我有一个运行几个docker的容器的主机。 这个主机有几个networking接口,我的目标是使一些暴露的端口从容器只能通过某些接口访问,并阻止访问他人。 我想使用主机的iptables的。 但它不可能简单地做到: iptables -I INPUT -i vlan2 –dport 80 -j DROP 因为数据包是通过预先路由转发的。 iptables -t nat -L PREROUTING 2 Chain PREROUTING (policy ACCEPT) target prot opt source destination DOCKER all — anywhere anywhere ADDRTYPE match dst-type LOCAL Chain DOCKER (2 references) target prot opt source destination DNAT tcp — anywhere anywhere tcp dpt:mysql to:172.17.0.2:33066 […]
我已经安装了Windows服务angular色VPN。 下一步是VPN会话用户帐号的访问限制。 有些文件夹应该被拒绝从客户端查看(例如:系统文件夹,程序文件,用户configuration文件),有些应该被允许。 这次我不打算使用Active Directory,它没有启用。 是否可以select所有文件夹共享和ntfs(安全标签)权限与完全控制或修改为authentication用户,除了我select授予访问VPN连接Windows标准用户帐户。 或者相反呢? 并从具有共享和ntfs权限的用户组中删除用户组到身份validation用户组?
(我找不到一个已经回答了的类似问题,但是因为我是法国学生,所以我可能不会使用这些好话) 我正在寻找的最接近的答案是: 可扩展的Web应用程序硬件拓扑最佳实践,但它并不能回答所有问题 我build立了一个小型私有云(OpenStack),我运行KVM虚拟机,大部分时间是每个域/网站一个虚拟机,为我的几十个网站和一些客户端运行。 我打算testing一下,如果我可以演变成一个“混合云”,有一些东西在我的云中运行,还有一些在EC2上,所以我想知道我的“做法”是否最适合我的使用。 那些虚拟机运行CoreOS,然后运行不同的Docker服务(一个Nginx容器,一个容器pgsql等)。 如果一个服务开始太“短”,那么我要么创build一个更大的虚拟机,将旧的虚拟机复制到更大的虚拟机并删除旧的虚拟机,要么为有需要的服务创build专用虚拟机(例如第二个VM专用于Nginx来处理更多的连接)。 但是,我想知道如果我不做错事。 我select使用这个“模型”,因为我想要在不同的域/客户端之间进行强有力的隔离,因为我希望在这些日子里能够更好地使用Docker,并且因为我发现Docker是最有效的方法之一快速部署服务。 我宁愿只使用虚拟机 (所以没有容器)与每个服务一个虚拟机(而不是每个域的一个虚拟机)? 还是应该使用容器来分隔不同的服务,并将它们混合在一起运行在我的节点中? 就像几十个不同的服务和不同客户的集装箱一样? 那么我怎样才能有效地隔离不同的域名/客户呢? 那我该如何扩展这些服务呢? 只需添加更多的节点? 还是应该创build一个大型虚拟机或裸机的集群,然后用它们来创build一个大的CoreOS集群 ,这个集群应该能够增加更多的裸机节点? 然后是容器适用的同样的问题。 对不起,如果我的问题看起来太愚蠢或新手或不适合,但我更喜欢现在问,而不是退后一步是否太迟;) 任何build议欢迎:) ÿ
说有一个由docker供电的应用程序。 可能有容器的数据库,Redis等和实际的Web容器(在我的情况下,它是PHP的FPM和Nginx的)。 或者,它可能是一个纯粹的Web节点,只有Web容器运行。 我的问题 – 有一个单一的主机上有一个这样的Web容器(PHP的FMP&Nginx的)有什么好处吗? 会提高性能吗? 它会降低性能吗?
