[Docker] [alle OS] Het grote Docker ervaringen en tips topic

RobertMe schreef op vrijdag 28 juni 2024 @ 14:33:
Als heads up. Docker 27 heeft schijnbaar by default IPv6 support enabled incl. het gebruik van ip6tables. An zich natuurlijk prima dat Docker nu by default IPv6 support heeft.

Raven schreef op vrijdag 28 juni 2024 @ 16:43:
[...]

.... zijn ze er daar niet van op de hoogte dat nftables al een aantal versies (in Debian) default is?

RobertMe schreef op vrijdag 28 juni 2024 @ 17:04:
[...]

nftables is al heel lang de default op heel wat distos AFAIK. Maar in ieder geval is er een nftables compatible variant van de iptables tooling. En/dus werkt Docker prima met iptables.

[ Voor 10% gewijzigd door Raven op 28-06-2024 19:11 ]

alex3305 schreef op vrijdag 14 juni 2024 @ 11:19:
@CSB Ja dat kan. Ik heb bijvoorbeeld toen ik Home Assistant nog op een Pi draaide, had ik mijn Docker data op een externe USB staan zodat de SD kaart niet overbelast raakte. Bij IBM staat een aardige uitleg hoe je de data-root zoals dat heet kunt verplaatsen. In mijn notes had ik het verkort zo staan:

Bash:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16

sudo -s # Stop all containers and Docker docker stop $(docker ps -aq) systemctl stop docker # Create new directory and copy everything over mkdir -p /var/data/usb/docker cp -p -r /var/lib/docker/* /var/data/usb/docker/ # Add docker root to dameon config vim /etc/docker/daemon.json # Add -> "data-root": "/var/data/usb/docker/" # Start Docker systemctl start docker

Waarbij /var/data/usb/ uiteraard de andere partitie was.

Raven schreef op vrijdag 28 juni 2024 @ 19:08:
Maar als je een zelf geschreven firewall hebt ( op mijn router-pc doe ik dat met https://wiki.nftables.org/wiki-nftables/index.php/Scripting ) dan heb je dus de eigen firewall en dat wat Docker via ip6tables heeft aangemaakt apart erbij. Dat is niet echt handig qua overzichtelijkheid.

1
2
3
4

{
  "iptables": false,
  "ip6tables": false
}

R.G schreef op vrijdag 28 juni 2024 @ 19:23:
[...]

Is dit een industrie oplossing doen alle bedrijven het zo? of ongeveer zo?

Airw0lf schreef op vrijdag 28 juni 2024 @ 21:51:
Kan je via die deamon.json ipv6 ook helemaal uitzetten? Wat is dat commando dan?

[ Voor 6% gewijzigd door RobertMe op 28-06-2024 21:55 ]

RobertMe schreef op vrijdag 28 juni 2024 @ 21:54:
[...]

En als je geen IPv6 op de host hebt dan zijn de containers dus ook niet via IPv6 bereikbaar.

DjoeC schreef op maandag 1 juli 2024 @ 16:16:
Ik ben op zoek naar een link/beschikbaarheids checker in een container. Doel: Kijken of specifieke pagina's op specifieke websites benaderbaar zijn en dat het liefst in een docker container die dat "regelmatig" checkt. Reden: Het spontaan ontdekken van een "403 not authorized" op een subdirectory na een update door een webhoster. Hoe lang dit al speelt is onbekend en ik wil dit in de toekomst voorkomen.

Ik vind eigenlijk alleen https://github.com/linkchecker/linkchecker (5 jaar oud) of https://hub.docker.com/r/dcycle/broken-link-checker/ die onderliggend blijkbaar de eerste weer aanroept (of ik zie het verkeerd).

Ik mis ook een beetje het "actief" waarschuwen (messaging) hoewel een .csv waarschijnlijk wel weer te parsen of te monitoren is - maar ja dan wordt het weer zo'n houtje-touwtje oplossing. Het gaat om een stuk of wat specifieke pagina's over verschillende sites.

Iemend een goed idee?

RobertMe schreef op maandag 1 juli 2024 @ 17:09:
[...]

Ik denk dat je meer uit de voeten kunt met "uptime (monitor)" als zoekterm? Waarmee je binnen no time zult uitkomen bij Uptime Kuma.

[ Voor 7% gewijzigd door DjoeC op 01-07-2024 18:53 ]

Airw0lf schreef op maandag 1 juli 2024 @ 15:41:
Op een LXC container krijg ik bij het ophalen van het swag-docker-image de volgende melding:
[code]docker: failed to register layer: failed to Lchown "/dev/console" for UID 0, GID 0: lchown /dev/console: no such file or directory.[/code]

Het ophalen gebeurd als sudo-er en zonder het aanmaken van de container.

Bij de 3 andere Docker containers krijg ik die melding niet.

De genoemde "folder" /dev/console is er wel.

Ik vindt wel vergelijkbare meldingen op internet. Maar dat gaat over Docker versie 7.0.
Ik maak gebruik van versie 27.0.2

Iemand enig idee wat hier aan de hand kan zijn?

