Docker, Tips och trix

2023-12-29 21:38

Permalänk

Pingo88

Medlem

Registrerad: Apr 2004

●

Docker, Tips och trix

Hej,

Precis fått Docker att fungera som önskat på min QNAP-nas efter mycket problem med Permissions.

Tänkte det hade varit kul att höra vad ni andra kör på era servrar/nas i Docker samt tips och trix

Just nu kör jag enbart mosquito-mttq samt node-red med Docker-compose. Detta för att spara data från lite tempsensorer och andra små projekt med esp32.

Jag hade hopplösa problem med "File permissions" och node-red när jag försökte mappa data-mappen mot volym för att data ska sparas mellan sessionerna. Visade sig vara en kombination av att node-red förutsätter att user-id 1000 är den som används samt att det inte räckte att ändra rättigheterna i /share/Container/... där Docker är mappat när man installerar det via Container station.
Lösningen blev till slut att ange korrekt uid/gid i docker-compose.yml samt "chown":na volymen som skapats av Docker till densamma. Det fungerade inte att göra detta för mappen under /share/Container/... utan i share/CACHEDEV1_DATA/... av någon anledning jag inte fullt ut förstår.

Vad kör ni för containers och har ni några bra tips som förenklar tillvaron?

Visa signatur

Rapportera Redigera

Citera flera Citera (1)

2023-12-29 22:31

Permalänk

evil penguin

Medlem ★

Registrerad: Apr 2002

●

Skrivet av Pingo88:

Hej,

Precis fått Docker att fungera som önskat på min QNAP-nas efter mycket problem med Permissions.

Tänkte det hade varit kul att höra vad ni andra kör på era servrar/nas i Docker samt tips och trix

Just nu kör jag enbart mosquito-mttq samt node-red med Docker-compose. Detta för att spara data från lite tempsensorer och andra små projekt med esp32.

Jag hade hopplösa problem med "File permissions" och node-red när jag försökte mappa data-mappen mot volym för att data ska sparas mellan sessionerna. Visade sig vara en kombination av att node-red förutsätter att user-id 1000 är den som används samt att det inte räckte att ändra rättigheterna i /share/Container/... där Docker är mappat när man installerar det via Container station.
Lösningen blev till slut att ange korrekt uid/gid i docker-compose.yml samt "chown":na volymen som skapats av Docker till densamma. Det fungerade inte att göra detta för mappen under /share/Container/... utan i share/CACHEDEV1_DATA/... av någon anledning jag inte fullt ut förstår.

Vad kör ni för containers och har ni några bra tips som förenklar tillvaron?

Gå till inlägget

Tipsar om denna tråd: https://www.sweclockers.com/forum/trad/1626570-vi-som-kor-sel...

Alla kör visserligen inte allt i docker, men mycket av snacket gäller saker som körs i docker...

Visa signatur

Desktop spel m.m.: Ryzen 9800X3D || MSI X870 Tomahawk Wifi || MSI Ventus 3x 5080 || Gskill FlareX 6000 64GB || Kingston KC3000 2TB || Samsung 970 EVO Plus 2TB || Samsung 960 Pro 1TB || Fractal Torrent || Asus PG42UQ 4K OLED
Arbetsstation: Ryzen 7945HX || Minisforum BD790i || Asus Proart 4070 Ti Super || Kingston Fury Impact 5600 65 GB || WD SN850 2TB || Samsung 990 Pro 2TB || Fractal Ridge
Proxmox server: Ryzen 5900X || Asrock Rack X570D4I-2T || Kingston 64GB ECC || WD Red SN700 1TB || Blandning av WD Red / Seagate Ironwolf för lagring || Fractal Node 304

Rapportera Redigera

Citera flera Citera

2023-12-30 10:09

Permalänk

Pingo88

Medlem

Registrerad: Apr 2004

●

Skrivet av evil penguin:

Tipsar om denna tråd: https://www.sweclockers.com/forum/trad/1626570-vi-som-kor-sel...

Alla kör visserligen inte allt i docker, men mycket av snacket gäller saker som körs i docker...

Gå till inlägget

Tack för tipset!

Du har rätt, mycket av det rör Docker. För mig som inte haft en "server" hemma de senaste åren (sen typ 2015) har inte riktigt förstått hur utvecklingen gått.

Kanske mer intressant att vinkla tråden till tips och trix rörande Docker. Känns som jag bara skrapat ytan.

Visa signatur

Rapportera Redigera

Citera flera Citera

2024-01-04 00:29

Permalänk

Zidichy

Medlem ★

Registrerad: Jun 2002

●

Skrivet av Pingo88:

Hej,

Precis fått Docker att fungera som önskat på min QNAP-nas efter mycket problem med Permissions.

Tänkte det hade varit kul att höra vad ni andra kör på era servrar/nas i Docker samt tips och trix

Just nu kör jag enbart mosquito-mttq samt node-red med Docker-compose. Detta för att spara data från lite tempsensorer och andra små projekt med esp32.

Jag hade hopplösa problem med "File permissions" och node-red när jag försökte mappa data-mappen mot volym för att data ska sparas mellan sessionerna. Visade sig vara en kombination av att node-red förutsätter att user-id 1000 är den som används samt att det inte räckte att ändra rättigheterna i /share/Container/... där Docker är mappat när man installerar det via Container station.
Lösningen blev till slut att ange korrekt uid/gid i docker-compose.yml samt "chown":na volymen som skapats av Docker till densamma. Det fungerade inte att göra detta för mappen under /share/Container/... utan i share/CACHEDEV1_DATA/... av någon anledning jag inte fullt ut förstår.

Vad kör ni för containers och har ni några bra tips som förenklar tillvaron?