我有几台运行Debian 6(Squeeze)的服务器,它使用OpenVZ来运行容器。 容器是一些Debian 6和一些Debian 7。 Squeeze是Debian支持OpenVZ的最后一个版本,对于下一个版本,build议用户运行LXC容器。 我拿着这个,但挤压最近去了EOL。 而现在,我有点不知所措,因为我不知道一个简单的升级途径。 我没有高可用性,机器全天候运行,我不能期望太多的停机时间(例如在另一台机器上设置LXC并复制它们)。 我想知道是否有人已经完成了这个升级,我正在考虑设置LXC与OpenVZ一起在Debian Squeeze上工作,所以我可以在与OpenVZ相同的文件夹和机器上启动容器,但是使用LXC,所有机器通过LXC运行,然后我继续将Debian版本升级到7和8之后。 有没有人做过这个? 你们build议我要做什么?
我已经写了一个小的bash脚本来检查docker服务是否正常运行,当我在客户端上进行testing的时候是非常好的,但是不知道从nagios服务器上运行check_nrpe来执行我的脚本,它总是显示脚本的一部分。 我的nrpe.cfg也是正确的。 这是脚本: #!/bin/bash CONTAINER=ubuntu_container RUNNING=$(docker inspect –format="{{ .State.Running }}" $CONTAINER 2> /dev/null) if [ "$RUNNING" == "true" ]; then echo "OK – $CONTAINER is running." exit 0 else echo "CRITICAL – $CONTAINER is not running." exit 2 fi 从nagios服务器输出: root@nag_server nagios]# /usr/lib64/nagios/plugins/check_nrpe -t 30 -H docker-host.intenallab -c docker_container CRITICAL – ubuntu_container is not running. […]
在我的公司,我们正在开发一种产品,最终将通过OpenLDAP和Active Directory支持身份validation。 我们已经configuration了Windows Server 2016,并希望通过Windows容器创build一个独立的环境来testing我们的应用程序。 不幸的是,当在容器中安装/启用ADfunction时,我遇到了困难。 我收到的错误是: Add-WindowsFeature : The request to add or remove features on the specified server failed. The operation cannot be completed, because the server that you specified requires a restart. At line:1 char:1 + Add-WindowsFeature AD-Domain-Services + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : DeviceError: (@{Vhd=; Credent…Name=localhost}:PSObject) [Install-WindowsFeature], Exception + FullyQualifiedErrorId : DISMAPI_Error__Failed_Reboot_Required,Microsoft.Windows.ServerManager.Commands.AddWindowsFeatureCommand […]
我在CentOS 7上configuration一个iptables NAT时遇到了一些问题。当前在NAT后面的客户端可以到达外部IP而不是外部networking。 我遵循这个教程来设置我的NAT,知道它在Gentoo和Arch上运行良好: http://www.revsys.com/writings/quicktips/nat.html 模式化我的问题: eth0(external)= 192.168.1.1/24 eth1(internal)= 192.168.2.1/24 当我从192.168.2.2 ping: ping 192.168.1.1:好的 ping 192.168.1.2:NOK ping 8.8.8.8:NOK 请注意,我也build立了一个从192.168.1.1:80到192.168.2.2:80的端口转发规则。 这样做很好,根据Wireshark我的数据包被成功转发到192.168.2.2。 然后192.168.2.2回复但数据包被丢弃,所以我看到多个TCP重新传输。 没有任何“主机行政禁止”消息。 当我尝试从外部连接到192.168.2.2:80时,这里是滴水信息: 1 drops at ip_error+68 (0xffffffff815c47d8) 1 drops at ip_error+68 (0xffffffff815c47d8) 1 drops at ip_error+68 (0xffffffff815c47d8) 1 drops at ip_error+68 (0xffffffff815c47d8) 1 drops at tcp_rcv_state_process+1b0 (0xffffffff815e5030) 1 drops at ip_error+68 (0xffffffff815c47d8) 1 drops […]
我有一个有46个容器的OpenVZ服务器。 如何获取所有容器的相应磁盘使用情况列表?
Docker没有运行init。 所以服务在启动过程中不会启动。 Lxc在lxc-start期间运行init。由于Docker使用lxc,为什么它不运行init。 不运行init并依赖于supervisord进行守护进程有什么好处?