[ Voor 6% gewijzigd door ElCondor op 10-07-2024 10:58 ]

ElCondor schreef op woensdag 10 juli 2024 @ 10:56:
Een vraag, ik heb een aantal docker instances draaien met per instance verschillende services.
Nu zitten daar een aantal overkoepelende services tussen zoals Traefik en Authentik. Deze services gaan er, tijdens configuratie bijna altijd van uit dat de containers die ze bedienen direct via een docker proxy netwerk te bereiken zijn, maar zodra ik een container op een andere docker instance (dus ook op een andere 'fysieke' host) wil benaderen dan moet dat altijd met kunst en vliegwerk. Bij Traefk kun je met ynamic config files werken en die laten verwijzen naar 'externe' adressen (extern aan de locale docker instance) maar dan moet je zoiweso die docker containers op het normale fysieke lan ontsluiten omdat uberhaupt te kunnen doen.
Daarbij krijg ik het gevoel dat dergelijke configuraties welondersteund worden, maar altijd als een soort afterthougt geïmplementeerd zijn in Traefik of Authentik.

Ik heb zelf het idee dat ik hiermee een denkfout maak en eigenlijk een soort tunnel moet creëren tussen alle docker instances zodat er één groot virtueel proxy netwerk ontstaat waarop de containers vrijelijk met elkaar kunnen communiceren en alléén via de Traefik proxy van buiten bereikt kunnen worden.

Ik heb echter onvoldoende kennis van docker networking om dit goed in te richten en ik zou daarom graag willen polsen, zit ik hiermee in de goede richting of moet ik het helemaal over een andere boeg gooien?

Thx alvast voor het meedenken!

ElCondor schreef op woensdag 10 juli 2024 @ 10:56:
Ik heb zelf het idee dat ik hiermee een denkfout maak en eigenlijk een soort tunnel moet creëren tussen alle docker instances zodat er één groot virtueel proxy netwerk ontstaat waarop de containers vrijelijk met elkaar kunnen communiceren en alléén via de Traefik proxy van buiten bereikt kunnen worden.

remyz schreef op woensdag 10 juli 2024 @ 11:49:
[...]


Je bent denk ik op zoek naar "overlay network": https://docs.docker.com/network/drivers/overlay/

ElCondor schreef op woensdag 10 juli 2024 @ 11:59:

[...]

Zo veel vragen

[ Voor 29% gewijzigd door Airw0lf op 11-07-2024 07:24 ]

Airw0lf schreef op woensdag 10 juli 2024 @ 21:49:
[...]


Mijn complimenten met de resultaten tot nu toe (serieus!) - je hebt wel lef!

Maar ook: mijn telepatische gaven zijn niet meer wat ze geweest zijn... laat staan dat ik op een afstand kan zien hoe/waar alles ingesteld en opgeslagen is... nog maar los van een mogelijk migratie scenario...

En met passages als "een Hyper-V VM, voorzien van Ubuntu als host OS" gaat bij mij het licht uit...

Daarom hieronder mijn 0,500 Euro voor een mogelijk vervolg...

=====

Alle gegevens bestanden via sftp en SMB kopiëren naar een losse, externe disk.
Vervolgens instellingen overnemen in een tekst/Word/Writer-bestand; al dan niet in de vorm van screenshots.

Dan alles vanaf scratch uitzoeken, schemas maken, beschrijven en opbouwen.
Gaandeweg ga je andere inzichten krijgen. Pas hierop schemas en beschrijvingen aan.

Bij het opbouwen zoveel mogelijk plain Debian gebruiken (bij Proxmox kun je niet anders) - dus ook bij de VM's en LXC containers - dat maakt de leercurve minder steil. In dat kader lijkt me Linux Mint een mooi alternatief voor je Suse desktop.

Docker containers komen vaak met een voor-geconfigureerd mini-OS - daar aan gaan sleutelen lijkt me geen handige - laat staan eigen, custom Docker images maken.

Ik weet niet op welke schaalgrootte je uiteindelijk aan de slag wil met alles - maar afgaande op de staat van nu zal het niet zo heel groot zijn. Met die aanname lijkt me Portainer (zonder agents) prima voor Docker-beheer. In een (Proxmox?)-cluster opzet lijkt me Kubernetes een prima opzet.

Het aan elkaar knopen van Docker containers kan prima via het reguliere netwerk. Het Docker networking arsenaal van host, bridge en mac-vlan geeft hiervoor voldoende speelruimte. Een mac-vlan zie ik als een last-resort - voor als het echt niet anders meer kan. Bijvoorbeeld omdat je niet van overlappende TCP-poorten af kunt komen die via je LAN toegankelijk moeten zijn.

Het enige wat je hierbij in het oog moet houden zijn DNS-namen, IP subnets (vlans?), IP-adressen en TCP poorten. Misschien Pihole inzetten voor DNS, vlan en subnet beheer?

