Pull to refresh

Comments 492

Способы типичные. Ничего нового или необычного.

Проблема в миллионе гайдов и инструкций написанных за последние годы. Они все перестанут работать. И вторая проблема в миллионе серверов которые что-то постоянно поднимают в разных пайплайнах. Они тоже все перестанут работать.

Вроде это первый случай когда балканизируют довольно низкоуровневую техническую инфраструктуру. Стоит запомнить дату 30 мая 2024.

Если загуглить текст ошибки, первый же пункт выдачи показывает, что это делалось уже как минимум 2 года назад. Здесь же скорее всего банально накосячили с GeoIP.

Стоит запомнить дату 30 мая 2024.

Выходит, можно не запоминать.

Вообще всё банальнее. Там в списке стран Россия даже не написала :)

Раз так уже было раньше, значит просто добавили Россию в список блокировок, а текст не обновили

У меня со всех трех моих провайдеров не открывается, не похоже на косяк с GeoIP

С Мегафона мск открылся

А вот ответ от поддержки (буквально полчаса назад уточнял):


Hi there,

Thank you for contacting Docker Support.

At this time we are no longer doing business with Russian or Belarusian companies and have removed the ability to purchase subscriptions from these countries.
https://www.docker.com/blog/dockers-response-to-the-invasion-of-ukraine/

Since Docker is a US company, we must comply with US export control regulations. In an effort to comply with these, we now block all IP addresses that are located in Cuba, Russia, Iran, North Korea, Republic of Crimea, Sudan, and Syria.

Best regards,
Docker Support

Выходит запоминать всё таки можно

А вы у них спрашивали на основании какого закона в US они заблочили доступ из РФ ? Сдается мне что такого закона нет, и юристы dockerhub высосали из пальца эту историю и она незаконна в принципе. Microsoft например тоже US company как и многие другие и она почти ничего не блочит из РФ (даже корп пользователей перестала ограничивать в доступе к Office 365).

Частная компания, имеет право. Не в суд ж на них подавать..

имеет право

"we must comply with US export control regulations" это не "имеет право", а "обязана". Поэтому и возникает вопрос, что ж такое именно обязало их сделать то что они сделали и почему только сегодня.

Например, на них наехали, фигли до сих пор не..?

Если на них наехали, это всё ещё "обязана", а не "имеет право".

Есть мысль, что хотели нагадить госорганам и всем тем организациям в РФ что под санкциями и используют dockrhub.

Конечно странный финт, при условии что есть зеркала, есть прокси и все это из коробки на раз два настроить и все поедет дальше.

Но осадочек и прицидент есть...

Обычный overcompliance, что вы хотите от них узнать?

Сделали сегодня, потому что наконец перевесили риски. Понятно, что законы изменились не сегодня, сегодня поменялись трактановка и риск-анализ.

Export control regulations. У них же rules and regulations. Может, это что-то вроде распоряжения роспотребназдора или центробанка?

От чего же не подать? Это как раз будет в их менталитете )) Только договор сначала прочитать нужно и мешки с баблом приготовить, чтобы судиться в их юрисдикции))

Действительно, это менталитет такой делать так как закон обязывает, а не смотреть на всякие там нюансы и повестку.

закон? сейчас можно просто говорить "потому что мы можем"

Какой закон, Вы о чем? Публичный визг - "они работают на русских!" И показательный уход от них десятка крупнейших клиентов/спонсоров, которые не хотят замарать свою репутацию связью с агентами Кремля. Культура отмены работает не на законах, а на истерике.

Действительно, совершенно без причины визги и истерика.
Ничего же не случилось.

А разве что-то кроме визга случилось с десятками отмененных американцев? От ученых-астрофизиков до актеров Голливуда

 От ученых-астрофизиков до актеров Голливуда

многие потеряли работу/карьеру/деньги

Случилось кое-что очень важное, да. Но этого мало. Между событиями еще и должна быть какая-то причинно-следственная связь, которая как-то в будущем может сыграть нужным образом. Например (чисто гипотетитчески), вот такая связь имела бы смысл:
1. В некоторой стране в 2018 году на честных выборах избирается президент, который обещает начать войну. На каждом биллборде висит лозунг "Даешь войну!" и люди радостно идут на выборы, чтобы наконец-то начать войну, мобилизоваться и погибнуть.

2. Этот избранный президент через некоторое время исполняет обещанное и начинает войну
3. Это не нравится другим странам, они вводят бойкот, как бы сообщая этим избирателям - "не надо так, надо как-то иначе".
4. На следующих (несомненно честных и свободных) выборах народ (лишившийся лимонада, мебельного магазина и докера) голосует за совершенно другого президента, и тот все делает наоборот, не так как предыдущий, и все исправляет.

Логичная схема! Нежелательное поведение, корректирующее и побуждающее воздействие, желательное поведение, ведущее к желательному результату.

А вот схема по типу:
1. Глобальное потепление и это несомненно ужасно
2. Давайте забаним всех геологов, григориев, горцев и гомеопатов (потому как глобальное потепление ужасно, а между гомеопатами и глобальным потеплением чувствуется какая-то связь, что-то общее. Не причинно-следственная, но какая-то есть)
Эта схема чуть хромает, потому что нет последнего пункта, где забаненные гомеопаты что-то иначе бы сделали и глобальное потепление отступило бы. Ну нет у гомеопатов никакой кнопки "отменить потепление", хоть ты их кнутом, хоть ты их пряником.

Вы дельно пытаетесь построить логические связи. Но потом либо что-то в логике ломается, либо вы специально скатываетесь в манипуляцию.

Тут и смешение вины с ответственностью (хотя это разные вещи). И попытка представить блокировку докера/уход мебели как "наказание" для "григориев".

Но это ведь не так. Что докеру, что другим компаниям, глубоко плевать и на меня, и на вас. У них совершенно другие проблемы, задачи, мотивация... То, что "григорий" испытал сложности с докером/терраформом/лимонадом - это скорее побочный эффект, нежели цель.

Я вообще не про вину, не про ответственность, а про причины и следствия. Если горит дом - наверное, надо тушить, а разбираться, кто виноват и насколько - можно потом. Мы же видим, что дом горит, но вместо того чтобы тушить, туда продолжают плескать бензин (платить Пу) попутно обсуждая моральные вопросы.

Компании иногда просто подчиняются законам. Иногда over-compliance (лучше перебдеть, чем недобдеть). Иногда - бегут впереди паровоза (как наш магазин меда, куда Обаме вход воспрещен. Их не обязывали, а они запретили). Мастеркард ушел до всяких законов, namecheap тоже сразу же бурно отреагировали. Вот эта ошибочная идея, что "надо нажать на этих гомеопатов ради мира во всем мире" - она иногда сама по себе работает, без госпринуждения.

Но иногда дело в законах, да. И законы опять же принимаются потому что у избирателей есть убеждение, что "надо на гомеопатов надавить".

Я исхожу из убеждения, что "хочешь понять, как работает мир - смотри за деньгами". Деньги все определяют. Из денег можно сделать ракету, снаряды, солдат. Деньгами можно разогнать митинг, передавить сопротивление вражеской армии, и вообще решить любые проблемы, было бы достаточно денег.

В итоге одной рукой давят на григориев-гомеопатов (неприятно, но терпимо), другой оплачивают ракеты и дубинки. Какой смысл в первом, если любой желаемый эффект от этого с лихвой перекрывается вторым?

Какой смысл блокировать Тинькофф, где обслуживаются парикмахерские и СТО с копеечными доходами и при этом не блокировать Газпромбанк который формирует федеральный бюджет, как раз из которого и оплачивается "все это"? Может быть смысл в том, чтобы продолжать наслаждаться торговлей и тем самым финансировать воблу, оплачивать ракеты и слезоточивый газ, но делать это не слишком громко, но зато с шумом имитировать почти бесполезную деятельность по блокировке парикмахерских?

Возможно, если бы было четкое понимание, что из дешевого газа в Германии вырастают ракеты, которые прилетают в Украину, то наконец-то давить стали бы на более правильные кнопочки.

Вот эта ошибочная идея, что "надо нажать на этих гомеопатов ради мира во всем мире" - она иногда сама по себе работает, без госпринуждения.

Да, наерняка и такое бывает. Namecheap, практически наверняка бурно отреагировал по личным (вполне объяснимым) причинам. Впрочем, если быть честным, только отреагировал. Вот только что проверил свой там аккаунт - работает до сих пор. Хотя "письмо счастья" о скором его закрытии тогда получил.

В итоге одной рукой давят на григориев-гомеопатов (неприятно, но терпимо), другой оплачивают ракеты и дубинки. Какой смысл в первом, если любой желаемый эффект от этого с лихвой перекрывается вторым?

Повторю свою мысль - я считаю "неприятное, но терпимое давление на григориев-гомеопатов" не целью, а побочным эффектом. Ну так обо мне чужаки и не обязаны заботиться.

При этом я также не считаю зарубежных политиков и бизнесменов идеальными людьми, не делающими ошибок. Они и дичь могут творить, и мнение свое иметь, потом его менять. Как обычные люди. А еще и о собственных гражданах (избирателях) надо думать, чтобы не слишком им похреновело.

Ну и надеюсь, вы не считаете, что только "григории-гомеопаты" страдают, а санкции не работают и вообще только на пользу.

Да, я уверен что некоторый вред от них есть. Больше хлопот, мороки. Выше расходы. Несколько ниже прибыль.

Но мне вот это "несколько ниже" кажется странной и неправильной точкой отсчета. Должно быть 0, потому что любая величина выше ноля означает добровольное соучастие в преступлении. "Мы перевели 1 млн долларов на ракету, но скажите нам спасибо, что не 2 млн". Нет, вы (я гипотетическому западному лидеру сейчас это говорю) не должны были переводить ни миллиард, ни миллион, ни цента! Вы знаете КОМУ вы это передаете и вы знаете НА ЧТО он их потратит. И он бы не потратил эти деньги на эти плохие цели, если бы вы ему эти деньги не дали. "В том месяце я помог Чикатило убить 10 девочек, а в этом уже 9, ай какой я молодец!".

Вот можно прямо посчитать, сколько человек погибло, сколько денег потрачено, и получим какое-то число, условно каждая 1000 долларов дает одного убитого.

Выгодно покупать дешевый газ? Но это уже не просто газ, это как в песне "шла Саша по шоссе" - "там добывают смерть с углем напополам". Значит, сидите без газа, если не хотите убивать людей своими деньгами. Значит, на работу пешком ходите. На лошадях. Общественным транспортом. Но нельзя одновременно "пытаться остановить" и "финансировать". Никакой диктатор не в силах сам списать деньги с заграничных банков, их ему можно только добровольно передать. А можно и не передавать. (но выгоднее конечно передавать - вот и передают).

А про пользу санкций: Конечно, в идею "мы свои айфоны делать будем" никто не верит. Но есть другой аспект. Есть гражданская часть экономики и есть путинская. Когда их ошибочно уравнивают, и "бомбят" гражданскую, что мы получаем? Нет, не слабый эффект, и не нулевой, а отрицательный! Доходы в хорошей гражданской сфере сокращаются, рабочие места сокращаются. Пу становится "лучшим работодателем" (а то и единственным). Уничтожьте гражданских предприятий в России на 1 млн рабочих мест, что будет с людьми? Какая-то часть как-то выкрутится (может быть просто утопится-повешается). А какая-то.... куда пойдет работать? Правильно, или на оборонный завод или в военкомат. Он бы не пошли, если бы их не заставили. Но если нажимать на неправильные кнопки, не понимать различия между "Васей" и ВВП, то можно из Васи, который бы стоял с плакатиком с голубем мира сделать Васю, который идет в военкомат. Зачем способствовать такому развитию ситуации, которое заведомо нежелательное?

