Комментарии 64
Это все прекрасно, но все эти прокси обладают одним существенным недостатком - неопределенный уровень доверия из-за неконтролируемого MITM.
А в чем конкретно угроза "неконтролируемого MITM", если все образы подписаны?
Вопрос лишь в том, с чем эту самую подпись сверять
Подпись образов (DCT) необходимо отдельно генерировать и проверять, а то что у образов есть хэши - так они прописаны в манифестах, которые с того-же прокси приходят. Хотя можно указывать конкретный хэш после названия каждого образа, конечно, но такое ...
Ну, тут уж без вариантов: в сложившейся ситуации вроде работает - и на том спасибо.
Про MITM не знаем даже что и ответить, тут скорее вопрос доверия к провайдеру, мы такими вещами точно заниматься не планируем
я не про вас, в частности, а про некий hueker, в целом.
Хуёкер сам второй или третьей строчкой говорит, что он не предназначен для прода.
Можно подумать, тачка разработчика, на которой, пусть даже к исходникам так просто не подобраться, но зато артифакты гоняются с debug обвесом, менее ценный ресурс.
Действительно, не предназначен. Сегодня пробовали для дев контура настроить через него - он начал выдавать 500 спустя пол часа. В итоге завернули трафик через VPN площадку до оригинала.
То есть неконтроллируемого? Вы доверяете сертификатам которые подписаны CA которому вы доверяете. Или вы и им тоже не доверяете? Тогда, зачем стоят?
Возможно вам подправить нужно инструкцию.
Для Windows пусть другой C:\Users\<Пользователь>\.docker\daemon.json
Добавили в инструкцию пример для подключения на Windows с Docker Desktop
И результирующий конфиг может выглядеть примерно так (у меня уже была там какая-то инфа по умолчанию): {
"builder": {
"gc": {
"defaultKeepStorage": "20GB",
"enabled": true
}
},
"experimental": false,
"registry-mirrors" : [ "https://dockerhub.timeweb.cloud" ]
}
Скоро во всех пайплайнах страны: https://huecker.io/
В Home Assistant тоже нужно будет прописывать зеркала?
Разумеется
Сам HA на гитхабе образы хостит, но какие-то аддоны могут лежать в докерхабе (z2m, mosquitto).
Он работает на своей HA OS, доступа к root в консоли на сколько понял нет. Пока пустил на роутере его в обход через ВПН.
В чате вот такой изврат предлагают https://t.me/homassistant/764744
Еще бы пошаговую инструкцию для тупых как я. А то у меня что то не получается, видать где то не то делаю.
В телеге добавили инструкцию: https://t.me/homassistant/764577
Спасибо!
Как вы вообще относитесь к подобного рода зеркалам на своей инфре? Хочу поднять несколько штук для другого софта блокирующего доступ с айпишников РФ, тряпками не погоните?
Здравствуйте! Нам в целом нормально, но пожалуйста, подбирайте полосу разумно: если вы хотите гиг и выше лучше взять дедик
Разумеется, наш TOS все еще применяется и за абузами мы следим.
Подскажите, а ваши IP вне РФ не блочит openai? Подумываю к вам переехать
По-разному, некоторые пулы блочатся, некоторые нет, в целом, даже если с первого раза VDS попадется с заблокированным в openai адресом, то со 2-3 наверняка попасть можно в чистый.
У меня со "старта" никогда не блочил. Кейс был, что через месяц опенай заблокировал айпишник, по причине подозрительной активности, их саппорт это вообще не вариант решения проблемы - накатил прокси и заработало вновь
Зашел на сайт, посмотрел цены, всё неплохо
@
Зарегистрировался
@
В админке пишут что цены вот-вот станут совсем другие
Окей, кажется вопрос не актуален...)
Спасибо!
Ещё очень кстати была бы инструкция, как поднять такое зеркало самому. Это как раз, во-первых, устраняет риск MitM, во-вторых, вам тоже по тематике подходит, ведь разворачивать-то это зеркало где-то нужно :)
Бонусные очки за то, как можно (если можно) обезопасить доступ к этому зеркалу, чтобы пользоваться им могли только определённые клиенты.