Waarschijnlijk ga je in dit proces gegevens en instellingen verliezen... maar goed - op die manier leer je wel waar en hoe "dingen" opgeslagen worden?! Zodat je ook weet hoe een backup eruit zou kunnen zien!?

Mars Warrior schreef op donderdag 11 juli 2024 @ 10:41:
@ElCondor . ...

Consolideren op 1 instance is het makkelijkst. ...

ElCondor schreef op donderdag 11 juli 2024 @ 10:47:
[...]

Daar zit ik ook steeds meer aan te denken.
Docker swarm is inderdaad ook een optie, als zit ik dan nog wel met eventueel gedeelde storage in mijn maag. Daar heb ik op dit moment ook nog weinig kaas van gegeten.
Ik had Kubernetes inderdaad ook al een keer op 3 Pi's geprobeerd, maar om de een of andere manier vernaggelde na een reboot iedere keer het filesystem waardoor de Pi's niet meer bootten...
Vandaar dat ik voor nu nog even met losse instances aan de slag ben gegaan.

Consolideren op 1 instance introduceert natuurlijk ook nog een SPoF. Dus dan zou een Swarm/Kubernetes wel weer handig zijn.... maar... storage....

Mars Warrior schreef op donderdag 11 juli 2024 @ 11:10:
[...]

Swarm doet vziw niet aan gedeelde storage. Een failover van een service moet dus eigenlijk gebruik maken van een gedeelde share (NFS). Dat werkte wel, maar niet altijd even lekker.

K*s heeft daar wel keuze in, maar kan erg complex zijn om goed op te zetten. Daarnaast is het nogal een load op al je nodes en kun je last krijgen van het split brain syndroom: dan synced er niks meer...

ElCondor schreef op donderdag 11 juli 2024 @ 11:12:
[...]


Ah, te ingewikkeld, ik hoor het al
Destijds met die Pi's dus toch begonnen met rennen terwijl ik nog moest leren kruipen.

alex3305 schreef op zondag 14 juli 2024 @ 13:34:
@Airw0lf Kun je een voorbeeld geven hoe je het nu doet?

Ik gebruik geen host adapters maar een ipvlan zodat ik ook een apart ip toe kan wijzen aan de containers. Op die manier kun je ze ook scheiden.

[ Voor 14% gewijzigd door Airw0lf op 14-07-2024 13:43 ]

Alleen dan met een ander IP adres als de host - wat het weer onnodig complex maakt.

• Caddy + Proxy voor het web. Caddy doet automatisch SSL. Daar hoef je helemaal niets voor in te richten. Sterker nog, je moet extra dingen doen om enkel HTTP te gebruiken...
• Caddy + Proxy is declaratief: alles staat in je docker compose file. Het domein waarop de service benaderd moet worden en de (proxy) poort dus. Geen gekloot meer met dingen in een NPM bestand oid.
• In Adguard voer ik de lokale en publieke domeinen in.
• Klaar.

Mars Warrior schreef op zondag 14 juli 2024 @ 13:50:
Ik gebruikte voorheen ook mcvlans om de verschillende containers apart te kunnen benaderen.

Met de inrichting van de nieuwe server ben ik hier volledig van afgestapt op de Adguard container na die ook de DNS verzorgt van de server (en het netwerk).

Voor alles wat via het web ontsloten kan worden gebruik ik nu Caddy met Docker proxy.

Daarmee kun je alles via een publieke of locale URL benaderen, en dat zonder poort conflicten omdat de Caddy container direct met Docker praat, en dus het interne docker IP adres van de container kan benaderen.

Je hebt dus GEEN problemen meer als meer containers op poort 80 zitten. Je moet die poort ook niet meer exposen via een port: mapping.

Dus:

• Caddy + Proxy voor het web. Caddy doet automatisch SSL. Daar hoef je helemaal niets voor in te richten. Sterker nog, je moet extra dingen doen om enkel HTTP te gebruiken...
• Caddy + Proxy is declaratief: alles staat in je docker compose file. Het domein waarop de service benaderd moet worden en de (proxy) poort dus. Geen gekloot meer met dingen in een NPM bestand oid.
• In Adguard voer ik de lokale en publieke domeinen in.
• Klaar.

[ Voor 9% gewijzigd door RobertMe op 14-07-2024 14:30 ]

alex3305 schreef op zondag 14 juli 2024 @ 13:49:
@Airw0lf Je kunt poorten binden naar een specifieke extern ip, maar dat is met een bridge en geen host. Per container lijkt mij dit sowieso niet haalbaar, wellicht voor heel de daemon.


[...]

Ik vind het binden van meerdere diensten aan 1 ip adres juist onnodig complex. Dan moet je o.a. rekening houden met poort reserveringen, wat bij aparte adressen of een bridge netwerk niet hoeft.

Airw0lf schreef op zondag 14 juli 2024 @ 13:39:
Op dit moment is het zo dat een Docker container zich bind aan alle interfaces.
Dat lijkt te komen door bij het opstarten 0.0.0.0 te gebruiken.