Я вижу как эту проблему можно легко решить и бескровно. Но у этого решения есть свои минусы, своя цена (в евро-долларах, не в крови). И кровь льется потому, что кому-то в стране светлооких эльфов хочется продолжать зарабатывать на этом бизнесе, а кому-то другому не хочется, чтобы выросла коммуналка и чтобы чашка кофе на 20 центов подорожала. Вот ради этих 20 центов кровь и льется.

Дело не только в этом. Просто запретить не военное сотрудничество они не могут, но если страна под санкциями, то любые технологические продукты подпадают под необходимость получать лицензии, и держать их обновленными при любых изменениях. Компании может быть просто не хочется ввязываться в этот бюрократический ад.

UFO just landed and posted this here

Культура Отмены работает только в одну сторону. Допустим, человека оклеветали, но он доказал, что невиновен. Однако пятно обвинения может его тянуть назад.

так пишите, как будто в нашем регионе нету культуры отмены. По мне так те же яйца, только с боку. Только там у общественных движений субъектности больше.

в РФ культура отмены работает под эгидой государства, а там - общества

это концептуально разные вещи

Разумеется. Например, общество может не согласиться с решением суда и устроить свой суд Линча.

Вроде как подходит первый попавшийся закон из гугла:
"Defending American Security from Kremlin Aggression Act", в котором есть "Sanctions on Russian individuals suspected of cyber attacks against the United States".

Сдаётся мне, что за столько лет хоть один закон об ограничении экспорта в "нежелательные страны" уже успели принять

Нет никакой гарантии что докер не используется в военных шарашках или на заводах по производству танков.

  • Effective March 21, 2024, Section 744.8 of the EAR was amended to require a license for all items subject to the EAR involving persons blocked (SDNs) under 14 OFAC sanctions programs, including some related to narcotics trafficking, organized crime, terrorism, and proliferation of weapons of mass destruction. This license requirement applies when there is not a corresponding license requirement under the applicable OFAC regulations. At this time, it appears that the EAR license requirement will only apply to the persons or entities listed on OFAC’s SDN List and will not apply to entities owned 50% or more by the SDN. The sanctions programs relating to Russia and Belarus covered by the new requirement are:

    • Belarus Sanctions Regulations, 31 CFR Part 548; Executive Order 13405 (BELARUS)

    • Executive Order 14038 (BELARUS–EO 14038)

    • Russian Harmful Foreign Activities Sanctions Regulations 31 CFR Part 587; Executive Order 14024 (RUSSIA-EO 14024)

    • Executive Order 13660 (UKRAINE–EO 13660)

    • Executive Order 13661 (UKRAINE–EO 13661)

    • Executive Order 13662 (UKRAINE–EO 13662)

    • Executive Order 13685 (UKRAINE–EO13685)



Кстати вполне возможно что и ядро линукса выпилят из РФ. Лицензия позволяет.

8. If the distribution and/or use of the Program is restricted in certain countries either by patents or by copyrighted interfaces, the original copyright holder who places the Program under this License may add an explicit geographical distribution limitation excluding those countries, so that distribution is permitted only in or among countries not thus excluded. In such case, this License incorporates the limitation as if written in the body of this License.

Ага, в геранях в прошивке кубер, за навигацию отвечает positioning_service представляющий из себя здоровый контейнер из убунты с нодой поверх него, который общается с trajectory_planner_service (с помощью rest api, разумеется), перед стартом снаряда конечно же пулятся последние образы с докерхаба, потому что деплои должны быть чаще!

Ладно, шутка, на самом деле рассчёт на то что разъярённые девопсы выйдут на площадь и скинут власть, потому что без докера, колы и бигмака цивилизованной жизни представить себе невозможно!

рассчёт на то что разъярённые девопсы выйдут на площадь и скинут власть

Расчёт замедлить развитие в одной стране за счет ограничения технологий.

Но ничего страшного, мы создадим свой докер с нуля так же как создали АтсраЛинукс, электронный планшет и ёмобиль!

И настоящие патриоты карму мне уже сливают конечно же.

Расчёт замедлить развитие в одной стране за счет ограничения технологий.

Рассчет уровня "убьем этого дрища заставив его пойти в качалку".

Сказывается, конечно, традиционная для западной цивилизации ошибка состоящая в отрицании возможности самостоятельного развития где-либо ещё, проявляющаяся ввиду закостенелого расизма и крайней степени гордыни этой самой цивилизации.

С такими врагами и союзников не нужно.

 отрицании возможности самостоятельного развития

Ну и как тут, наверное настолько развились, что и электронику хотя бы на уровне Пентиумов научились массово выпускать, и автопром - это не китайцы с переклеенными шильдиками, а что-то свое (хотя бы уровня Соляриса)?))

Странная логика - вспоминать только о плохом, но (намеренно?) забывать упомянуть что-то хорошее.

Мне вот интересно - вы правда искренне считаете что ваш черрипикинг так незаметен?

Да, у нас нет своей потребительской микроэлектроники и автопрома при условии глобального разделения труда и российского рынка в 140 миллионов человек. Но наши западные патрнёры активно над этим работают, вон за 3 года появились двигатели и авионика на чуть менее чем полностью импортном суперджете, появились турбины, и много-много разного. У нас даже Росатом есть, но я почему-то не спрашиваю "че там у американцев, есть хотя бы БН-600?))))000".

Но патриоты России в американском конгрессе работают не покладая рук ради того чтобы не дать патриотам США и Англии в правительстве РФ даже призрачного шанса на то чтобы не развивать отечественную промышленность и просто продолжать продавать ресурсы занедорого. Уверен, они хотят вывести Россию как минимум на уровень Китая который они так же заставили инвестировать в микроэлектронику, просто не оставив иного выбора.

Святые люди в конгрессе сидят, лучшие сыны России. Уверен, у каждого второго в кабинете портрет Лаврентия Палыча висит, а может и Иосифа Виссарионыча.

При этом еще объявив торговую войну Китаю и РФ, подтолкнув промышленного гиганта и гиганта в области ресурсов друг к другу.

 У нас даже Росатом есть, но я почему-то не спрашиваю "че там у американцев, есть хотя бы БН-600?))))000"

А "у американцев" кичатся " у нас все свое, мы ни от кого не зависим, а будем зависеть еще меньше"?

Ну так в сторону американцев никто и не орёт "отсталая бензоколонка! 2 процента! ничего своего! экономика в клочья, бровью поведём - развалитесь!", не так ли?

А "у американцев" кичатся " у нас все свое, мы ни от кого не зависим, а будем зависеть еще меньше"?

Да.

А можете кратко по русски сформулирлвать?

У меня английский не fluent, может чего не догоняю. Инвестируют в строительство заводов, да. Но чем там "кичатся", к примеру, по вашей ссылке?

У нас даже Росатом есть

Мне в свое время довелось увидеть внутреннюю кухню РосКосмоса. Конечно, это не РосАтом, но что-то подсказывает, что это одного поля ягоды
Как способ почесать национальное ЧСВ оно годится. Как что-то эффективное - нет. Чем именно занимался - рассказать не могу, но такого уровня альтернативно-одаренного персонала я не видел нигде более, благо мое знакомство с данной кампанией ограничилось парой месяцев

UFO just landed and posted this here

Для сдерживания конкурентов пользуются привычными для себя инструментами - покупка элиты, санкции, война.

По другому они уже давно не могут ни с кем конкурировать.

Рассчет уровня "убьем этого дрища заставив его пойти в качалку".

Один мой родственник (весьма образованный и неглупый, но верящий в теорзаг собственного изобретения) считает, что так и есть: они к России добры и специально дрючат её, чтобы та развивалась, а не продолжала сосать трубу и покупать всё технически сложное из-за рубежа. Ну а СВО - лишь сопутствующий фактор, и без которого нашли бы повод/способ.

Если прямо нырнуть в теории заговоров, то можно и развить эту мысль - есть огромная страна с самым большим арсеналом ядерного оружия и наличием средств его доставки, которая может обратить мир в труху нажатием двух кнопок. Следовательно, лучше было бы для всех, чтобы такая страна была развитой и цивилизованной, которой для обеспечения своих нужд не нужно отжимать территории, и которая не будет трясти дубиной на тех, с кем торгует и зарабатывает деньги.
Фух, пойду надену шапочку из фольги.

Украину за три дня захватывали уже. Теперь мир в труху нажатием двух кнопок. Дальше уже галактика будет опасносте?

Я не сомневаюсь в "мир в труху". Да, из 100 ракет 50 не взлетят. из 50 взлетевших 25 взорвутся еще над Сибирью. Из 25 оставшихся 15 не долетят до цели, заблудятся. Из 10 долетевших - 8 собьют. Но и этих 2 из 100 достаточно, чтобы мир стал очень некомфортным.

Дело тут в другом... есть одна жопа, в которую нужно вставлять свечи от геморроя. Импортные. А если весь мир в труху - то где эти свечи покупать-то?

из приколы с репозиториями линукса привели к локальным зеркалам, от «Базальта» например, так что ждем локальное зеркало докера :) 

UFO just landed and posted this here

Догнать и перегнать, уже плавали, знаем.

Ну сначала стоит сказать, что запрет, который можно легко обойти - не только не тормозит, но и ускоряет развитие и повышает компьютерную грамотность.
А потом еще стоит сказать, что развитие каких именно областей планируется затормозить? Пользовательских сервисов? Чтобы сложнее стало жить обычным людям. Я напомню, что дети бенефициаров конфликта прекрасно живут в странах НАТО, счета все так же работают, и даже изъятые под санкциями яхты российских олигархов мистически покидают причалы. С ними все окей, это же просто спонсоры войны, а вот я, русский Ванька, докером пользоваться не могу, лицом не вышел.
А оборонка все равно все себе достанет, их деньги не интересуют. И тепловизоры французские, и микросхемы американские и что угодно в принципе.

Да никому нет дела до русского Ваньки. Никто ему ни добра ни зла не желает, всем пофиг.

Просто есть глобальный рынок ресурсов, где цена определяется как по учебнику - балансом спроса и предложения. А богатые ресурсы РФ (очень существенная часть от мировых!) продаются (как ни странно) одной компанией людей, из одного дачного общества. Допустим, что есть способ надежно блокировать это, чтобы они ни копейки не получили. За относительно короткое время это бескровно бы решило много проблем.

Но.... на рынке сократилось бы предложение. Значит - выросли бы цены. Значит - недовольные избиратели. Поэтому, чтоб не допустить такого - надо чтобы Доктор Зло успешно поставлял на рынок свои товары и получал за это достойные деньги (ну без денег - он просто не станет ведь поставлять). И надо продавать ему и слезоточивый газ и дубинки и прицелы для танков (а зачем еще ему деньги? солить что ли? Ему не деньги нужны ведь, а газ для разгона демонстраций, а деньги - промежуточное звено).

А как же быть, когда с одной стороны, надо взаимовыгодно сотрудничать с Доктором Зло, а с другой - как-то реагировать на его выходки? А давайте "назначим" кого-то другого виноватыми, и будем их бить и лишать кока-колы, пока Доктор Зло не перестанет творить свои гадости? Остановит ли это Доктора Зло? Нет, у него по прежнему приходит достаточно ресурсов на все свои планы. Зато - имитация бурной деятельности и кофе в кофейне не подорожало на 20 центов!

Расчёт замедлить развитие в одной стране за счет ограничения технологий.

Ото ограничили конечно, целую строчку в конфиге прописать надо.

Но ничего страшного, мы создадим свой докер с нуля так же как создали АтсраЛинукс, электронный планшет и ёмобиль!

Мы поднимем зеркала и прокси, это дёшево и бороться с этим нереально. И продолжим пользоваться докером дальше.

Абсолютно все уходы компаний из России оказались безвыигрышной лотереей вида "Потеряй репутацию, промахай активы и получи взамен сокращение прибыли!". СВО не остановилось, экономика не рухнула, власть не поменялась, и те кто ушли с недоумением смотрят как растёт выручка у оставшихся, и им за это ничего нет

¯ \ _ (ツ) _ / ¯

UFO just landed and posted this here

Мы поднимем зеркала и прокси, это дёшево и бороться с этим нереально. И продолжим пользоваться докером дальше.