Подозреваю, что там под капотом обычный http/socks proxy. По защите, можно ограничить доступ к порту прокси стандартным iptables для всех, кроме белого списка ip адресов/подсетей. А если там действительно окажется тривиальный прокси-сервер, то можно конфигом задать пару логин+пароль для подключения.
зачем вам своё зеркало, используйте http/socks прокси
Мы в ближайшее время подготовим сборку и каждый сможет запустить в один клик собственный прокси.
Пытаюсь заставить работать докер 20.10.24 на дебиане-12 через стандартный функционал HTTP_PROXY, но почему то запросы не идут через прокси сервер. Как будто настройки игнорируются.
На официальной документации в файл /etc/docker/daemon.json
надо добавить блок кода:
"proxies": {
"http-proxy": "http://proxy.example.com:80",
"https-proxy": "https://proxy.example.com:443",
"no-proxy": "*.test.example.com,.example.org"
},
но эти настройки почему то игнорируется.
Попробуйте пожалуйста кто нибудь этот вариант. Всёш как никак класический http прокси никто не отменял.
Видимо эти настройки завезли чуть позже.
Для докера 20.10 решение такое:nano /etc/systemd/system/docker.service.d/http-proxy.conf
[Service]
Environment="HTTP_PROXY=http://192.168.1.3:8080"
Environment="HTTPS_PROXY=http://192.168.1.3:8080"
Environment="NO_PROXY=.sock,127.0.0.0/8,192.168.1.0/24,10.0.0.0/8"
systemctl daemon-reload && systemctl restart docker.socket && systemctl restart docker
Через SOCKS5 тоже работает.
[Service]
Environment="HTTP_PROXY=socks5://user:pass@192.168.1.3:1080"
Environment="HTTPS_PROXY=socks5://user:pass@192.168.1.3:1080"
Environment="NO_PROXY=.sock,127.0.0.0/8,192.168.1.0/24,10.0.0.0/8"
И всё работает как и раньше. Благодарите.
Если кому помог заплюсуйте, а то в прошлом комменте меня заминусовали, а я переживаю за карму.
Ну аналогично с timeweb сейчас и другие поднимают проксирование как могут. Аналогично этому одно из новых зеркал:{
"registry-mirrors": [
"https://dcr-px.ru"
]
}
Спасибо! Я чайник (метафорически), смогу ли я пушить образы через такой прокси? Или только пул?
Можно инструкцию для Mac добавить? если что, путь до файла nano ~/.docker/daemon.json
а у меня одного пуш не работает, только pull?
Скорость загрузки образа, к сожалению, очень медленная
А зачем вы скопипастили huecker.io и не упомянули про оригинал? Ну и надпись про то что сделано в timeweb... мягко говоря не совсем честная.
![](https://habrastorage.org/getpro/habr/upload_files/66a/783/291/66a783291c9f78ec39633635061d99b8.png)
![](https://habrastorage.org/getpro/habr/upload_files/385/f97/8bf/385f978bf113a5f44cbe854c7c244a9e.png)
добавьте пожалуйста инструкцию для podman (который по моему мнению в принципе удобнее для пользовательского ПК, чем оригинальный docker. rootless-образы из коробки, работает под виндой с макосью)
$ cat /etc/containers/registries.conf.d/10-mirror.conf
[[registry]]
prefix = "docker.io"
location = "docker.io"
[[registry.mirror]]
prefix = "docker.io"
location = "dockerhub.timeweb.cloud"
/etc/containers.registries.conf
напрямую лучше не править, т.к. этот файл обычно является частью пакета. При обновлении последнего вы получите либо отмену изменений, либо /etc/containers/registries.conf.pacnew
, либо кто знает что еще.
пуллить образы я могу, а что на счет пуша?
Спасибо!
А что касается MITM, то после случившегося я бы и докерхабу уже не доверял. Мало ли что они будут отдавать в нашу сторону. Если начинаешь бороться за демократию, то трудно бывает остановиться)
Добавил строку в /etc/docker/daemon.json - { "registry-mirrors" : [ "https://dockerhub.timeweb.cloud" ] }
Ничего не изменилось =\ так же самая ошибка
Бесплатный прокси к Docker Hub