[ Voor 33% gewijzigd door deHakkelaar op 14-07-2024 20:55 ]

deHakkelaar schreef op zondag 14 juli 2024 @ 20:51:
[...]

Ik dacht dat de default voor een container de bridge mode/driver was.
Dus een container interface (virtueel) is dan een slaaf van een lostaande virtuele bridge die gecreeerd is en met niks is verbonden.
Je kunt dan met de ports directive poortjes in de container NATen naar buiten toe.
Zo kun je dus verschillende containers met elkaar laten praten over dezelfde bridge.
En alleen de poortjes die je publiekelijk wilt blootstellen NATen/forwarden naar buiten toe.
De container zelf bind dan toch alleen aan z'n eigen virtuele interface en niet de fysieke vd host zelf .... toch???

Ben nog een groentje wbt Docker maar ik lees graag
https://docs.docker.com/network/drivers/

[ Voor 12% gewijzigd door Airw0lf op 14-07-2024 21:06 ]

RobertMe schreef op zondag 14 juli 2024 @ 14:25:
[...]

Er kunnen natuurlijk ook andere redenen zijn om een container aan het netwerk te exposen En een DNS server hoeft niet via macvlan. Immers is DNS gewoon singlecast etc. Als je AdGuard ook als DHCP server kunt gebruiken, en dat ook doet (PiHole kan dit, AdGuard weet ik niet) is macvlan wel een vereiste, omdat DHCP multicast / broadcast gebruikt en dat uiteraard niet over subnets heen gaat.

Airw0lf schreef op zondag 14 juli 2024 @ 20:56:
De vlan-interfaces beginnen allemaal met eth0.<getal>. Terwijl alleen eth0 (dus zonder de vlan-interfaces voldoende is).

$ ip -br l
lo               UNKNOWN        00:00:00:00:00:00 <LOOPBACK,UP,LOWER_UP>
eth0             UP             00:16:3e:XX:XX:XX <BROADCAST,MULTICAST,UP,LOWER_UP>

$ ip -br -4 a
lo               UNKNOWN        127.0.0.1/8
eth0             UP             10.0.0.145/24

$ sudo ip address add 192.168.10.10/32 dev eth0
$

$ ip -br l
lo               UNKNOWN        00:00:00:00:00:00 <LOOPBACK,UP,LOWER_UP>
eth0             UP             00:16:3e:XX:XX:XX <BROADCAST,MULTICAST,UP,LOWER_UP>

$ ip -br -4 a
lo               UNKNOWN        127.0.0.1/8
eth0             UP             10.0.0.145/24 192.168.10.10/32

deHakkelaar schreef op zondag 14 juli 2024 @ 21:05:
[...]

Zoiets?

$ ip -br l
lo               UNKNOWN        00:00:00:00:00:00 <LOOPBACK,UP,LOWER_UP>
eth0             UP             00:16:3e:XX:XX:XX <BROADCAST,MULTICAST,UP,LOWER_UP>

$ ip -br -4 a
lo               UNKNOWN        127.0.0.1/8
eth0             UP             10.0.0.145/24

$ sudo ip address add 192.168.10.10/32 dev eth0
$

$ ip -br l
lo               UNKNOWN        00:00:00:00:00:00 <LOOPBACK,UP,LOWER_UP>
eth0             UP             00:16:3e:XX:XX:XX <BROADCAST,MULTICAST,UP,LOWER_UP>

$ ip -br -4 a
lo               UNKNOWN        127.0.0.1/8
eth0             UP             10.0.0.145/24 192.168.10.10/32

1
2
3
4
5
6
7
8
9
10
11

# The physical NIC and management vlan
auto eth0
iface eth0 inet dhcp

# IoT vlan
auto eth0.230
iface eth0.230 inet dhcp

# Staging vlan
auto eth0.110
iface eth0.110 inet dhcp

[ Voor 27% gewijzigd door deHakkelaar op 14-07-2024 21:23 ]

deHakkelaar schreef op zondag 14 juli 2024 @ 21:21:
@Airw0lf , VM?
Ik dacht dat je het over de Docker host had
EDIT: Met ik neem aan maar 1 fysieke interface.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26

# Add eth0 to bond0
auto eth0
iface eth0 inet manual
   bond-master bond0
   bond-primary eth0

# Dito for eth1
auto eth1
iface eth1 inet manual
   bond-master bond0

# The bonding network interface
# The default (legacy) vlan 1
auto bond0
iface bond0 inet dhcp
   bond-slaves eth0 eth1
   bond-mode 5
# Mode 5 of 6 - Adaptive loadbalancing - LACP werkt niet goed - veel TCP fouten

# Staging vlan 110 | subnet 192.168.110.0/24
auto bond0.110
iface bond0.110 inet dhcp

# IoT/Domotica vlan 230 | subnet 192.168.230.0/24
auto bond0.230
iface bond0.230 inet dhcp

1
2
3
4
5
6
7
8
9

docker run \
  --name omada \
  --net=host \
  -v /opt/docker/omada/data:/opt/tplink/EAPController/data \
  -v /opt/docker/omada/logs:/opt/tplink/EAPController/logs \
  -e PORTAL_HTTP_PORT=8888 \
  -d \
  --restart=unless-stopped \
  mbentley/omada-controller:latest

Airw0lf schreef op zondag 14 juli 2024 @ 20:51:
Als ik het dan goed begrijp is 192.168.1.0/24 het subnet van je gebruikers.