Тут наши подсобят. Один депутат уже предлагает блокировать не только сайты зарубежных хостеров, но и все ресурсы, которые хостятся у этих хостеров.

Понимаете, в чем дело. Многие-то (как тот же Декатлон) поуходили вообще не из-за какой-то политической шляпы, а: 1) давление собственных регуляторов, 2) (что важнее) проблемы с денежными операциями из-за санкций банков. А на политику всему этому бизнесу с высокой колокольни.

Меня особенно веселит такая схема ухода:
1. Западная компания, которая раньше извлекала прибыль и выводила ее на Запад (независимая от П) уходит с рынка
2. Рыночная ниша остается свободной
3. Эту нишу занимает одна или несколько местных компаний (гораздо более зависимых от П)

Где-то тут есть некий "профит", но я его никак не могу разглядеть. Как это ослабляет П?

как растёт выручка у оставшихся, и им за это ничего нет

всмысле ничего нет? оставшиеся не могут выводить прибыль в материнскую компанию, никто не отменял ограничений со стороны РФ

так же как создали АтсраЛинукс, электронный планшет и ёмобиль!

Чувствую я, здесь сарказмом отдаёт. Ты считаешь, что ничего из этого не стоило создавать? Я в курсе, что планшет и ёмобиль это какой-то скам, но, как мне кажется, ты не только их имел ввиду?

С искренним любопытством - а можете навскидку дать небольшой список реально эффективного импортозамещения? А то всё что я слышу - очередной распил и прочее. Было бы интересно почитать про реально сделанные хорошие вещи

Я не берусь утверждать, что всё то, что изготовлено в России - это стыд и позор. Вполне имееют место такие явления, как ёмобиль, нескучные обои, российская электроника, которая на деле китайская, сыплющийся автопром и другое. Я лишь утверждаю, что причина этих явлений - не то, что они родом из России, а гораздо комплекснее и не всегда лежит на поверхности. Взять, например, тот же автопром. Для того чтобы хаять его, много ума не нужно. Но для того чтобы в полной мере понять и осознать причины сложившейся ситуации с личным автотранспортом, придётся копнуть чуть ли не на 150 лет назад и проследить историю развития автостроения с царских времён. Но это придётся продумать.

А если действительно хочется посмотреть на импортозамещение, то, думаю, можно поскроллить этот сайт: https://sdelanounas.ru/.

Но для того чтобы в полной мере понять и осознать причины сложившейся ситуации с личным автотранспортом

Не согласен, можно всегда посмотреть что в другой стране с худшими условиями добились лучших результатов. И уже "но у них вот такие-то исторические предпосылки" не работает, иначе придется признать что россия как-то отличается от остальных стран в странную сторону... невезения!?. Такого не бывает.

Больше похоже на то, что оправдания, почему какие-то товары или услуги у нас отстой всегда можно найти, вопрос в том, что почему-то другим странам эти оправдания не мешают, а у нас вот 150 лет назад что-то произошло и всё.

Господи, ну какие оправдания? Есть история. У нас, у других, вообще у всех. Смотришь историю и понимаешь, почему у нас так, а у них - может быть не так. Почему Китай сейчас производит чипы, а мы - нет. Почему у Швеции нет ядерного оружия, а у нас - есть. Почему у США нет атомных ледоколов, а у нас - есть. Почему Тайвань производит чипы в промышленных масштабах, а мы - нет. Смысл, думаю, понятен. Всё это объяснимо историческим путём, который прошла та или иная страна. Оправдания - это уровень отдельно взятого человека, а люди везде одинаковые, Россия ничем в этом плане не отличается от остальных стран. Все везде одинаково ищут оправдания своим неудачам, но тем, кто живёт в России кажется, что это только тут так. Однако это им лишь так кажется, потому что они находятся именно здесь и именно сейчас.

Смотришь историю и понимаешь, почему у нас так, а у них - может быть не так. Почему Китай сейчас производит чипы, а мы - нет. Почему у Швеции нет ядерного оружия, а у нас - есть. Почему у США нет атомных ледоколов, а у нас - есть. Почему Тайвань производит чипы в промышленных масштабах, а мы - нет.

Если вам понятно, может и нам объясните?

Прости, но я не нанимался для этого. Если интересна именно тема патопрома, то как вариант могу посоветовать это видео - https://youtu.be/7CIueLcE1xM?si=sKBICzkatuZw5ono.

Однажды я решил его поскролить. Нашел суперросийского производителя велосипедов. Беглое гугление показало, что существует такая же контора, которая возит велики из поднебесной. Закрыл сайт.

На основании одной новости был сделан вывод обо всех остальных новостях на сайте? Что ж, это очень по-взрослому.

Разве в Питере рамы не варят те же Старк? Шутер/пушер были легендарными моделями

Ну хотя бы НСПК (национальная система платёжных карт - оператор платёжной системы "Мир"), созданная в 2014-ом после первых угроз отключения российских банков от инфраструктуры Visa/Mastercard

Технически и организационно было построено всё настолько безупречно, что реально отключение 8 лет спустя никто не заметил.

Мдэ.. помню эти толпы у турникетов в метро в день Ч, из тех кто не мог купить билетки т.к. от нала уже отвык. Глобального трындеца конечно не случилось, но вот чтобы "безупречно... никто не заметил", камон!

Це была вина исключительно ребят из метрополитена, платежи проходили нормально.

всё настолько безупречно, что реально отключение 8 лет спустя никто не заметил.

Это мягко говоря неправда, карты глобально глючили как минимум месяц и у некоторых интернетмагазинов эквайринги отсохли

p.s. но для системы таких масштабов это вполне себе хороший результат

p.p.s. минусанули коммент, вы это пишите как пользователь, а мне довелось работать в 14 году в конторе которая имела прямейшее отношение к нспк и я немного знаю как оно работало изнутри, ребята сделали огромную работу я до сих пор печалюсь что мне пришлось уйти оттуда...в сам нспк меня не взяли из-за соглашения о непереманивании сотрудников ;(

Не совсем.

Воплы в комментариях на 4pda как в этом MirPay зарегистрироваться (и во сколько лучше это делать) то я помню - такое впечатление было что там все ложилось от перегрузки.

Ситуацию когда в одном не самом мелком банке начали к одному из основных продуктов в достаточно пожарном режиме допиливать возможность выпуск не только VISA/MC но и МИР - тоже. И сделали - официально насколько помню - к маю 2022 а реально оно в апреле работало уже. А уже сильно потом всякие редкие случаи вроде перевыпуска очень старых карт на старой системе.

Но - да, проблем было сравнительно мало.

А про бельгийскую компанию OpenWay вы что-нибудь слышали?

Это те ребята которые делают Way4 и вообще из Питера (были в начале пути)?

p.s. справедливости ради OW не единственное решение на рынке, и насколько я помню базовый процессинг был не на их продукте. во всяком случае 14 году

Это те ребята которые делают Way4 и вообще из Питера (были в начале пути)?

Да, но в вопросах импортозамещения, я думаю, ориентируются на фактическую юрисдикцию, а не историческое происхождение.

Изначально писали, что они весь софт будут делать, потом что будут через российскую дочку и частично свой софт, а как фактически было я свечку не держал

боюсь что подробнее я не могу сказать, некоторые вещи я не знаю прям точно поскольку в саму нспк я не попал и хоть nda уже не действует я лучше воздержусь, но что очень большая часть там реально самописная это точно

"Ты считаешь, что ничего из этого не стоило создавать?"

Я считаю имея такую репутацию надо меньше пиздеть и больше делать.

А то на каждый распил-проект набегают чубайсята и хвалят очередное вставание с колен, вот-вот заживём, надо еще немного потерпеть.

Надоело уже, не?

По существу, я так понимаю, ответить нечего.

Надоело уже, не?

Так как я не ною по каждому поводу - мне не надоело, да.

А какая разница, что он там считает. Да даже если он считает, что не стоило, то кому и как это мешает создавать, то что хочется?!

Я не сильно в теме, что там и как, но нюанс в том, что Астра не единственный кандидат в нац ОС, были ещё разработки, которые та же Астра успешно задавила как раз в рамках культуры борьбы за "авторские права", "переиспользование нашего кода" и так далее. Причём не то, что вот мы тут у вас что-то нашли и по этому подозреваем, а буквально мы вас подозреваем, по тому, что ваш продукт наш конкурент, давайте показывайте весь код. Тот ещё жабогадюжник.

как будто до этого кто-то мешал создавать, что хочешь.

"Астра Линукс с нуля" вот тут можно подробнее? Ядро, куча опенсорса, opennebula в обличие Бреста, ну ГОСТовые алгоритмы прикрутили, может что ещё - это называется с нуля? И почему наше "с нуля" называется linux, а не runix к примеру, хотя nix тут явно тоже лишнее. ИМХО банальная переделка шильдика, алгоритмов шифрования, с добавлением сертификатов наших. Я не хочу ругать Астру, но выглядит это все .... Я за то чтобы если делать "наше с нуля", то и начинать с ядра своего, продолжая идти тем же путем со всей остальной обвязкой, вот это гордость, а взять пендосовское ядро и сказать что наш продукт - это лицемерие ИМХО.

Там же про патенты и авторское право на интерфейсы

Интересно, как выпилят? Закладки в Бубунту будут делать? Так ведь образов много (Mint, Debian, Arch Linux, Gentoo).

Как бывший работник военного завода, гарантирую, что используется.

Только по ссылке пост от 22 года. А отключили только сейчас.

А вот и оправдания подъехали.
А вот и оправдания подъехали.

Вроде это первый случай когда балканизируют довольно низкоуровневую техническую инфраструктуру

Terraform раньше был, и Cisco, и ClamAV да и вообще много что уже не скачивается без VPN/Proxy с официального сайта.

Инфраструктура по моему это когда сервера или любые другие массовые железки сами куда-то ходят и что-то там берут. Без участия человека вообще. Без этих походов они работать отказываются вообще. Условно без обновлений работать можно и сроки на починку меряются неделями. А вот сломанные CI/CD чинить надо срочно.

Я знаком не со всеми технологиями которые вы перечислили. Там что-то так работает?

Ну как минимум Terraform активно используется в том же самом ci/cd, так что в любом случае происходящее не то чтобы новость

Инфраструктура по моему это когда сервера или любые другие массовые железки сами куда-то ходят и что-то там берут. Без участия человека вообще.

Вообще это автоматизация. Может быть составной частью инфраструктуры, да, но точно не является обязательным(и тем более единственным) признаком.

Terraform 

давно есть более вменяемая замена ToFu, и не только потому что работает в мире, там много причин форка. Плюс можно посмотреть на Pulumi, не тформом одним. Туда же и все остальные "продукты" хашикорпа.

Cisco

Рынок, в том числе энтерпрайз, это далеко не только циска. Просто у них лучше всего были настроены процессы отката, я в гос поработал и знаю. Начать с того же huawei, которые сначала были 100% клонами цисок вплоть до того, что были почти официальные таблицы что во что перешивается. Сейчас конечно ситуация лучше/хуже, свежие модели прямо аппаратно уже обычно не совместимы, но и сам хуавей имеет ряд плюшек типа display this, не знаю добавила ли циска такое, на момент моей сертификации хуавеем она не умела так.

Настройка прокси-кеша - must-have в пайпайнах уже давно (вспоминаем введённые лимиты на pull с hub.docker.io): https://docs.docker.com/docker-hub/mirror/

Комбинируем с настройкой search-name по умолчанию (для образов с коротким именем): https://www.redhat.com/en/blog/be-careful-when-pulling-images-short-name - получаем вполне прозрачный workaround =)

Кажется прямо сейчас все дежурные всеяруси выкручивают TTL кеша в бесконечность.

Ну я для дома могу скачать непосредственно с ДокерХаба. Но в компании о supply chain attack вообще не думают, что-ли? Может еще и latest настроено вместо конкретнй версии? :)

Вон в 2019 было: Docker Hub Hacked – Hackers Gained Access to 190,000 Users Accounts. И внезапно "хороший" образ стал содержать малварь.

