることだってできる
でもAutomated Buildを使うと、GitHubのREADME.mdを
表示させることしか出来ないんだよ
丁寧に書いてもAutomated Buildが走ると消されるwww
488: 2020/01/22(水)21:54 ID:tgVfjbcp(1) AAS
Amazon EKSが50%値下げだってよ
でもまだ高い、クラスター1つくらいは
タダにしてくれよ
489: 2020/01/22(水)23:01 ID:Fr3HVC6X(1) AAS
クラスター使ったことある?
高いの?
いくらすたー?
490: 2020/01/22(水)23:48 ID:OxBzKT9R(1) AAS
googleも無料枠だと無理だからねえ。
それ以前にAWSも無料枠欲しいな。
忘れてたら毎月600円課金されてた
491: 2020/01/24(金)20:27 ID:Pc7e1TLp(1/2) AAS
etcd: t3.micro (リザーブドで購入) * 3
k8s api server: t3.small (スポットインスタンス)* 2
etcd: EBS 9GB * 3
k8s api server: EBS 16 GB * 2
これでやれば40.64ドル
EKSの72ドルより安いが
安定するかは知らない
APIサーバーの負荷分散に
NLBを使うと17.5ドル
これを含めると58.14ドル
DNSラウンドロビンでも負荷分散出来るけど
更新時の反映の遅れを考えると
NLBの方がいい
NLBはイングレスとAPIサーバーが
1つのNLBを共用も可能
EKSでイングレスの負荷分散にNLBを使うなら
72+17.5で89.5ドル
492: 2020/01/24(金)20:40 ID:Pc7e1TLp(2/2) AAS
HAとか気にしなければさらに安く出来るが
大事な環境でやるのはおすすめしない
t3a.smallのスポットインスタンス1つと
17GBのEBSを使い
etcdとk8sのapi serverを同居させれば
7.37ドルでコントローラーノードが作れる
いずれの場合も当然ながら
ワーカーノードは別料金
k3sとか使えばもっと安く出来るかもしれないが
やってない
493: 2020/01/25(土)00:15 ID:IX/hIA45(1) AAS
CVE-2019-5021
いまいちこの脆弱性がよくわからないんだけど、
どういうシナリオで攻撃が成功するの?
攻撃者は何を使うの?docker exec?
494: 2020/01/25(土)18:04 ID:ES14vB7p(1/3) AAS
ちょっとした疑問なんだけどさ、docker pullってあれ
レイヤーごとに並列でダウンロードしてるよね?
なんとなくレイヤーは分けたくないなって思ってたけど
でかいファイルは複数のレイヤーに分けておくと
ダウンロードが速くなったりするのかな?
その観点からのレポートってどこかにない?
上下前次1-新書関写板覧索設栞歴
あと 508 レスあります
スレ情報 赤レス抽出 画像レス抽出 歴の未読スレ AAサムネイル
ぬこの手 ぬこTOP 0.037s