Die krijgen via DHCP de Adguard DNS server (d.w.z. 192.168.1.4 ) toegespeeld.

Waarbij de opgestarte container dezelfde poorten heeft open staan als wanneer het via de host zou gaan (dus port mappings aanmaken is niet nodig).

docker network create -d ipvlan \
        --subnet=192.168.1.0/24 \
        --gateway=192.168.1.1 \
	-o parent=eth0 br0

Airw0lf schreef op zondag 14 juli 2024 @ 21:34:
[code]# Mode 5 of 6 - Adaptive loadbalancing - LACP werkt niet goed - veel TCP fouten

[ Voor 20% gewijzigd door Airw0lf op 14-07-2024 22:23 ]

RobertMe schreef op zondag 14 juli 2024 @ 21:44:
[...]

Ik weet niet hoeveel je geknipt hebt, maar hier zit dus lekkerlijk geen ipvlan of macvlan in Mogelijk dat je br0 als ipvlan netwerk hebt aangemaakt, maar dat zien we hier niet (die is immers external).

Airw0lf schreef op zondag 14 juli 2024 @ 22:29:
[...]


Waarvoor dank - maar blijkbaar is er meer nodig om iets werkend te krijgen.
Waaruit bestaat dat meer bij het gegeven het AdGuard voorbeeld?
Oftewel - hoe ziet de aanmaak van dat ipvlan er dan uit?

Airw0lf schreef op zondag 14 juli 2024 @ 22:33:
[...]


Hoe heb je dit gedaan? Kan/wil je een voorbeeld geven?

RobertMe schreef op zondag 14 juli 2024 @ 23:36:
(de "echte" bridge, die je ook met ip link / ip addr etc ziet)

$ ip -br link
[..]
xenbr0           UP             2e:5e:fe:XX:XX:XX <BROADCAST,MULTICAST,UP,LOWER_UP>

$ ip -br link show master xenbr0
eth0             UP             54:b2:03:XX:XX:XX <BROADCAST,MULTICAST,UP,LOWER_UP>
vif1.0           UP             fe:ff:ff:ff:ff:ff <BROADCAST,MULTICAST,UP,LOWER_UP>
vif3.0           UP             fe:ff:ff:ff:ff:ff <BROADCAST,MULTICAST,UP,LOWER_UP>
vif5.0           UP             fe:ff:ff:ff:ff:ff <BROADCAST,MULTICAST,UP,LOWER_UP>

$ sudo ip link set vif1.0 nomaster
$

$ ip -br link show master xenbr0
eth0             UP             54:b2:03:XX:XX:XX <BROADCAST,MULTICAST,UP,LOWER_UP>
vif3.0           UP             fe:ff:ff:ff:ff:ff <BROADCAST,MULTICAST,UP,LOWER_UP>
vif5.0           UP             fe:ff:ff:ff:ff:ff <BROADCAST,MULTICAST,UP,LOWER_UP>

$ apt show bash-completion
[..]
Description: programmable completion for the bash shell
 bash completion extends bash's standard completion behavior to achieve
 complex command lines with just a few keystrokes.  This project was
 conceived to produce programmable completion routines for the most
 common Linux/UNIX commands, reducing the amount of typing sysadmins
 and programmers need to do on a daily basis.

[ Voor 43% gewijzigd door deHakkelaar op 16-07-2024 16:56 . Reden: + bridge mdb ]

deHakkelaar schreef op zondag 14 juli 2024 @ 23:51:
[...]

$ ip -br link
[..]
xenbr0           UP             2e:5e:fe:XX:XX:XX <BROADCAST,MULTICAST,UP,LOWER_UP>

$ ip -br link show master xenbr0
eth0             UP             54:b2:03:XX:XX:XX <BROADCAST,MULTICAST,UP,LOWER_UP>
vif1.0           UP             fe:ff:ff:ff:ff:ff <BROADCAST,MULTICAST,UP,LOWER_UP>
vif3.0           UP             fe:ff:ff:ff:ff:ff <BROADCAST,MULTICAST,UP,LOWER_UP>
vif5.0           UP             fe:ff:ff:ff:ff:ff <BROADCAST,MULTICAST,UP,LOWER_UP>

$ sudo ip link set dev vif1.0 nomaster
$

$ ip -br link show master xenbr0
eth0             UP             54:b2:03:XX:XX:XX <BROADCAST,MULTICAST,UP,LOWER_UP>
vif3.0           UP             fe:ff:ff:ff:ff:ff <BROADCAST,MULTICAST,UP,LOWER_UP>
vif5.0           UP             fe:ff:ff:ff:ff:ff <BROADCAST,MULTICAST,UP,LOWER_UP>