Ну или посвежее Analysis on Docker Hub malicious images: Attacks through public container images

Какой supply chain attack, если у меня в конфигах прописано "название образа:версия:sha256-хеш"? Неужто смогут сгенерировать другой образ с тем же самым хешем?

Удивлен, что это минусуют. Вы же ведь в курсе, что можно за'push'ить под одним и тем же номером версии разные сборки? Что без указания хеша у вас не будет reproducible build'ов, даже если вы укажете в конфигурации конкретный номер версии?

Большая редкость, чтобы при столь серьезном подходе (с хешами) образы скачивали с докерхаба и пушили собранные в него же вместо того, чтобы использовать приватный репозиторий.

Гораздо чаще, мне кажется, кто все завязывает на докерхаб, тот и с хешами не заморачивается.

Хотя это не повод минусовать, конечно.

Прекрасно жили без вашего докера полвека, ещё столько будем жить и развиваться, а дату 30 мая 2024, я запомню только потому, что холодно как в конце февраля.

Странный подход. Ну например без электричества человечество чуть ли не всю свою историю жило, не значит же, что жили хорошо.

может у автора выше до сих пор нет света...

и это умный голубь его весточку на Хабре запостил

Биотехнологии, однако

лучше 24 февраля 2022 запомнить

Вы так пишете, как будто разрешено запоминать только одну дату.

Они тоже все перестанут работать.

добавьте использование http/https/socks5 прокси и будет вам счастье. Речь идёт всё таки не о простом пользователе, а о системных администраторах и разработчиках, которые уж точно знают как прописать прокси сервер в настройках.

Проблема в миллионе гайдов и инструкций написанных за последние годы. Они все перестанут работать.

Потому что надо будет в конфиге прописать { "registry-mirrors" : [ "https:\/\/huecker.io" ] }? Ну у кого перестанет, тех и не жалко.

И вторая проблема в миллионе серверов которые что-то постоянно поднимают в разных пайплайнах. Они тоже все перестанут работать.

Штош, людям обслуживающим этот миллион серверов придётся научиться использовать голову, и не завязывать работу своей инфры на неконтролируемый внешний сервис настолько, что при потере связи с ним у них всё перестаёт работать.

Он уже умер) Собственно и доверия к нему изначально не было.

В Docker Desktop зеркала можно добавить в настройках:

"registry-mirrors": [
    "https://mirror.gcr.io",
    "https://daocloud.io",
    "https://c.163.com/",
    "https://huecker.io/",
    "https://registry.docker-cn.com"
  ]

Второй снизу хуекер.ио - выглядит надёжно)

Зеркала, но без пуша

https://gallery.ecr.aws/

https://mirror.gcr.io

https://cloud.google.com/artifact-registry/docs/pull-cached-dockerhub-images

не подскажет кто-нить, есть ли зеркала с пушем?

Из того что у меня работает:

"registry-mirrors": ["https://daocloud.io", "https://c.163.com/", "https://registry.docker-cn.com"]

Из всех, только первый работает. Сначала делал по первому сообщению, там на всех зеркалах нет ответа, хотя сами ресурсы доступны. Первый из этого комментария сразу заработал.

Подскажите пожалуйста, где именно зеркала прописывать нужно?

тем, у кого Docker Desktop, можно через приложение. в настройках вкладка Docker Engine

К сожалению это не работает. в Syno есть даже эти настрйоки через DSM, но ничего не помогает.

Нет не работает. Во вкладке реестр так же выходит ошибка. Проверено. Единственный выход на данный момент использовать прокси заграницей

Вкладка «реестр» в сино — какая-то проприетарная гуёвая хрень. Из CLI всё работает, если сама прокся рабочая.

Не что сразу обвинять. Признайте что не пашет ваша рекомендация. На bafista уже вышла статья и ролик, в котором рассказано как решается.

Вы эту статью хоть читали? Опять же прописывание зеркал через гуй. 1) Все зеркала заблокированы уже; 2) Даже когда они работали, в «реестре» нормально список не загружался.
Проверка простая — заблокировать у себя на роутере или на самом сино docker.com и docker.io и проверять все эти советы.

А если вы про AdGuard и махинации с dns, то за такие советы надо подсвечниками бить.

И где вы там реклам увидели? Я читал, я даже больше вам скажу, я ее автор.

Ну разумеется же, ребята из comss тупо подменяют в своём dns-сервере адреса registry.hub.docker.com и hub.docker.com, указывая на свой собственный сервер 206.253.89.226 вместо оригинала. Так что весь этот кошмар из насквозь рекламной статейки можно просто заменить на

206.253.89.226  registry.hub.docker.com
206.253.89.226  hub.docker.com

добавленное в /etc/hosts. Степень доверия к этом источнику — ну, такое.

так там можно зеркало прям в контейнер менеджере указать

На huecker.io есть какая-то инструкция про это

глупый вопрос, но это куда-то вводить надо?...

sudo sh -c 'echo "{"registry-mirrors": ["https://mirror.gcr.io", "https://daocloud.io", "https://c.163.com/", "https://huecker.io/", "https://registry.docker-cn.com"]}" > /etc/docker/daemon.json'

Затрёт же содержимое файла если там уже сконфигурировано что-то, например nvidia-container-runtime

Ну, как бы, тогда вам всего и надо, что заменить > на >>

Ну и каким образом >> поможет?

Тут надо или вручную редактировать, или какой-нибудь jq использовать.

Можно в powershell:

(cat path-to-config.json) | 
    ConvertFrom-Json -AsHashtable -Depth 100 | 
    %{ $_["registry-mirrors"] = "mirror1", "mirror2"; $_ } | 
    ConvertTo-Json -Depth 100 | 
    Out-File path-to-config.json

лучше с двумя >>, чтоб не перезаписать если что-то до этого было в файле daemon.json

Из разных вариаций конфигов, ваш именно помог. На гитлабе снова пайпы билдятся, пробовал другие вариации и ни одна не срабатывала.

В deamon.json. После этого необходимо перезапустить службу docker

Да хватит уже советовать перезапуск! Команда reload прекрасно работает.

Тут был совет перезагрузить компьютер. Жду совета сменить ОС на "нормальную".

после добавления этих настроек, докер не может перезапуститься. Что-то еще надо настраивать?

скорее всего, забыли скобочки {}, это ж json а не ямл... Но читаем журнал, там будет причина. Может кавычки например не те, бывает такое после некоторых убогих парсеров с автозаменой кавычек на верхние-нижние...

journalctl -xeu docker.service

При некоторых настройках эта команда выведет вперемешку логи самого докера и всех контейнеров, искать там что-то - так себе затея.

Правильный вариант - journalctl -u docker.service SYSLOG_IDENTIFIER=dockerd

Проверьте синтаксис. Должен быть валидный json. Например:

{ "registry-mirrors" : ["https://mirror.gcr.io", "https://daocloud.io", "https://c.163.com/", "https://huecker.io/", "https://registry.docker-cn.com"] }

Попробуйте вот этот наборСкорее всего проблема с набором зеркал

если запустите sudo dockerd --debug то сможете точнее увидеть причину

Надо заэкранировать слеши

Вместо "https://mirror.gcr.io" изменить на "https:/\/\mirror.gcr.io"

Зачем? В чём смысл экранировать слеши в JSON?

Есть ли способы гарантировать (желательно - в автоматическом режиме), что по пути в docker-образы, скачанные с зеркал, не добавилась какая-то вредоносная штука? Читай - что образы действительно соответствуют оным с докерхаба

Нету такого способа и не может быть, потому что чтобы проверить образ - надо получить его метаданные (манифест, подпись или что-то ещё) с docker hub, а тот не отдаст.

В таком случае - выглядит как огромная плоскость атаки для владельцев таких серверов

У меня почему-то не взлетело с https://mirror.gcr.io/ - все равно выдает ошибку 403 и текст что докер не работает с Кубой, Кореей и т.д. Демон перезапустила, естественно. Пришлось в экстренном порядке арендовать сервер за рубежом и поднимать свое зеркало - с ним все заработало.

Я проверил через `docker pull amd64/ubuntu:latest`, работает. Надеюсь watchtower не сломается, хз как он проверяет обновления.

А в логах докера что было?

sudo journalctl -u docker.service SYSLOG_IDENTIFIER=dockerd --since="1d ago"
May 30 10:07:31 gitlab-worker dockerd[1487]: time="2024-05-30T10:07:31.371275961+03:00" level=info msg="Attempting next endpoint for pull after error: Head \"https://mirror.gcr.io/v2/library/nginx/manifests/latest\": unauthorized: authentication failed" spanID=ce336050bf0fa94a traceID=c685b64b2eabf3584ae93b4135af37dc
May 30 10:07:32 gitlab-worker dockerd[1487]: time="2024-05-30T10:07:32.556114416+03:00" level=error msg="Not continuing with pull after error: denied: <html><body><h1>403 Forbidden</h1>\nSince Docker is a US company, we must comply with US export control regulations. In an effort to comply with these, we now block all IP addresses that are located in Cuba, Iran, North Korea, Republic of Crimea, Sudan, and Syria. If you are not in one of these cities, countries, or regions and are blocked, please reach out to https://hub.docker.com/support/contact/\n</body></html>\n" spanID=ce336050bf0fa94a traceID=c685b64b2eabf3584ae93b4135af37dc

Лишние кавычки?

# cat /etc/docker/daemon.json
{ "registry-mirrors" : [ "https://mirror.gcr.io" ] }

docker перезапустить надо - без перезапуска не подхватывает значение.

Перезапуск не нужен, достаточно reload

Перезапустила. Кто не верит и минусует - посмотрите фрагмент из лога сообщением выше.

У вас до этого докер был залогинен в docker.io, нужно сделать docker logout или вычистить строки авторизации из ~/.docker/config.json

Вот об этом все авторы инструкций почему-то скромно умалчивают

а если контейнер запривачен и требутеся аутентификация?

Для rootless-mode нужно добавить зеркала ещё и в `~/.config/docker/daemon.json`

У меня с ним не заработало, все та же 403 и плашка про Кубу и прочее огораживание.

Проверьте форматирование файла настроек, у JSON строгий формат и любой лишний знак не на своём месте мешает читать файл настроек, после чего демон докера берёт значения по умолчанию

С json все в порядке, возможно это особенность докерДесктопа. Из консоли при явном указании зеркала все работает:

docker pull mirror.gcr.io/library/alpine:latest

Так ведет он все в то же место C:\Users\user\.docker\daemon.json

Меняем тут - меняется там, и наоборот. И не работает. Логаут из докера сделан, в config.json секция auths пуста.

Если происходит какая-то ерунда, то есть универсальный рецепт: выключить и включить.
Проще говоря - перезагружать комп пробовали?

Та же фигня была только что. Изменял конфиг что руками, что через GUI - всё равно не пуллил образы. Решил кардинально - переустановил DockerDesktop, добавил строку в daemon.json - и образы начали подсасываться.

"registry-mirrors" : [ "https://mirror.gcr.io" ]

Попробуйте docker logout сделать. Без этого у меня зекрала игнорировались

А разве манифест не выкачивается тем же образом с зеркала? Правда, нет гарантии, что его на зеркале не подменили.

Вот именно в этом и проблема - нет гарантии, что его на зеркале не подменили.

Тогда такой вариант: поднять VPN, но через него тянуть напрямую с docker.io только манифесты. При расхождении полученного ОРАТЬ В ИНТЕРНЕТЕ о том, что такой-то прокси подменяет образа. Такой подход вроде бы позволит обнаружить подмену, а заодно поэкономит трафик ВПНа.

Для репозиториев Linux это не является проблемой, потому что основные сертификаты для проверки идут с инсталлятором. Так что не "не может быть" а "никто не сделал".

