Бесплатный прокси к Docker Hub

[ivankudryavtsev]

Это все прекрасно, но все эти прокси обладают одним существенным недостатком - неопределенный уровень доверия из-за неконтролируемого MITM.

[rsashka]

А в чем конкретно угроза "неконтролируемого MITM", если все образы подписаны?

[Worst_su]

Вопрос лишь в том, с чем эту самую подпись сверять

[akaluth]

На честное слово докерхаба, при желании можно запиннить конкретный хеш

[fedorro]

Подпись образов (DCT) необходимо отдельно генерировать и проверять, а то что у образов есть хэши - так они прописаны в манифестах, которые с того-же прокси приходят. Хотя можно указывать конкретный хэш после названия каждого образа, конечно, но такое ...

[StjarnornasFred]

Ну, тут уж без вариантов: в сложившейся ситуации вроде работает - и на том спасибо.

[ivankudryavtsev]

Варианты есть - настройте и будете доверять прокси/зеркалу.

[Timeweb_Cloud]

Про MITM не знаем даже что и ответить, тут скорее вопрос доверия к провайдеру, мы такими вещами точно заниматься не планируем

[ivankudryavtsev]

я не про вас, в частности, а про некий hueker, в целом.

[Kenya-West]

Хуёкер сам второй или третьей строчкой говорит, что он не предназначен для прода.

[santjagocorkez]

Можно подумать, тачка разработчика, на которой, пусть даже к исходникам так просто не подобраться, но зато артифакты гоняются с debug обвесом, менее ценный ресурс.

[rsgrinko]

Действительно, не предназначен. Сегодня пробовали для дев контура настроить через него - он начал выдавать 500 спустя пол часа. В итоге завернули трафик через VPN площадку до оригинала.

[DieSlogan]

То есть неконтроллируемого? Вы доверяете сертификатам которые подписаны CA которому вы доверяете. Или вы и им тоже не доверяете? Тогда, зачем стоят?

[Worst_su]

Ну так

Это же

Америка

Европа

Свобода

А это

Мордор

Атаки Майор-In-The-Middle при помощи сертификата гос услуг еще

Да

[Fali]

Это мне напоминает книгу Джорджа Оруелла "1984", там точно было про Майор-In-The-Middle и госуслуги

[bit8]

Возможно вам подправить нужно инструкцию.
Для Windows пусть другой C:\Users\<Пользователь>\.docker\daemon.json

[Timeweb_Cloud]

Добавили в инструкцию пример для подключения на Windows с Docker Desktop

[Boilerplate]

И результирующий конфиг может выглядеть примерно так (у меня уже была там какая-то инфа по умолчанию):

{
"builder": {
"gc": {
"defaultKeepStorage": "20GB",
"enabled": true
}
},
"experimental": false,
"registry-mirrors" : [ "https://dockerhub.timeweb.cloud" ]
}

[range-kun]

Скоро во всех пайплайнах страны: https://huecker.io/

[Artarik]

осталось убедиться, что там именно те образы, которые нужны, без закладок и прочего, иначе наступит полный CDEK

[rsashka]

наступит полный CDEK

Это нужно в мемориз :-)

[Shaman_RSHU]

В соседних статьях комментаторы так не считают. Сразу раз раз и в прод

[Flux]

Докер, докер...

[mayorovp]

Увы, вычислен и заблокирован

[GennPen]

В Home Assistant тоже нужно будет прописывать зеркала?

[JekaKey]

Разумеется

[GennPen]

Не понятно куда у него прописывать конфиг.

[Barnaby]

Сам HA на гитхабе образы хостит, но какие-то аддоны могут лежать в докерхабе (z2m, mosquitto).

[GennPen]

Он работает на своей HA OS, доступа к root в консоли на сколько понял нет. Пока пустил на роутере его в обход через ВПН.

[Barnaby]

В чате вот такой изврат предлагают https://t.me/homassistant/764744

[GennPen]

Еще бы пошаговую инструкцию для тупых как я. А то у меня что то не получается, видать где то не то делаю.

[GennPen]

В телеге добавили инструкцию: https://t.me/homassistant/764577

[VladaFro]

Спасибо!

[akaluth]

Как вы вообще относитесь к подобного рода зеркалам на своей инфре? Хочу поднять несколько штук для другого софта блокирующего доступ с айпишников РФ, тряпками не погоните?

[Timeweb_Cloud]

Здравствуйте! Нам в целом нормально, но пожалуйста, подбирайте полосу разумно: если вы хотите гиг и выше лучше взять дедик

Разумеется, наш TOS все еще применяется и за абузами мы следим.

[Dark_zarich]

Подскажите, а ваши IP вне РФ не блочит openai? Подумываю к вам переехать

[Timeweb_Cloud]

По-разному, некоторые пулы блочатся, некоторые нет, в целом, даже если с первого раза VDS попадется с заблокированным в openai адресом, то со 2-3 наверняка попасть можно в чистый.

[Pulcomaru]

У меня со "старта" никогда не блочил. Кейс был, что через месяц опенай заблокировал айпишник, по причине подозрительной активности, их саппорт это вообще не вариант решения проблемы - накатил прокси и заработало вновь

[akaluth]

Зашел на сайт, посмотрел цены, всё неплохо

@

Зарегистрировался

@

В админке пишут что цены вот-вот станут совсем другие

Окей, кажется вопрос не актуален...)