EDIT: "ip -br " inkloppen en veel dubbeltab

ip --help
Usage: ip [ OPTIONS ] OBJECT { COMMAND | help }
       ip [ -force ] -batch filename
where  OBJECT := { address | addrlabel | amt | fou | help | ila | ioam | l2tp |
                   link | macsec | maddress | monitor | mptcp | mroute | mrule |
                   neighbor | neighbour | netconf | netns | nexthop | ntable |
                   ntbl | route | rule | sr | tap | tcpmetrics |
                   token | tunnel | tuntap | vrf | xfrm }
       OPTIONS := { -V[ersion] | -s[tatistics] | -d[etails] | -r[esolve] |
                    -h[uman-readable] | -iec | -j[son] | -p[retty] |
                    -f[amily] { inet | inet6 | mpls | bridge | link } |
                    -4 | -6 | -M | -B | -0 |
                    -l[oops] { maximum-addr-flush-attempts } | -br[ief] |
                    -o[neline] | -t[imestamp] | -ts[hort] | -b[atch] [filename] |
                    -rc[vbuf] [size] | -n[etns] name | -N[umeric] | -a[ll] |
                    -c[olor]}

EDIT2: Tenminste dat is als onder is geinstalleerd:

$ apt show bash-completion
[..]
Description: programmable completion for the bash shell
 bash completion extends bash's standard completion behavior to achieve
 complex command lines with just a few keystrokes.  This project was
 conceived to produce programmable completion routines for the most
 common Linux/UNIX commands, reducing the amount of typing sysadmins
 and programmers need to do on a daily basis.

Airw0lf schreef op maandag 15 juli 2024 @ 07:12:
@RobertMe - de vraag van een voorbeeld had alleen betrekking op het Docker deel.

Routing is inderdaad off-topic => zonder verder veel in details te gaan: ik gebruik daar een Omada switch voor.

offtopic:
Een switch doet switchen, en een router doet routing Tenzij het een layer 3 switch is, die kan ook routen.

[ Voor 6% gewijzigd door Airw0lf op 15-07-2024 08:19 ]

Airw0lf schreef op maandag 15 juli 2024 @ 08:10:
Doe me dan toch maar "iets" waarmee een Docker container gestart kan worden in host network mode en alleen "luistert" naar een opgegeven interface. En als interface niet kan dan een opgegeven IP subnet. Waarbij een subnet ook een /32 "netwerk" mag zijn.

alex3305 schreef op zondag 14 juli 2024 @ 23:11:
[...]

Dat had ik in mijn vorige post beschreven: alex3305 in "[Docker] [alle OS] Het grote Docker ervaringen en tips topic"

DjoeC schreef op maandag 15 juli 2024 @ 16:11:
Tijd voor een nieuwe vraag... Ik ben op zoek naar een lokale registry om mijn zelfgemaakte images (en mogelijk ander spul) in op te slaan. Gaat vooral om kleine Python dingen. Ik zie door de bomen het bos even niet: Distribution, Registry, Harbor, Quay, Gitea, etc, etc.....

Sommigen hebben geen echte interface om even een index of de tags te bekijken, sommigen zijn erg uitgebreid. Doelplatform: Raspberry. Ik kan ook niet echt een goeie vergelijking vinden - of ik zoek verkeerd.

Tips, hints, suggesties?

DjoeC schreef op maandag 15 juli 2024 @ 16:11:
Tijd voor een nieuwe vraag... Ik ben op zoek naar een lokale registry om mijn zelfgemaakte images (en mogelijk ander spul) in op te slaan. Gaat vooral om kleine Python dingen. Ik zie door de bomen het bos even niet: Distribution, Registry, Harbor, Quay, Gitea, etc, etc.....

Sommigen hebben geen echte interface om even een index of de tags te bekijken, sommigen zijn erg uitgebreid. Doelplatform: Raspberry. Ik kan ook niet echt een goeie vergelijking vinden - of ik zoek verkeerd.

Tips, hints, suggesties?

Airw0lf schreef op maandag 15 juli 2024 @ 09:21:
[...]

Aja - was ik even vergeten.

Straks eens even proberen met een /32 "subnet"...

1
2
3
4

docker network create -d ipvlan \
  --subnet=192.168.139.0/24 \
  --gateway=192.168.139.241 \
  -o parent=eth0 tech

1
2
3
4
5
6
7
8

docker run -d \
  --name omada-controller \
  --net tech --ip 192.168.139.234 --dns 192.168.139.235 \
  --domainname tech.itv.lan --dns-search tech.itv.lan \
  -v /opt/docker/omada/data:/opt/tplink/EAPController/data \
  -v /opt/docker/omada/logs:/opt/tplink/EAPController/logs \
  -e PORTAL_HTTP_PORT=8888 \
  --restart=unless-stopped

[ Voor 11% gewijzigd door Airw0lf op 15-07-2024 17:56 ]

RobertMe schreef op maandag 15 juli 2024 @ 06:27:
Wat wil je hier mee zeggen?