Ну так в том-то и дело, что в репозиториях Linux есть иерархия подписей и сертификатов, а в докерхабе такой нет. Потому для линукса это возможно, а для докерхаба - нет.

"registry-mirrors" : ["https://huecker.io", "https://yandex.cr/mirror/", "https://mirror.gcr.io", "https://ghcr.io", "https://public.ecr.aws", "https://daocloud.io", "https://registry.docker-cn.com", "https://c.163.com", "https://eu-central-1.mirror.aliyuncs.com", "https://docker.mirrors.ustc.edu.cn"]

Весь трэш, найденный в сети. Не рекомендую для постоянного использования.

mcr.microsoft.com - это же отдельный реестр образов, а не зеркало докерхаба? И насчёт gcr.io у меня есть те же сомнения...

В 2022-м открылось окно возможностей для стартапа во всех направлениях, в т.ч. и в области контейнеризации. И амбиции свои реализовали бы, и от явной бомбы замедленного действия избавились бы. Неужели за 2 года никто альтернативу не запустил?

Ага, Gost-registry поднять, с астрой и яндекс браузером под капотом

И пуллинг образов через авторизацию на госуслугах

Вроде недавно пробегала тут статья о какой-то "Коробке".

Это не информация, а троллинг какой-то был

Так проблема что куче софта который знать не знает про этот стартап - надо объяснять про него, а если там еще и API/CLI хоть чуточку другой то это еще сложнее - инструкции перестанут работать и для тех не захочет разбираться проще забить.

Но правда Docker сам уже активно старается (в том числе требования про логин, лимитами) чтобы хоть про зеркала думали.

А почему бы не запилить нечто максимально близкое к клону, заодно улучшив функционал на основе опыта использования Докера? Обвинений в плагиате вряд ли стоит опасаться, зато максимальная схожесть облегчит переход. Ну а альтернативные решения сейчас быстро всплывают, да и народ сам активно изучает рынок на предмет альтернатив, так что рекламировать не сложно будет.

А зачем?

И как быть что не всем нужно корпорантское решениет, тем кому оно нужно - поднять свой репозиторий - не проблема, и поднимают. А тем кому для каких то своих целей надо чтобы работало - это "свое решение" создаст только грабли лишние.

Зачем нужен тот же Postgres Pro - я понять могу (контракт на техподдержку, и да - у меня вот почему то есть основания считать что они в эту техподдержку - смогут - но только потому что я блог одного из их разработчиков читаю давно и вижу что он пишет и о чем(и не только о Postgres), фичи новые которых в opensource-версии нет/пока нет, книжки от них с конференций читаю).

Зачем нужен условный Docker Рус - я совсем не понимаю.

смысл в таком стартапе, если при этом происходит переход на всякие астры и т.п., которым ничего не мешает поднять хабы с собственными образами. Собственно некоторые уже этим занимаются: https://redos.red-soft.ru/base/server-configuring/container/docker-install/#registry

UFO just landed and posted this here

Судя по рейтингу статьи и автора

Достаточно было один раз пошутить, и ... :))

Вы сами то эту статью читали?

Переходим на Коробки - Российский аналог Docker

Где мне скачать Коробки Десктоп?

команда

docker run --rm -ti --gpus all -p 8080:8080 -e DEBUG=true -e MODELS_PATH=/models -e THREADS=1 -v $PWD/models:/models localai/localai:v2.16.0-cublas-cuda12-ffmpeg

работать полноценно будет? в том числе из под Win11(полноценно в данном случаем - с доступом к gpu). Если не будет - то как исправить чтобы работала? А на Эльбрусе (раз российское - Эльбрусовский линукс же нормально должен поддерживаться и все должно работать? Или нет?)

Да вроде даже на Хабре кто-то публиковался, так что попытки точно были

Ну посчитайте сколько это будет стоит и как будет окупаться, с учетом что любой желающий прямо сейчас может локальный прокси-кэш поставить.

UFO just landed and posted this here

Я вот очень слабо представляю как это "окно возможностей" можно было бы монетизировать (кроме сидения на попилах госбюджета, что не каждому дано)

Россграм, помню, запускали... =).. "санкции нам только на пользу"

OpenVPN+sing-box, на виртуальной машине где нибудь в Нидерландах.
sing-box поднимается как прокси для OpenVPN а далее всё стандартно. У sing-box достаточно протоколов которые не обнаруживает отечественные dpi. Если у когото жопа горит и прям срочно надо, пишите в личку поделюсь готовыми конфигами.

А надо ли в таком конфиге OpenVPN дополнительно поднимать? Через прокси докер не заработает?

Есть просто два варианта - можно поднимать прокси и указывать его в каждом месте, где есть докер (а это может оказаться что угодно, вплоть до какого-нибудь маршрутизатора от unifi), а можно поднять VPN и заворачивать туда трафик на докерхаб прямо на границе сети, что позволит не менять конфиги во всех остальных местах.

UFO just landed and posted this here

Можно указать прокси и одновременно указывать зеркала. При этом критична или нет перезагрузка Docker на сервере/машине - уже не в счёт, надо!. Если критично, то как @DaemonGloom сказал: на пути (на выходе) трафик перенаправлять. Взгляни сюда: https://docs.docker.com/docker-hub/mirror/#run-a-registry-as-a-pull-through-cache

Если критично, то как @DaemonGloom сказал: на пути (на выходе) трафик перенаправлять.

Где связь между перезагрузкой докера и перенаправлением трафика?

А зачем? Сами должны знать.

я видел десятки подобных писем и все их объединяет одно - бизнесу плевать, чей Крым

Ооой баааай! А мне за такой комментарий выставили 5 минусов в карму что я якобы политику затрагиваю, в то время как я затрагивал экономику на примере истории, и основывался только на фактах... А тут оно вон как оказывается работает, стрелочка то не поворачивается, если с "цивилизованным миром" мнение совпадает

Лол, хотелось бы послушать что в головах у минусующих , они наверное за политику верхнему чуваку тоже минусов дали?

Докинул ещё сверху за карманытьё на ровном месте.

Они указали чей Крым. Крым НЕ Украина. Крым - республика))))

Походу Docker в письме всё же признаёт, что Крым НЕ Украина.

Писать они могут хоть чернуху. Вон, даже убийство Джорджа Флойда посчитали несправедливым. Почему-то до этого этой чести не были удостоены предыдущие убиенные негры. А этому повезло. И денег его семье дали, и статьи о нём написали, что даже любой человек его запомнит. А вот остальным - шиш с маслом.

Это во-первых. Второе, статья на вики и закреплённое мнение международного общества гарантирует безопасность по Вашему?

Hello there,

Thank you for contacting Docker Support.

At this time we are no longer doing business with Russian or Belarusian companies and have removed the ability to purchase subscriptions from these countries.
https://www.docker.com/blog/dockers-response-to-the-invasion-of-ukraine/

Since Docker is a US company, we must comply with US export control regulations. In an effort to comply with these, we now block all IP addresses that are located in Cuba, Iran, North Korea, Russia, Republic of Crimea, Sudan, and Syria.

Thank you for your kind understanding.

ответ пришел такой

Здесь Раша уже есть.

Видимо для Белоруссии надо ещё раз письмо писать :)

Нет, из Беларуси пока лишь денег не берут, но Хаб доступен.

Это список подсанкционных стран. Каждый, кто работает в американской, например, компании, с ним ознакомлен. Россия туда была добавлена в 2022 году. С подключением.

Так это вроде бы давно уже было для бизнес-фич и аккаунтов. "Бесплатное" все было доступно и работало.

Если не исправят, значит и для "Бесплатного" настало время....

В ответе на скриншоте Россия в списке блокировок по IP есть - видимо, просто заглушку на сайте ещё не отредактировали.

Так уже давно не залогиниться без vpn. Просто до сего дня была вечная загрузка.

Нет, всё нормально работало без vpn. Сейчас не работает.

Буквально вчера вечером залогинился и все было ОК

Для containerd в /etc/containerd/config.toml:

      [plugins."io.containerd.grpc.v1.cri".registry.mirrors]
        [plugins."io.containerd.grpc.v1.cri".registry.mirrors."docker.io"]
          endpoint = ["https://registry-1.docker.io", "https://mirror.gcr.io"]

Все равно остается ошибка в кубере: pulling from host registry-1.docker.io failed with status code [manifests 2.9.0]: 403 Forbidden

Вы не перезагрузили containerd.

не ждите https://www.docker.com/blog/dockers-response-to-the-invasion-of-ukraine/

вот что мне на почту пришло

Hello there,

Thank you for contacting Docker Support.

At this time we are no longer doing business with Russian or Belarusian companies and have removed the ability to purchase subscriptions from these countries.
https://www.docker.com/blog/dockers-response-to-the-invasion-of-ukraine/

Since Docker is a US company, we must comply with US export control regulations. In an effort to comply with these, we now block all IP addresses that are located in Cuba, Iran, North Korea, Russia, Republic of Crimea, Sudan, and Syria.

Thank you for your kind understanding.


Best Regards,
Y. Tazky
Docker Support
Docker Inc.

hread::vKt2d8F4H_ivNtHxb-tiGAQ::

Добрый день, лучше уж выкачать нужные image'ы и сделать локальные репозитории ничего не сломается)))

Почему 403, когда есть отлично названный 451 код

451 это конда принуждают, а тут скорее всего собственная инициатива.

Ну да, добровольно.., спустя пару лет.., в стране, где тебя могут отменить за неосторожное слово.. похоже на правду

Since Docker is a US company, we must comply with US export control regulations.

Перевод нужен?

конкретный списочек регуляций не помешал бы, а то выглядит, как отписка.

а где можно почитать список регуляций, по которому доступ куче к рос. сайтов заблочен отовсюду, кроме РФ? или "это другое"?

А он заблочен со ссылкой на регуляции? Потому как мне казалось, что здесь и не скрывали, что блочат "потому что могут".

Вот же блин, я про 451 не знал и подумал что это шутка, а оно, оказывается действительно есть :)

Мне кажется самое время, что бы условный Яндекс/Vk подсуитились и сделали свой публичный хаб. Хотя бы для официальных образов.

Для этого кроме серверов нужен целый отдел, который будет следить за целостностью образов. Иначе при компроментации у нас вся страна в ботнет превратится. Расходов - много, монетизации - ноль. Еще и бюрократией завалят. Если сверху не прикажут каким-нибудь очередным законопроектом, вряд ли коммерческая организация на это подпишется.

У яндекса на самом деле уже есть репозитории. И Секьюрскан тоже есть для них.

Другое дело то что это они продают как услугу, причём секьюрскан весьма не дешевую услугу.

Но у Яндекса же есть вполне себе публичные зеркала линукс репозитоиев, а также хранилище образов самых распространённых дистров. И ничего, никто не умер от их поддержки.

Не думаю, что репо джокера принципиально сложнее поддерживать, чем репо дистрибутива линукс.

Все зеркала Линуксов заверяются цифровой подписью от создателей дистрибутива. И установщик пакетов всегда её проверяет. Поэтому ими можно пользоваться без опаски: по дороге в пакет ничего не добавится.

Докер, как я понял, такую возможность не предоставляет.

Используйте SHA вместо текстового тега версии — и будет вам проверка?

Завернул трафик к данным подсетям через ВПН и образы успешно скачались с официального репозитория

ip route add 52.0.0.0/8 via <шлюз ВПН>
ip route add 44.0.0.0/8 via <шлюз ВПН>
ip route add 54.0.0.0/8 via <шлюз ВПН>

Не самое лучше решение, хоть и простое.
С течением времени адреса могут добавляться. Вы будете вынуждены отслеживать этот момент.
Ну и шанс хоть и минимальный, но всё же, в завёрнутый трафик могут попасть запросы к другим хостам, которые в этом не нуждаются. Но это меньшая из проблем.

Если VPN свой собственный, то проще поднять там прокси, пустить докер через него и не мучиться с маршрутами, которые, как верно сказано, могут в любой момент и поменяться.

