Обсуждается переработка механизма перенаправления портов в Docker-контейнеры

Корень проблемы в том, что пакеты, перенаправляемые средствами iptables в контейнер через DNAT, проходят через цепочку FORWARD, а не INPUT, как того ожидают наивные пользователи, ufw и firewalld.

ИМХО не совсем точно написано, как будто проблема как-то связана с DNAT. Проблема же не в DNAT, а в том что у контейнера свой интерфейс, поэтому и FORWARD, а не INPUT.

И вот все так с этой контейнеризацией. Вы либо пургу в глаза про изоляцию снимите, либо SLIRP наденьте =P

Вы либо пургу в глаза про изоляцию снимите

повторюсь как в случае с флетпаком… тут речь не про безопасность, а про то чтобы сделать приложение разворачиваемым везде, максимально независящим ни от чего кроме ядра. а безопасность™ - это уж как растопридурки с безопасной работой с памятью.

повторюсь, как в каждом треде про Nix… контейнеры — цирк про якобы безопасность и удобство, на фоне полной импотенции пакетных менеджеров из прошлого века. а юзали бы ну хоть капельку пристойные, не надо было бы городить огород. а вот этот весь мямлинг про якобы удобство таскания за собой целых чрутов — это лишь отчаяние и стокгольмский синдром.

якобы безопасность и удобство

а чем неудобно? при переезде на новый сервер скопировал конфиги и папочки в которых база лежит, сделал docker-compose up -d, и все работает. безопасность - это какая-то шиза от маркетолухов. оно и дураку должно быть понятно, что докер от такого или такого не защитит

Если для запуска софтинки тебе нужен бонусный дистр, ты проиграл в распространение софта, точка. Надо просто чтобы любой софт запускался, не мешая любому другому софту, а все эти чруты и пробросы это припарки к месту самопрострела стопы.

Например, у тебя есть приложение на python, где в зависимостях пару библиотек, которые для компиляции требуют системные зависимости не ниже M и не старше N версии. Таких либ на самом деле много. Даже postgres возьмем, любую либу для работы с ним на Python, она будет требовать пакет типа postgresql-dev… Не только пистон умеет «прозрачно» использовать системные либы, но и Node.js, PHP, Go… Никто не реализует какое-нибудь AES шифрование нативно и тп. Можно взять в докер и запихнуть идеальную сборку, а можно… пытаться запихнуть невпихуемое, установить неустанавливаемое, компилить исходники, создавать линки на govno.so с именами govno6.0.so, так как пакет требует… нет - это путь в никуда и спор ни о чем, и винить разрабов которым проще docker-релиз выкатить чем твои тикеты читать о том что у тебя в слаке «караул не работает»… А уж как на работе раньше было, когда тебе дают какую-то дрисню на Perl с кучей каких-то переменных окружения, отсутствием документации, и говорят разверни и исправь какой-то баг, потому что перловик себе голову сломал и в реанимации, а там нужно пару строчек заменить и пох, что ты на нем никогда не писал. Вот у тебя бы наверное счастье было трахаться с установков пакетов на твой рабочий комп, которые в твоем дистре все абсолютно иначе называются, не говоря уже что то дерьмо писали 20 лет назад, и оно запускается на древнем дебиане

А можно заюзать Nix и проблемы не будет.

В Nix разные версии библиотек лежат в разных каталогах, в Docker разные версии библиотек лежат в разных контейнерах которые по сути те же каталоги в ФС и в чём принципиальная разница?

Зато с Docker не надо городить свою систему конфигурирования и сборки.

А если купить пять разных компов, то можно библиотеки по пяти разным компам разложить, будет еще тупее и неудобнее.

Корень проблемы в том

что

наивные пользователи

и это конечно баг Docker

Невероятно…. И десяти лет не прошло…

вот когда они перестанут всё ломать - можно будет начать присматриваться

Хорошо, если исправят. До сих пор никто не умеет настраивать эти фаерволы с докером. Хорошо, если в облаке есть внешний фаервол. А если нет - так и торчат базы. Посканируйте интернет на предмет :5432, ужаснитесь.

Вообще, продовые базы обычно в докере не разворачиваются. Докер - для разработки и тестирования.

Блажен кто верует. Большие дяди может и не разворачивают, а так - много кто разворачивает.

До сих пор никто не умеет настраивать эти фаерволы с докером.

И от того, что исправят «все сразу научатся» ? Вот внесут они изменения, и у тех у кого все было давно настроено и работало внезапно поломается, получат ещё 100500 сообщений вида «у меня все работало, а после обновления поломалось».

Та оно и так регулярно ломается, как и всё остальное. Не так давно, при переходе на последнюю версию Docker, контейнеры с MySQL начинали отжирать всю свободную память, пока их не прибивал OOM killer. Если при этом не стояло restart: no, то процесс запускался заново, и надо было как-то успеть на фактически полуживой системе прибить контейнер из консоли.

Ошибка была то ли в докере, то ли в последней версии go. Гипотез в баге было много, мне не хватило времени и знаний докопаться, главное, что через 20 итераций я нашёл работающий костыль для обхода этого бага.

Корень проблемы в том, что пакеты, перенаправляемые средствами iptables в контейнер через DNAT, проходят через цепочку FORWARD, а не INPUT, как того ожидают наивные пользователи, ufw и firewalld.

ну тоесть проблема не в docker и iptables, а в пользователях uwf и firewalld которые packet flow не знают

И от того, что исправят «все сразу научатся» ?

А что тут учиться? Стандартным образом порты закрывать все умеют. А для докера до сих пор нет ни одного туториала, я так подозреваю. По крайней мере в последний раз я потратил несколько дней, чтобы разобраться и готовых рецептов не нашёл. Причём даже мой способ получился не слишком универсальным.

Вот внесут они изменения, и у тех у кого все было давно настроено и работало внезапно поломается, получат ещё 100500 сообщений вида «у меня все работало, а после обновления поломалось».

Ну и ладно. Если сделали криво с первого раза, надо исправлять, а не тянуть кривое решение до конца времён.

Ну одно дело это баг, другое дело целенаправленная поломка из-за «наивных пользователей», завтра эти «наивные» ещё чего-то не осилят, так и будут ломать ради наивных?

Базы еще туда-сюда (хотя стартаперам здравый смысл не указ), а вот редисов в интернет торчит хренова гора. Из-за этих слабоумных авторы редиса даже запилили дебильный protected mode по дефолту, в котором оно не принимает команды при коннекте не с локалхоста.

А для докера до сих пор нет ни одного туториала, я так подозреваю.

Есть, называется iptables tutorial.

По крайней мере в последний раз я потратил несколько дней, чтобы разобраться и готовых рецептов не нашёл.
готовых рецептов не нашёл

По вашему мнению предлагаемые в топике изменения резко родят готовые рецепты?

Если сделали криво с первого раза, надо исправлять, а не тянуть кривое решение до конца времён.

Нормально они сделали, а вот поменять собираются на «криво».