$ man ip
[..]
       -br, -brief
              Print only basic information in a tabular format for better
              readability. This option is currently only supported by ip addr
              show , ip link show & ip neigh show commands.

RobertMe schreef op maandag 15 juli 2024 @ 06:27:
Nice try, maar ik gebruik zsh (maar ook die doet gewoon auto completion )

bash completion extends bash's standard completion behavior

$ ip
address     ioam        mptcp       netns       sr          vrf
addrlabel   l2tp        mroute      nexthop     tap         xfrm
amt         link        mrule       ntable      tcpmetrics
fou         macsec      neighbor    ntbl        token
help        maddress    neighbour   route       tunnel
ila         monitor     netconf     rule        tuntap

$ dpkg -L bash-completion
[..]
/usr/share/bash-completion/completions/interdiff
/usr/share/bash-completion/completions/invoke-rc.d
/usr/share/bash-completion/completions/ip
/usr/share/bash-completion/completions/ipcalc
/usr/share/bash-completion/completions/iperf
[..]

$ head /usr/share/bash-completion/completions/ip
# ip(8) completion                                         -*- shell-script -*-

_iproute2_etc()
{
    COMPREPLY+=($(compgen -W \
        "$(awk '!/#/ { print $2 }' /etc/iproute2/$1 2>/dev/null)" \
        -- "$cur"))
}

_ip()

[ Voor 15% gewijzigd door deHakkelaar op 16-07-2024 15:25 . Reden: nog duidelijker ]

$ docker
attach     diff       info       node       rm         stats      version
build      events     inspect    pause      rmi        stop       volume
builder    exec       kill       plugin     run        swarm      wait
commit     export     load       port       save       system
config     help       login      ps         search     tag
container  history    logout     pull       secret     top
context    image      logs       push       service    trust
cp         images     manifest   rename     stack      unpause
create     import     network    restart    start      update

$ sudo journalctl --
--after-cursor    --flush           --no-full         --sync
--all             --follow          --no-hostname     --system
--boot            --force           --no-pager        --unit
--case-sensitive  --full            --no-tail         --until
--catalog         --grep            --output          --update-catalog
--cursor          --header          --output-fields   --user
--cursor-file     --help            --pager-end       --user-unit
--directory       --identifier      --priority        --utc
--disk-usage      --interval        --quiet           --vacuum-files
--dmesg           --lines           --reverse         --vacuum-size
--dump-catalog    --list-boots      --root            --vacuum-time
--facility        --list-catalog    --rotate          --verify
--field           --local           --setup-keys      --verify-key
--fields          --machine         --show-cursor     --version
--file            --merge           --since

[ Voor 85% gewijzigd door deHakkelaar op 17-07-2024 22:39 . Reden: prutsen ]

deHakkelaar schreef op woensdag 17 juli 2024 @ 22:36:
@RobertMe , en heb je extra completion in die zsh shell van jouw?
Ben wel benieuwd

offtopic:
It was a joke ZSH heeft AFAIK completion ingebakken, hoef je geen extra packages voor te installeren. "It just works (TM)".

deHakkelaar schreef op woensdag 17 juli 2024 @ 22:59:
@RobertMe , wel m'n Syno NAS die op dit moment als Docker host functioneert helaas niet

$ printenv SHELL
/bin/sh

$ readlink -f /bin/sh
/usr/bin/bash

Dus ik zit elke keer in een Debian VM de docker syntax na te bootsen

RobertMe schreef op woensdag 17 juli 2024 @ 23:35:
[...]
Nokia N9
[..]
Durf dus te wedden dat je heden ten dagen op beide Docker gedraaid zou kunnen hebben.

Correct; in general, kernel 3.10 is the absolute minimum kernel version that supports the features that Docker requires to run stable (newer versions are preferred though).

However, some Linux distro's back-port features to older kernels so that they are still able to run Docker. Red Hat Enterprise Linux 6.5, for example, is able to run Docker on a kernel 2.6 (it's still a 12 year old kernel, though....)

RobertMe schreef op woensdag 17 juli 2024 @ 23:35:
[...]

Tsja, Syno. Daarom koop ik zo min mogelijk kant en klaar spul. Router heb ik nu iets meer dan een jaar volledig zelfbouw (lees: Debian geïnstalleerd, en vervolgens geconfigureerd als router) en draaien ook wat containers op. Server(tje) is ook gewoon Debian, met Docker. Oude server, nu (on demand) NAS is Proxmox maar vond ik niet je van het (daarom dat later gekochte / vervangende server geen Proxmox heeft). Mijn eerste smartphone was de Nokia N9 met Maemo MeeGo (MeeGo naam op wat effectief nog Maemo was), wat een Debian base had en gewoon via apt-get geupdate kon worden en op zijn minst terminal toegang gaf (volledig root weet ik niet zeker). Mijn tweede telefoon was een Jolla, dat IIRC weer een voortzetting was van de "echte" MeeGo. RPM based en ook daar terminal toegang incl mogelijkheid tot installeren RPMs. Durf dus te wedden dat je heden ten dagen op beide Docker gedraaid zou kunnen hebben. En de shell kon je vast ook wel aanpassen.