Многовато, но это самое простое. Особенно если есть не очень понятные устройства. Скажем, я как раз новый HomeAssitant ставил. И он не мог даже такие add-on как FileEditor и SSH &Terminal подгрузить. И фиг его знает, как его докер настроить без полноценного шелла...

Docker desktop:
Settings/General/[X] Use containerd for pulling and storing images

Отличная тема для провайдеров. Поднять свой докерхаб и раздавать бесплатно для своих клиентов!!!

Многие что бы не заморачиваться, перейдут к такому провайдеру

Поднять впн или использовать сторонее зеркало гораздо проще чем переезд к другому провайдеру

В Ваших словах есть зерно, но для крупняка, например, важна неиллюзорность ситуации "сегодня зеркало есть, а завтра нет".

И где еще гарантия что "завтра нет" заодно и VPN.

только жаль очень медленный :)

Девопсы всей России назовут этот день "красный четверг".

Да ничего не красный, эта контора еще 3 года назад провела глобальные учения включив pull rate limit, в результате чего, без подписки, любой более-менее серьезный ci который крутился не на локалхосте выжирал квоту за пару часов и улетал в 401.

Ответьте, кто может, со ссылкой: у докера есть механизмы верификации образов из таких проксей? Ну как в Линуксе, где есть подписанный дистрибутивом лист хэшей пакетов и подписи на самих пакетах?

Даже если и был бы - доступа-то на основной хаб нету, поэтому и подписи узнать неоткуда.

Ну в Linux мире подписи на отдельных серверах лежат и просто гуляют файлом, подписанным уже от имени программы проверки подписей.

А можно такой отдельный сайт с подписями образов увидеть?

sks-keyserver, как и некоторые иные, старые серверы — помер из-за GDPR.

Краткий список живых есть здесь https://wiki.archlinux.org/title/OpenPGP#Keyserver

Но все же это не "сайт с подписями образов", а список открытых ключей от ЭЦП случайных людей. Ключи доверенных мейнтейнеров от конкретных дистрибутивов обычно распространяются иным путём. К примеру — archlinux-keyring.

Подписи конкретных распространяемых дистрибутивов/пакетов обычно живут в репозитории, рядом с бинарным пакетом. Рас и двас, файлы с расширением *.gpg или *.sig

Подпись должна идти вместе с образом, а для ее проверки достаточно знать используемый публичный ключ... но Docker Inc всё ещё "We are working on integrating signature validation into our image pull and build processes. This will ensure that all Docker Official Images are verified before use, providing an additional layer of security for our users." (линк), так что проверять пока нечего.

→ docker trust inspect ubuntu:latest --pretty

Signatures for ubuntu:latest

SIGNED TAG DIGEST SIGNERS
latest 3f85b7caad41a95462cf5b787d8a04604c8262cdcdf9a472b8c52ef83375fe15 (Repo Admin)

Administrative keys for ubuntu:latest

Repository Key: 8273733f491f362bb36710fd8a99f78c3fbaecd8d09333985c76f1064b80760f
Root Key: 1f9bc7ae6335ae41ee03e983c0e31303901be567b4cdb3fc7c7363f0591128ff

Выглядит так, как будто подписи тут нет.

И раз в день/неделю лазить проверять руками, нет ли там критически важного обновления.

Там выше упоминали Watchtower. Глянул - хорошая штука, буду юзать. Может, как-то сконфигурировать его можно, чтобы и в РФ работал.

Прописать зеркала можно командой, после, перезапустить демон.

sudo sh -c 'echo "{\"registry-mirrors\": [\"https://mirror.gcr.io\", \"https://daocloud.io\", \"https://c.163.com/\", \"https://huecker.io/\", \"https://registry.docker-cn.com\"]}" > /etc/docker/daemon.json'

в твоем скрипте в конечном файле все окажется без кавычек

спасибо что сказали, форматирование вырезало почему то)

Лучшее вариант из решений на сегодня...

Есть ли вариант использовать образы с каких либо других мест?

Зеркало юзать. инструкций уже и в этом обсуждений много

Выше вот решение с использованием зеркал.
Вот только, где гарантия, что в образы на китайских зеркалах не насовали троянов в shell-скрипты.
Доверие гугловскому зеркалу, но сколько оно продержится для России?

А где гарантия, что на офф нету вирусов? Были ведь стать где находили там образы с вирусами.
Но так можно прокси юзать и качать с офф сайта

учитывая, что на докер хаб залить образ может кто угодно, странно вообще ожидать каких-то гарантий от непроверенных образов

При чём тут это? Зеркало может насовать в образы от проверенных поставщиков, хоть от RedHat.

UFO just landed and posted this here

Свой Nexus, разве что, поднимать.

Проверил, у меня все работает. Стоит comss dns, vpn выключен.

Продолжайте наблюдение.

Интересно почему они только сейчас опомнились, компания вроде не Эстонская

скорее с очередными пакетами из пакетов санкциями связанно
а может со вторичными санкциями
в общем "ойти вне политике" говорили они

Всё в политике, ребята. ВСЁ. Вся наша жизнь - это политика. И первоначальное значение слова "идиот" в Древней Греции - "человек, который не интересуется политикой"

Так-то истония член Евросоюза и член Нато

Вот это действительно напряжно, а какие альтернативы докеру есть?

Специальное издание на каждом прилавке горбушки.

А как обычному пользователю вернуть доступ и скачку образов? У меня курсач на нем...

Главное — не читать комментарии, а сразу их писать, чтобы в тред набежала армия желающих помочь индивидуально.

Использовать другой поставщик контейнеров(докерхаб это не единственное место откуда тянуть контейнеры можно)

Воспользоваться зеркалами

Поднять VPN

Сделать свой контейнер ручками и где-нибудь разместить его (любой дешевый хостинг-провайдер, на нем какой-нибудь Nexus или любая альтернатива)

Приветствую. для локального хаба нужен сам докер который как-бы без vpn не получается установить, найдутся ли добрые люди кто создаст дубликат на яндекс (mail)-cloud зеркало с самим дистрибутивом докер?

ставь через пакетный менеджер

pacman -Sy docker и всё работает

docs.docker.com и download.docker.com работает, можно скачать дистрибы вручную

  1. заходите docs.docker.com/engine/install

  2. под заголовком Supported platforms выбираете ОС

  3. под Uninstall old versions на странице выбранной оси находите конфликтные пакеты и команду по их удалению
    выполняете команду

  4. под заголовком Install from a package видите

    1. ссылку на хранилище дистрибов под пунктом 1

    2. список необходимых пакетов под пунктом 4

  5. переходите по пути в хранилище:

    linux/<ос>/dists/<версия_ос>/pool/stable/<архитектура>

    и качаете необходимые дистрибы

  6. устанавливаете, разрешаете конфликты
    (необходимо будет скачать iptables и что-то ещё, но это можно через apt, их мало будет)

вуаля

Объясните нубу пожалуйста, если ещё вчера я собирал образ на основе образа из хаба то сегодня это уже не работает даже с включённым впн?

Я тоже нуб, давайте вместе разбираться. Как я понимаю:

Не доступен репозиторий образов, значит вы не сможете скачать с него образ, но если включить правильный VPN или настроить прокси, то вы сможете скачать и всё будет работать.

Так же, если вы уже скачали образ заранее, то пока вам не потребуется обновить образ у вас всё будет работать даже без VPN или прокси.

Надеюсь меня поправят, если я ошибаюсь.

Вот как раз про правильный впн мне и не понятно, достаточно ли включить готовый впн для того чтобы качался докер образ если в инструкции докерфайла написано FROM «такой то образ», или надо ручками маршрутизацию к хабам прописывать?

Правильный - переносящий вас в страну, из которой не заблокирован доступ к docker.com.

С включенным vpn - работает.
На машине, на которой происходит docker pull должен быть доступ к dockerhub (хоть vpn, хоть в другой стране)

Обратите внимание, кто канику использует) она по умолчанию на index.docker.io ходит. Решение через env KANIKO_REGISTRY_MIRROR или ключ --registry-mirror

Простой костыльный способ для тех у кого горит и есть впн.

В /etc/systemd/system/docker.service.d создаем файл, например proxy.conf

Туда прописываем подобное:

socks5 меняем на свой протокол

NO_PROXY если есть локальный registry

[Service]
Environment="HTTP_PROXY=socks5://login:pass@адрес_впн"
Environment="HTTPS_PROXY=socks5://login:pass@адрес_впн"
Environment="NO_PROXY=localhost,127.0.0.1,registry.example.ru"

systemctl daemon-reload

systemctl restart docker

а почему костыльный?

По-хорошему надо делать это средствами сети, а не в демонах писать.

UFO just landed and posted this here

Да, Вы правы, спасибо. Везде где написано впн - читать прокси.

Добавил у себя на маршрутизаторе docker.io и docker.com в список доменов для выборочной маршрутизации через неназываемый сервис, да и всё.

Почитал новости, комментарии, похоже у меня одного уровень паранои в «full” выставлен. Меня с самого начала всей этой контернизации беспокоит что все дружно с воплями ломятся ставить технологии завязанные на одну компанию: что докер, что mom, что GitHub

С последним вообще песня взяли. Технологию, которая рассчитана на распределённую работу «из коробки» и кусая кактус запихнули в решение зависящее от одного поставщика.

все это без относительности к политической ситуации ставит всю экосистему под удар.

Давно пора было писать тьюториалы где все не с dockerHub по умолчанию тащиться, а свой репозитарий поднимается и с ним все работает.

А в личных проектах предпочитаю Fossil который из коробки весь функционал имеет и хоститься на любом жестком диске.

Но таких как я меньшинство- все свои hello-world проекты норовят сразу на GitHub выкладывать…

Кстати заметил что у многих коллег, git- это GitHub/gitlab и идея прислать патч многих вводит в ступор….

Базовый образ с чистой OS всё-равно где-то брать надо. Не самому же образ с debian каким-нибудь делать. Тогда 90% мануала будет про то как самому OS в докер засунуть без использования сторонних хабов.

На крайний случай наверное можно будет и на Альте что-нибудь собрать, благо у них есть свой регистри с базовыми образами https://www.basealt.ru/container-registry, только не понятно, сколько это стоить будет.

С последним вообще песня взяли. Технологию, которая рассчитана на распределённую работу «из коробки» и кусая кактус запихнули в решение зависящее от одного поставщика.

Какое вы решение предлагаете? Вот я делаю опен-сорс проект - мне надо ради него еще собственный публичный сервер с гитлабом/fossil поднять и поддерживать? Оплачивать это кто будет? Наверно надо еще и не в облаке, а стойку арендовать со своим железом, ну чтобы не завязываться на поставщика.

Но таких как я меньшинство

Таких это каких, которые не занимаются опен-сорс разработкой? Так таких как раз большинство, но совершенно не важно что они со своими пет-проектами делают.

 все свои hello-world проекты норовят сразу на GitHub

Возможно это не очевидно, но проблема блокировки докера или гитхаба вовсе не в том, что станут недоступны чьи-то хэллоу ворлды.

 идея прислать патч многих вводит в ступор

Потому что это неудобных анахронизм. Как потом code-review организовывать, в ответ письма слать? Как CI/CD с вашим патчем должен работать? Issue потому к чем линковать, к файлу с патчем?

все дружно с воплями ломятся ставить технологии завязанные на одну компанию: что докер, что mom, что GitHub

Так про что угодно можно сказать, база на постгресе, кеш в редисе и т.д. Выбирают то, что поддерживается и популярно. Не в том смысле, что это модно, а в том, что большое сообщество, где будет документация, много практических кейсов использования того или иного инструмента и не придется самому с 0 придумывать как что-то реализовывать.

Технологию, которая рассчитана на распределённую работу «из коробки» и кусая кактус запихнули в решение зависящее от одного поставщика.

А много есть альтернатив у докера? Podman и... все. А разработать свой аналог такой системы стоит бешенных денег, а потом еще нужно иметь свой репозиторий с образами и мотивировать различных разработчиков сделать образы для этой системе, иначе у вас будет 100 базовых образов, которые нафиг никому не нужны.