[IKStantin]

Да почти вдвое цены они подняли. С 5 июня тарифы общедоступно выложат. Сейчас только предварительно пдф-ку выложили в новостях для клиентов.

[FreeNickname]

Спасибо!

Ещё очень кстати была бы инструкция, как поднять такое зеркало самому. Это как раз, во-первых, устраняет риск MitM, во-вторых, вам тоже по тематике подходит, ведь разворачивать-то это зеркало где-то нужно :)

Бонусные очки за то, как можно (если можно) обезопасить доступ к этому зеркалу, чтобы пользоваться им могли только определённые клиенты.

[FF_hunter]

Подозреваю, что там под капотом обычный http/socks proxy. По защите, можно ограничить доступ к порту прокси стандартным iptables для всех, кроме белого списка ip адресов/подсетей. А если там действительно окажется тривиальный прокси-сервер, то можно конфигом задать пару логин+пароль для подключения.

[mizugoji]

зачем вам своё зеркало, используйте http/socks прокси

[Timeweb_Cloud]

Мы в ближайшее время подготовим сборку и каждый сможет запустить в один клик собственный прокси.

[mizugoji]

Пытаюсь заставить работать докер 20.10.24 на дебиане-12 через стандартный функционал HTTP_PROXY, но почему то запросы не идут через прокси сервер. Как будто настройки игнорируются.

На официальной документации в файл /etc/docker/daemon.json надо добавить блок кода:

  "proxies": {
    "http-proxy": "http://proxy.example.com:80",
    "https-proxy": "https://proxy.example.com:443",
    "no-proxy": "*.test.example.com,.example.org"
  },

но эти настройки почему то игнорируется.

Попробуйте пожалуйста кто нибудь этот вариант. Всёш как никак класический http прокси никто не отменял.

[mizugoji]

Видимо эти настройки завезли чуть позже.

Для докера 20.10 решение такое:
nano /etc/systemd/system/docker.service.d/http-proxy.conf

[Service]
Environment="HTTP_PROXY=http://192.168.1.3:8080"
Environment="HTTPS_PROXY=http://192.168.1.3:8080"
Environment="NO_PROXY=.sock,127.0.0.0/8,192.168.1.0/24,10.0.0.0/8"

systemctl daemon-reload && systemctl restart docker.socket && systemctl restart docker

Через SOCKS5 тоже работает.

[Service]
Environment="HTTP_PROXY=socks5://user:pass@192.168.1.3:1080"
Environment="HTTPS_PROXY=socks5://user:pass@192.168.1.3:1080"
Environment="NO_PROXY=.sock,127.0.0.0/8,192.168.1.0/24,10.0.0.0/8"

И всё работает как и раньше. Благодарите.
Если кому помог заплюсуйте, а то в прошлом комменте меня заминусовали, а я переживаю за карму.

[ibex]

.


[mizugoji]

можно и в сам ~/.docker/config.json дописать: "proxies"

эта настройка видимо для более поздних версий докера. В 20.10 она игнорируется к сожалению.

[McAllen]

Ну аналогично с timeweb сейчас и другие поднимают проксирование как могут. Аналогично этому одно из новых зеркал:
{
"registry-mirrors": [
"https://dcr-px.ru"
]
}

[kinderbug]

Спасибо! Я чайник (метафорически), смогу ли я пушить образы через такой прокси? Или только пул?

[Timeweb_Cloud]

Пушить по идее можно, но надо бы на всякий случай потестить.

[Jhoony]

Можно инструкцию для Mac добавить? если что, путь до файла nano ~/.docker/daemon.json

[Timeweb_Cloud]

Инструкцию сделаем.

[mastercode]

а у меня одного пуш не работает, только pull?

[Jhoony]

Скорость загрузки образа, к сожалению, очень медленная

[qeeveex]

А зачем вы скопипастили huecker.io и не упомянули про оригинал? Ну и надпись про то что сделано в timeweb... мягко говоря не совсем честная.

[lrrr11]

добавьте пожалуйста инструкцию для podman (который по моему мнению в принципе удобнее для пользовательского ПК, чем оригинальный docker. rootless-образы из коробки, работает под виндой с макосью)

$ cat /etc/containers/registries.conf.d/10-mirror.conf
[[registry]]

prefix = "docker.io"
location = "docker.io"

[[registry.mirror]]
prefix = "docker.io"
location = "dockerhub.timeweb.cloud"

/etc/containers.registries.conf напрямую лучше не править, т.к. этот файл обычно является частью пакета. При обновлении последнего вы получите либо отмену изменений, либо /etc/containers/registries.conf.pacnew, либо кто знает что еще.

[aandrosov]

пуллить образы я могу, а что на счет пуша?

[Hemml]

Спасибо!

А что касается MITM, то после случившегося я бы и докерхабу уже не доверял. Мало ли что они будут отдавать в нашу сторону. Если начинаешь бороться за демократию, то трудно бывает остановиться)

[bO_oblik]

Вот-вот, на пустом месте выставили себя дураками во всех смыслах. Ведь теперь им даже и мониторинг(слежку) сложное осуществлять и сложнее подложить "свинью" конкретному человеку.

[Hrust73]

Добавил строку в /etc/docker/daemon.json - { "registry-mirrors" : [ "https://dockerhub.timeweb.cloud" ] }

Ничего не изменилось =\ так же самая ошибка

[mayorovp]

У вас никак не может быть сейчас та же самая ошибка, потому что доступ-то открыли.

А вообще, вы забыли сделать команду systemctl reload docker.service и разлогиниться.