Moet ik dan het IP-adres van de VPN container op poort 8080 benaderen of zou de qBittorrent container wel een ip-adres uit de netwerkreeks moeten hebben?

Zou ik dit gelijk moeten trekken door een aparte, eigen bridge netwerk aan te maken met als subnet bijvoorbeeld 192.168.2.208/28?

Ghoulli schreef op woensdag 24 juli 2024 @ 10:36:
@alex3305 Bedankt voor de tip. Is er een specifieke reden voor behalve dat het veel gebruikt word? Ik lees namelijk online wel vrij veel goede dingen over Portainer maar in de Linuxserver discord hebben ze het ook een soort afgunst van Portainer. Ik ben totaal niet tegen het gebruiken van Docker Compose, vooral niet nu dat ik pas net begonnen ben met het gebruiken van Docker en liever de 'goede manier' aanleer dan afhankelijk te worden van Portainer.

De hoofdreden waarom ik Portainer gebruik is omdat het makkelijk en snel inzichtelijk is wat de status is van de containers. Ik heb namelijk graag een dashboard beschikbaar om snel een inzichtelijke weergave te hebben van de status van dingen. Nu zien beide Dockge en Dokemon er wel erg goed uit in dat aspect.

Ghoulli schreef op woensdag 24 juli 2024 @ 10:36:
@alex3305 Bedankt voor de tip. Is er een specifieke reden voor behalve dat het veel gebruikt word?

Ik lees namelijk online wel vrij veel goede dingen over Portainer maar in de Linuxserver discord hebben ze het ook een soort afgunst van Portainer. Ik ben totaal niet tegen het gebruiken van Docker Compose, vooral niet nu dat ik pas net begonnen ben met het gebruiken van Docker en liever de 'goede manier' aanleer dan afhankelijk te worden van Portainer.

De hoofdreden waarom ik Portainer gebruik is omdat het makkelijk en snel inzichtelijk is wat de status is van de containers. Ik heb namelijk graag een dashboard beschikbaar om snel een inzichtelijke weergave te hebben van de status van dingen. Nu zien beide Dockge en Dokemon er wel erg goed uit in dat aspect.

Met Compose kun je meerdere containers in één bestand componeren waardoor je ook koppelingen kunt plaatsen tussen containers. Daarbij kun je bijvoorbeeld ook netwerken en volumes definiëren zodat je een bestand hebt wat je eenvoudig kunt uitrollen op meerdere servers.

je poorten naar extern kunt open stellen en eventueel via NGINX Proxy Manager als (sub)domein kunt benaderen (zie ook een eerdere post in dit topic) en macvlan voor containers die ik een vast IP adres in het "normale" netwerk wil geven zoals pihole.

DjoeC schreef op woensdag 24 juli 2024 @ 12:25:
[...]
Ik ben toch wat bewuster geworden met auto-update (of ongezien updaten) sinds ik een MariaDB instantie had die in maintenance mode bleef hangen. Kun je met Dockge sturen welke containers wel/niet geautoupdate mogen worden?

lolgast schreef op woensdag 24 juli 2024 @ 15:05:
Daarbij is het in mijn ogen bij database containers verstandig om niet met het label ‘latest’ te werken maar met een versienummer. Dan update je nooit zomaar ineens naar een nieuwe major versie.

DjoeC schreef op woensdag 24 juli 2024 @ 15:38:
[...]
Ook dat heb ik dus geleerd In de huidige opzet gebruik ik vooral major en soms minor release nummers EN ik ben wat kritischer geworden bij updaten van belangrijke containers. Het hoeft niet altijd ook al kan het, toch eerst even releasenotes bekijken op breaking changes. Maar dingen als sabnzbd of spotweb, gaan die kapot dan: zij het zo.

Freee!! schreef op woensdag 24 juli 2024 @ 15:59:
[...]

Ik heb twee RPi's met Docker en allebei draaien ze twee Pi-Holes, één op "last" en één op een vastgezette versie. De "last" worden automatisch bijgewerkt en als dat goed gaat, werk ik de andere twee handmatig (via Portainer) bij naar dezelfde versie.

Freee!! schreef op woensdag 24 juli 2024 @ 15:59:
[...]

Ik heb twee RPi's met Docker en allebei draaien ze twee Pi-Holes, één op "last" en één op een vastgezette versie. De "last" worden automatisch bijgewerkt en als dat goed gaat, werk ik de andere twee handmatig (via Portainer) bij naar dezelfde versie.

Airw0lf schreef op woensdag 24 juli 2024 @ 22:41:
[...]
Mmm - zoiets kan je beter via de CLI doen.

Portainer heeft bij mij eens een container (d.w.z. swag) een beetje stuk gemaakt.
Wat rare af-en-toe problemen - kunnen herstellen via een CLI update actie.