Но таких как я меньшинство- все свои hello-world проекты норовят сразу на GitHub выкладывать…

Потому что GitHub/Gitlab/BitBucket – корпоративный стандарт по работе с кодом. И если вы учитесь и делаете хелоу ворлды, то логично использовать что-то из этого.

А в личных проектах предпочитаю Fossil который из коробки весь функционал имеет и хоститься на любом жестком диске.

Но таких как я меньшинство

Ровно по той же причине. Использовать инструменты, не нужные в продакшене в 90% случаев.

И тут вспоминается localai.io те же. Все примеры с докером - и через Docker Hub и через Quay (при этом без контейнеров они тоже работать умеют правда не на винде)

Докер != котейнеризация. Сама по себе контейнеризация это естественное (на базе механизмов ядра Линукс) решение некоторых проблем. Не всем нужное, кто-то и без Линукса живёт. Но для некоторых задач отлично подходящее. Докер взлетел раньше и сейчас больше раскручен. Вместо него можно и нужно пробовать Podman (хоть красная шапка и заметна, но не так уж плотно привязана), он есть прямо в пакетах любого промышленного дистрибутива, даже в Дебиане. И вот в Podman как-раз из коробки есть отвязка от регистри Докера, плюс добавлен редхатовский quay_io. Для более высокого уровня паранойи можно и свой регистри поднять. Ну и само-собой добавить доверенный православный или буддийский.

Докер != котейнеризация.

Это вы девопсам-эникейщикам расскажите. За такое в приличном обществе могут и ногами забить.

Какое интересное слово у вас получилось, котейнеризация.

Котеи котейнеризируются сами всякий раз, когда обнаружат незанятый котейнер.

И вот в Podman как-раз из коробки есть отвязка от регистри Докера

Что мешает использовать докер без докерхаба? Сложите просто все что надо в собственный registry и все.

Ничто не мешает, с сегодняшнего дня многие так делают, я в том числе. Это если Докер уже установлен. А вот если не установлен, надо подключать репозиторий (к примеру для Убунты), а он (возможно) заблокирован. Подман же есть в родных пакетах. Да, я про Линукс на десктопе. И второй плюс Подмана - он топит за рутлесс, что особенно полезно при использовании всяких «хуёкеров». В целом, понятно что есть масса способов по-быстрому залатать тонущий старый контейнеровоз. Но есть же более современный и ровный вариант;)

А в чём ваши проблемы с убунтой? Сказали "apt install docker.io" и ничего дополнительно не требуется.

Там безнадёжно устаревшая версия в основном репозитории.

Ну, docker.com сам-то не заблокирован и установить, похоже, сам докер можно.

На виртуалке под виндой:

настало твое время) но, через недельку другую опять всем будет не интересно это)

Ну хз, дело не в паранойе. Репу с гитхаба используют как портфолио, набор кейсов, которые ты реализовал. Плюс есть вариант пушить в опенсорс, и в истории твоей "учётки" это сохраниться, а это ещё один плюс для работодателя. Можно, как я, свой гит поднять (мне gitea понравился), но потенциальный работодатель там регаться не будет. Зачем, если есть гитхаб))

технологии завязанные на одну компанию: что докер, что mom, что GitHub

С последним вообще песня взяли. Технологию, которая рассчитана на распределённую работу «из коробки» и кусая кактус запихнули в решение зависящее от одного поставщика.

Что git, что docker registry имеют множество self-hosted реализаций, которые использует почти каждая организация больше стартапа на полтора человека.

А в личных проектах предпочитаю Fossil который из коробки весь функционал имеет и хоститься на любом жестком диске.

Так-то и гит работает локально, но для публикации и совместной работы гитхаб идёт почти без альтернатив.

Кстати заметил что у многих коллег, git- это GitHub/gitlab и идея прислать патч многих вводит в ступор….

Людям нравится делать PR в один клик, чтобы интерактивно проталкивать правки, а не неделями обмениваться имейлами.

Вы это Линусу расскажите и всей команде которая разработкой ядра Linux занимается

Просто большинство проектов это один климат в год/под исход который конфликтов не создаёт. Так что спокойно можно на старой доброй Subversion работать. Не говоря уже о fossil которого выше крыши хватит.

Мой пост про то что большинство не умеют пользоваться got-ом, максимум используют его малую часть -я тоже. Git -это сложный инструмент созданный для управления сложным проектом -ядро Linux.

Таков путь смехсверхдержавы

Ждем блока гитхаба и всех реджестри по типу нпм/нугет/мавен/гемс и тд

Мелковато для сверхдержавы, на мой взгляд.

Проецирование вектора своей силы через блокировку open-source инициатив в определенных регионах мира - фу же.

А заблокировали именно опен-соурс? Ведь да?

Конечно же нет) Но креативность авторов улыбнула

С учетом что регистратор домена Cloudflare, я бы не рассчитывал на него как на долгое решение.

Там не только регистратор, но и сам хост тоже на Cloudflare смотрит. Скорее всего, посредством Cloudflare прокси и реализован.

Меня, конечно, могут обвинить в пессимизме, но я полагаю, что только вопрос времени, когда Cloudflare будет забанен в РФ, изнутри или снаружи.

Учитывая, сколько на нем сайтов, это был бы бан половины интернета. Полностью не отрицаю такой возможности, но хотелось бы надеяться, что такого не будет.

Оперативненько. Скорее всего "по запросу компетентных" просто вырубили сайт.

Все он жив (и по прежнему там же - на https://huecker.io/cdn-cgi/trace отвечает, для проверки что это НЕ имитация - можно дернуть например https://author.today/cdn-cgi/trace и https://vc.ru/cdn-cgi/trace/ и сравнить ответы)

Еще и отреагировали на таймвебовское зеркало и добавили:

  • список других зеркал

  • ссылку на гитхаб автора (который вызывает только два вопроса - сколько ему лет и что именно он курит)

  • предупреждение что опасно для прода

Но с другой стороны - сделал человек доброе дело, зачем сразу обвинять в нехороших намерениях только потому что возможность похоже что есть.

Плохо собрали. Вторая строчка перетирает существующие настройки, поэтому не универсальна.
Последняя строчка перезапускает все контейнеры, хотя могла бы это не делать если бы использовала команду reload.

Ну и не хватает строчек для проверки (docker pull) и для просмотра логов.

ну и sudo cat  не нужен, для простого чтения там хватает прав..

Подскажите куда это нужно вставлять, чтобы CI в гитлабе заработало?

Очевидно, надо выполнить эти команды на раннере гитлаба.

Плюс может понадобиться настроить сервис dind если вы его используете.

На машине, на которой запущен ранер гитлаба.

привет, не особо в теме. подскажите, что это значит для рядового юзера:
использую immich.app, jellyfin.org в докер контейнерах на домашней машине.
теперь я не смогу их обновить при выходе новой версии через docker pull?

Да, не сможете.

Если у вашей машины IP страны из списка в статье, то pull образов будет работать только если вы пропишете в daemon.json докеру зеркала репозиториев образов, или сделаете рероут запросов к hub.docker.com через зарубежный VPN.

В первом случае обязательно надо проверить, что образы с зеркала совпадают по чексумме с образами с dockerhub, чтобы избежать возможной supply-chain атаки с подменой образов на вредоносные.

Да. Можно настроить зеркала - через них пока работает всё. Множество инструкций в соседних комментариях

Странно, но в непризнаном Крыму сайт открывается, а образы скачиваются.

Возможно дело в том, что на многих западных геосервисах это выглядит вот так

О, это прекрасно, кстати. Т.е. там каждый раз стоят перед дилеммой, признать Крым Россией и банить или не признать и не банить :)) (Тут должна быть картинка с очень напряженным чуваком из мема)

Возможно, что все прозаичней и там кода типа:

if(...country == "Iraq" || country == "Russia" || region == "Republic of Crimea"...) {
  return AccessDenied(...) 
}

А то, что в ответе от GeoIP приходит region "Sevastopol" никто не проверял, потому что всем наплевать - формальное требование сделали, тикет закрыли.

Не настало ли время ко второму тэгу статьи дописать "_на_пользу"??

Для podman'a.

/etc/containers/registries.conf

[[registry]]
prefix = "docker.io"
location = "eu-central-1.mirror.aliyuncs.com"

systemctl restart podman

Другие зеркала добавляются по аналогии.

[[registry]]
location = "docker.io"

[[registry.mirror]]
location = "mirror.gcr.io"

И рестарта не потребовалось (лично мне)

Честно говоря, ничего кроме банальной агресии такие шаги не вызывают. Чисто пук в лужу. Обходится на раз-два, ничего, кроме желания дать отцовскую такую, тяжёлую оплеуху, не пробуждает. А может быть и надо бы разок.

UFO just landed and posted this here

У меня при попытке скачать с mirror.gcr.io выдаёт ошибку про исчерпанные лимиты, а docker pull huecker.io/library/alpine:latest вообще 500 Timeout Error.

А ещё я узнал, что если в Unraid в существующем контейнере поменять исходный путь к образу контейнера, Unraid при перезапуске сотрёт все конфиги контейнера. Так и представляется макака, которой шприцем в мозг ввели литр урины и посадили прогромировать. Unraid такая помойка стал.

Поставьте за меня им плюсик пожалуйста

легенды мирового масштаба

и за меня тоже плз! +

Откуда в конфиге странное экранирование прямых слешей в URL? Оно там не требуется же.

Увы :(

Failed to retrieve image library/node:18-alpine from registry mirror dockerhub.io: Get "https://dockerhub.io/v2/": dial tcp 217.70.184.38:443: connect: connection refused. Will try with the next mirror, or fallback to the default registry.

Причём тут вообще mirror dockerhub.io, если по ссылке dockerhub.timeweb.cloud?

Поделитесь пожалуйста конфигурацией прокси( Нужна в закрытой части(

В Cdek сегодня наверно очень расстроились))

Вас уже вычислили и заблокировали...

Давно пора было все свое делать. Но зачем? У нас ведь есть ресурсы, а значит деньги - мы все купим. А тут бац - и отключили. Кто бы мог подумать, что так могло произойти?
Если Китай может все свое, то и у России должно было быть все свое. Лучше поздно, чем никогда.

Именно потому и нужно всё глобальное, чтобы у буйнопомешанных не было желания остаться без всего.

Что значит глобальное? Конкретное что-то всегда принадлежит кому-то, хотите вы этого или нет. А хозяин всегда будет диктовать свои правила, остальные будут вынуждены под них подстраиваться.

"Глобальное" -- это антоним от "локальное", "местечковое", созданное под влиянием NIH-синдрома и используемое на одной конкретной территории, а не "глобально", "globe", по всей планете.

Всем привет )

Знает ли кто то подобные registry-mirrors для nVidia NGC(nvcr.io) ?
Пока образы из данного хаба скачиваются без проблем, но nVidia ведь тоже US Company)

Так поднимите свое локальное хранилище образов и держите там нужные.

У нас есть корпоративный Хаб где мы держим нужные нам образы)
Просто nVidia регулярно обновляет свои образы, ищу возможность)
Первая возможность это VPN.
Вторая registry-mirrors, но для nVidia NGC(nvcr.io) , таких пока не нашел.

Ну закрыли и закрыли, чего бухтеть-то?
Вы ведь IT-шники, вот вам туториал как делать свой базовый образ.
Совсем расслабились со своим CI/CD в облаках.

{
  "builder": {
    "gc": {
      "defaultKeepStorage": "20GB",
      "enabled": true
    }
  },
  "experimental": false,
  "registry-mirrors": [
    "https://mirror.gcr.io",
    "https://daocloud.io",
    "https://c.163.com/",
    "https://huecker.io/",
    "https://dockerhub.timeweb.cloud/"
  ]
}

А что делать с docker build, в dockerfile которого например указано FROM mcr.microsoft.com/dotnet/aspnet:6.0 AS base
После добавления Environment в docker.service и рестарта службы докера, docker pull заработал, а docker build нет.