Gå till inlägget

Rekommenderat är att installera docker som root.
Det är inte alltid man ska installera programvara på linux OS under root, men just docker bör installeras som root.
Detta för att inte få problem med rättigheter.
Jag kör fortfarande mer eller mindre samma containers som jag har länkat till här
#18932206

Skrivet av Pingo88:

Tack för tipset!

Du har rätt, mycket av det rör Docker. För mig som inte haft en "server" hemma de senaste åren (sen typ 2015) har inte riktigt förstått hur utvecklingen gått.

Kanske mer intressant att vinkla tråden till tips och trix rörande Docker. Känns som jag bara skrapat ytan.

Gå till inlägget

För att få en bra förståelse för vad docker är så skrev jag en pedagogisk förklaring här

Visa signatur

[ Custom Thermaltake Case ] [ ASUS Rog Strix Z790-E Gaming Wifi ] [ Intel Core i9 14900KS ]
[ G.Skill Trident Z5 7200Mhz 32GB DDR5 ] [ Lian Li Galahad II 360 Performance ]
[ Samsung 870 QVO MZ-77Q1T0BW 1TB ] [ Samsung 870 QVO 8TB MZ-77Q8T0BW ]
[ WD Black SN850X NVMe SSD 1TB ] [ ASUS TUF GeForce RTX 5090 32GB ] [ Dedikerad PhysX GPU Msi 3050 LP 6G OC ]
[ Seasonic Prime TX-1600 Nocua Edition 80 Plus Titanium ] [ Gigabyte 32" M32U IPS 4K 144 Hz HDMI 2.1 ]

Rapportera Redigera

Citera flera Citera (1)

2024-01-08 11:07

Permalänk

Pingo88

Medlem

Registrerad: Apr 2004

●

Skrivet av Zidichy:

Rekommenderat är att installera docker som root.
Det är inte alltid man ska installera programvara på linux OS under root, men just docker bör installeras som root.
Detta för att inte få problem med rättigheter.
Jag kör fortfarande mer eller mindre samma containers som jag har länkat till här
#18932206

För att få en bra förståelse för vad docker är så skrev jag en pedagogisk förklaring här

Gå till inlägget

Ja, det där med att köra som root känns väldigt intuitivt med tanke på att Docker ska ha isolerade processer. Men såg i din förklaring att det inte verkar självklart att så är fallet per default. Tack för det tipset, det får jag sätta mig in i.

Hur pass säkert är det att köra i Docker, förutsatt att man kör som en opreviligerad användare enligt, https://docs.docker.com/engine/security/userns-remap/?

Jag är lite sugen på att snickra ihop en webbsida som baseras på python med bokeh, men egentligen livrädd för att exponera python mot internet... 🙄 Då kändes det vid första anblick rimligt att köra det i Docker.

Även ev. mqtt-server, men det ser jag som en mindre risk egentligen.

Visa signatur

Rapportera Redigera

Citera flera Citera

2024-02-06 21:07

Permalänk

Zidichy

Medlem ★

Registrerad: Jun 2002

●

Skrivet av Pingo88:

Ja, det där med att köra som root känns väldigt intuitivt med tanke på att Docker ska ha isolerade processer. Men såg i din förklaring att det inte verkar självklart att så är fallet per default. Tack för det tipset, det får jag sätta mig in i.

Hur pass säkert är det att köra i Docker, förutsatt att man kör som en opreviligerad användare enligt, https://docs.docker.com/engine/security/userns-remap/?

Jag är lite sugen på att snickra ihop en webbsida som baseras på python med bokeh, men egentligen livrädd för att exponera python mot internet... 🙄 Då kändes det vid första anblick rimligt att köra det i Docker.

Även ev. mqtt-server, men det ser jag som en mindre risk egentligen.

Gå till inlägget

Om du kör docker i din miljö på din användare på din server och inte delar tillgång med någon annan så är allt väldigt säkert, du behöver inte oroa dig.
Känns det fortfarande inte tryggt så kan du alltid skapa en VM isolera den, och sen installera docker.

Jag kan relatera till publik exponering av tjänster så som hemsidor ect.
Men för att ge dig tips på hur du säkrar dig och din sajt.

Helst om du kan använda dig av cf tunnels.
Om inte så enbart port 80 & 443 via routern, alla andra portar via reverse proxy.
Försök konfigurera så din server enbart talar med CF IP range.
Kodar du admin portal till din sajt, så använd nån form av skydd så som keycloak eller authentik.
Använd inte inline för script eller styles.
Försök sätta upp ett starkt CSP med antingen auto generated nonce eller sha. (nonce är svårt så fokus sha)
SSH ska inte vara publikt utan enbart lokalt, använd vpn för att nå på distans, med auth keys.
Använd enbart wildcart ssl cert.
Se till och ha så många moderna skydd till din webbserver som du kan.

Visa signatur

[ Custom Thermaltake Case ] [ ASUS Rog Strix Z790-E Gaming Wifi ] [ Intel Core i9 14900KS ]
[ G.Skill Trident Z5 7200Mhz 32GB DDR5 ] [ Lian Li Galahad II 360 Performance ]
[ Samsung 870 QVO MZ-77Q1T0BW 1TB ] [ Samsung 870 QVO 8TB MZ-77Q8T0BW ]
[ WD Black SN850X NVMe SSD 1TB ] [ ASUS TUF GeForce RTX 5090 32GB ] [ Dedikerad PhysX GPU Msi 3050 LP 6G OC ]
[ Seasonic Prime TX-1600 Nocua Edition 80 Plus Titanium ] [ Gigabyte 32" M32U IPS 4K 144 Hz HDMI 2.1 ]

Rapportera Redigera

Citera flera Citera

Docker, Tips och trix

Docker, Tips och trix

Externa nyheter