ERROR: failed to solve: node:latest: failed to resolve source metadata for docker.io/library/node:latest: failed to authorize: failed to fetch anonymous token: unexpected status from GET request to https://auth.docker.io/token?scope=repository%3Alibrary%2Fnode%3Apull&service=registry.docker.io: 403 Forbidden

Это уже на примере FROM node:latest в dockerfile
Однако docker pull node:latest загружает спокойно.

А можете скинуть докер-файл целиком? Возможно, есть смысл скачать все образы отдельно локально и затем в докер-файле все внешние образы поменять на локальные.

я снесла в результате docker-buildx-plugin
без него всё заработало

Да они кстати нормально пулятся. В любом случае, каким-либо образом просто спуллить себе локально, где выполняется build, тогда docker build не будет повторно их выкачивать.

Самое интересное, что в тексте ошибки даже не указана Россия. Теперь надеюсь, что это просто накосячили с GeoIP и скоро откроют доступ, а то каждый раз VPN юзать не очень удобно.

Удивительно, что при чтении комментариев соя с экрана потекла всего раз) Интересно, если адреса докера пускать через тор, то как долго будут выкачиваться образы?

Думаю достаточно только 2х зеркал. Гугла и таймвеба, оба крупные и имеют определенный уровень доверия. Чтобы случайно какой-нибудь шифровальщик иньекцией через китайские зеркала не получить.

{
"registry-mirrors": [ "https://mirror.gcr.io/", "https://dockerhub.timeweb.cloud/"]
}

Но! Вероятно стоит задумать и о github, как бы не переобулся и в один прекрасный день не оказалось, что РФ заблокирована.

Почему заминусовали?

Если кто не в курсе, они внезапно решили поднять цены на свои услуги (частично уже подняли с 24 мая, остальное поднимут с 4 июня). Подорожание в 2-3 раза. В том числе с пересчетом срока действия уже оплаченных услуг в меньшую сторону. Например, у меня сервер подорожал с 240 руб. до 720 руб. в месяц.

Поэтому за зеркало им конечно спасибо, но доверие к ним теперь на нуле.

Отношение к клиентам у них всегда было откровенно наплевательское.

UFO just landed and posted this here

Прошу прощения, но новые цены просто конские. Любой зарубежный хостинг, хотя бы тот же Hetzner, если есть к нему доступ, будет намного выгоднее. Видимо играют на том, что для большинства зарубежные хостинги теперь закрыты и деваться некуда.

UFO just landed and posted this here

Кому они нужны со своим сервисом, если их зарубежные адресные пулы все считают российскими и, соответственно, блокируют?

И как это связано с зеркалом? То, что подняли цены или паршиво оказывают поддержку - дело конечно их. Возможно им клиенты не нужны.

но в моем сообщении четко указано про «определенный уровень доверия», не означает, что я им доверю все, тем более учитывая их самую баганутую панель для Клауда, однако таймвеб известная русская компания, а не ноунейм и темболее не Китай. И вероятность того, что они начнут в образы встраивать ПО для уничтожения русской инфраструктуры весьма минимальна, чем ноунейм зеркала владельцы которых неизвестны или сомнительны.

А насчет основного доверия, его в целом сейчас нет. Яндекс? приколы на маркете или с Алисой, или та же крупная утечка отбивают вообще доверие к нему. Бегет? Или амазон? Все сомнительно, та даже гугл сомнителен, если брать ваш же пример с резким подорожанием, у них в свое время неплохо так гугл бизнес подорожал, тоже резко. К сожалению ситуация показала, что полностью доверять никому нельзя, да и не стоит.

а остальные зеркала и не работаю уже

За что их блокируют то?

Только что проверил - работает.

Не путайте проблемы под нагрузкой и блокировку.

<хост в этих ваших европах>
sudo docker pull elasticsearch:7.2.0
7.2.0: Pulling from library/elasticsearch
8ba884070f61: Pull complete
2211b14f8b24: Pull complete
617ccdb47f3d: Pull complete
915ee6b2c338: Pull complete
b414b7f29a7d: Pull complete
547bfdd35d62: Pull complete
8353a2ed248c: Pull complete
Digest: sha256:84b5bc2fd15b0f1f5bf78c8c6ee34b6ae5a46ab81be1c2cfa678eea0c6457a46
Status: Downloaded newer image for elasticsearch:7.2.0
docker.io/library/elasticsearch:7.2.0

<наш хост через https://huecker.io/ >
7.2.0: Pulling from library/elasticsearch
8ba884070f61: Pull complete
2211b14f8b24: Pull complete
617ccdb47f3d: Pull complete
915ee6b2c338: Pull complete
b414b7f29a7d: Pull complete
547bfdd35d62: Pull complete
8353a2ed248c: Pull complete
Digest: sha256:e560b0675f0b9fec164db801627cf36a0d9ff73934076b43114a701725b07c6d
Status: Downloaded newer image for elasticsearch:7.2.0
docker.io/library/elasticsearch:7.2.0

обращайте внимание на Digest

Да вот непонятно, кто этот хуэкер вообще. Может кто-то из "недружественных" быстренько подсуетился с не особо благими намерениями.

Это один и тот же образ.

$ docker inspect elasticsearch@sha256:84b5bc2fd15b0f1f5bf78c8c6ee34b6ae5a46ab81be1c2cfa678eea0c6457a46
[
    {
        "Id": "sha256:0efa6a3de177a175eaec8a2f1850ef8cb0969f480e057cd5cc6a572dc04fcfad",
        "RepoTags": [
            "elasticsearch:7.2.0"
        ],
        "RepoDigests": [
            "elasticsearch@sha256:84b5bc2fd15b0f1f5bf78c8c6ee34b6ae5a46ab81be1c2cfa678eea0c6457a46",
            "elasticsearch@sha256:e560b0675f0b9fec164db801627cf36a0d9ff73934076b43114a701725b07c6d"
        ],

Проблема в другом: huecker.io уже заблокировали:

$ docker pull huecker.io/library/alpine
Using default tag: latest
Error response from daemon: Head "https://huecker.io/v2/library/alpine/manifests/latest": error parsing HTTP 403 response body: invalid character '<' looking for beginning of value: "<html><body><h1>403 Forbidden</h1>\nSince Docker is a US company, we must comply with US export control regulations. In an effort to comply with these, we now block all IP addresses that are located in Cuba, Iran, North Korea, Republic of Crimea, Sudan, and Syria. If you are not in one of these cities, countries, or regions and are blocked, please reach out to https://hub.docker.com/support/contact/\n</body></html>\n"

Насколько я знаю, у докера в протоколе нет возможности получать уведомления об изменениях, поэтому единственная возможная форма зеркала - это кеширующий прокси.

Там глубже сравнивать надо, в идеале. IIRC, у докера digest стабилен только в рамках одного репозитория

Следующий левел будет внедрение вредоносного кода в пакеты и образы для отдельных стран

В 2022 уже было с некоторыми npm-пакетами. Кстати, а npm когда отключат?

Следующий? Это уже было в 2022 году. Отдельные авторы, с мочей на фоне неба в голове, ломали свои пакеты для RU-ru машин, часовых поясов и айпишников :)

А потом ВНЕЗАПНО пакеты с вредоносным кодом от любителей всего хорошего против всего плохого ВНЕЗАПНО приехали на сервера таких же любителей всего хорошего против всего плохого из организаций, ныне относимых к иноагентам, отчего получился милейший жабогадюкинг.

добрый день.

а можно использовать прокси для работы docker?

Environment="HTTP_PROXY=http://proxydocker:1111@x.x.x.x:3128/"

Environment="HTTPS_PROXY=http://proxydocker:1111@x.x.x.x:3128/"

работает без всяких зеркал и образы скачивает.



Когда около 10 лет назад я написал, что "посадка" на импортные продукты и технологии рано или поздно закончится хреново - многие (слава Богу не все) смеялись. Получите и распишитесь...

А что ещё можно было делать 10 лет назад? Изучать абак? И сейчас ещё не поздно...

Ну да, у на же есть свой ИнтернетСкрипт, Рушарп и Гадюкин, все упаковывается в коробку и прекрасно работает на отечественной ОС. А в суверенных датацентрах используются только аналаговнетные компьютерные комплектующие.

С докером все было понятно, когда они сделали лицензию

Используйте пока что podman , просто все докер алиасы ссылайте на podman, а все хосты для докера поменяйте на зеркала

А вообще пользуйтесь qemu

"Независимый Интернет" приходит (также и) с другой стороны. Вот они, последствия централизации. Вот по этому нужно больше внимания peer-to-peer решениям.

UFO just landed and posted this here

Решение 30.05.2024 Для тех у кого Docker в сборке используется как DinD по проблеме :
docker buld
ERROR: Error response from daemon: error parsing HTTP 403


Самое просто решение : добавить передачу командой в образ списка зеркал. Мне пог список зеркал, данный в самом начале этого треда.
services: - name: [ваш образ] docker-dind
command: ["--registry-mirror=https://mirror.gcr.io", "--registry-mirror=https://daocloud.io", "--registry-mirror=https://c.163.com", "--registry-mirror=https://huecker.io", "--registry-mirror=https://registry.docker-cn.com"]

Можно тоже, только в виде конфига nginx?

Создаём файл с расширением .tar и наших сохранённых image
- docker save -o <file-name.tar> <image-name>

Оставлю здесь свой способ тоже (подойдет тем у кого свой гитлаб сервер).

Н алокальной машинке прописчывайте зеркала, как писали выше, пулите нужные образы, меняете тег и пулите себе в container registry, используете эти образы.

Так же в переменной проекта или группы нужно прописать DOCKER_AUTH_CONFIG с таким содержанием
{
"auths": {
"registry.example.ru:5050": {
"auth": "здесь в base64 username:password"
}
}
}
registry.example.ru - домен вашего гиталаба
5050 - порт container registry

в ci указывается image вашего образа.

ПРОФИТ

Проверил, на WSL2 пакеты с VPN скачиваются. Единственное, сам докер десктопный установлен.

уже заблокированы выпуск wildcard сертификаты

Да нет, работает всё. По крайней мере, 3 дня назад работало.

А для приватных репозиториев указание зеркала поможет? Что то никак не получается.

На Docker Desktop для Windows указание "registry-mirrors": [
"https://dockerhub.timeweb.cloud"] в конфиге

не помогает, все равно почему-то лезет на офсайт((

Одно из рабочих сейчас новых зеркал это:
{
"registry-mirrors": [
"https://dcr-px.ru"
]
}

У меня идея мутить стартап. Докер-реестр кошерного софта. Все образы только приложений, одобренных местными ребе Минцыфры, РКН, наркоконтролем, и иже с ними. В качестве базового образа - скрепный Астролинух. Под это дело выцыганить жирный госгрант и тогда от зависти к прибылям завянут все клубнично-тюльпанные оранжереи, послипаются пельмени, и когтеточки обратятся в картонную пыль.

Мне помогло указание socks5 прокси в юнит системд:

[Service]
Environment="HTTPS_PROXY=socks5://ip:port"

Ещё пачка зеркал от Comcloud ( registry.comcloud.xyz они же registry.nationalcdn.ru)

"registry-mirrors":[
"https://docker.comcloud.me",
"https://quay.comcloud.me",
"https://gcr.comcloud.me",
"https://k8s-gcr.comcloud.me",
"https://k8s.comcloud.me",
"https://ghcr.comcloud.me",
"https://elastic.comcloud.me"
]

В общем, я тут пытался заставить работать Docker через прокси. Результат не очень хороший - docker compose build ни в какую работать через прокси не хочет. Пришлось делать свое локальное зеркало для Docker. Для этих целей арендовал дешевую VPS в Финляндии.

Сделал с помощью этой инструкции: https://github.com/f4k3lol/docker-mirror
Теперь все работает прекрасно - и pull и build.

у меня внезапно обратно заработал

Other news