2
Docker-Container hinter Proxy
Hallo,
in meiner Firma haben wir einen IT-Dienstleister und einen Zwangsproxy.
Der Proxy gilt nicht nur für die Clients, sondern auch für sämtliche Server (also auch virtuelle Server die beim Dienstleister im RZ stehen, die uns der Dienstleister bestenfalls bis Oberkante Betriebssystem bereitstellt).
Jetzt gedenken wir Docker einzusetzen... leider waren die ersten Experimente nicht besonders befriedigend, da in viele Docker-Container auch der Proxy bekannt gemacht werden muß, da viele Anwendungen eben doch 'ein bisschen' Internet benötigen (seien es z.B. Verbindung zu offiziellen Timestamp-Servern beim Buildprozess). Bei vielen Images ist gar nicht direkt vorgesehen einen Proxy an den passenden Stellen einzupflanzen.... zumal es häufig NICHT damit getan ist, unter Linux die Umgebungsvariablen zu setzen (zumal es schon schade ist, dass man dafür kein PAC-Script einsetzen kann)... den Proxy muß man manchmal an gefühlten 150 Stellen eintragen
Wie löst ihr das? Oder steht euer Docker-Host irgendwo im Netzwerk wo kein Proxy-Zwang herrscht?
Danke
Gruß
Dieter
in meiner Firma haben wir einen IT-Dienstleister und einen Zwangsproxy.
Der Proxy gilt nicht nur für die Clients, sondern auch für sämtliche Server (also auch virtuelle Server die beim Dienstleister im RZ stehen, die uns der Dienstleister bestenfalls bis Oberkante Betriebssystem bereitstellt).
Jetzt gedenken wir Docker einzusetzen... leider waren die ersten Experimente nicht besonders befriedigend, da in viele Docker-Container auch der Proxy bekannt gemacht werden muß, da viele Anwendungen eben doch 'ein bisschen' Internet benötigen (seien es z.B. Verbindung zu offiziellen Timestamp-Servern beim Buildprozess). Bei vielen Images ist gar nicht direkt vorgesehen einen Proxy an den passenden Stellen einzupflanzen.... zumal es häufig NICHT damit getan ist, unter Linux die Umgebungsvariablen zu setzen (zumal es schon schade ist, dass man dafür kein PAC-Script einsetzen kann)... den Proxy muß man manchmal an gefühlten 150 Stellen eintragen
Wie löst ihr das? Oder steht euer Docker-Host irgendwo im Netzwerk wo kein Proxy-Zwang herrscht?
Danke
Gruß
Dieter
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 357201
Url: https://administrator.de/contentid/357201
Ausgedruckt am: 22.11.2024 um 06:11 Uhr
2 Kommentare
Neuester Kommentar
Hallo,
hast Du die dockerdoc's diesbezueglich durchgelesen ?
https://docs.docker.com/engine/admin/systemd/
Du musst den Proxy bekannt geben dann sollte es fuer die container kein Problem sein, derweil ja der Host das Netzwerk stellt.
Sonst muesstest Du ja fuer jeden Container eine eigen Netzwerkconfig haben.
Gruss
hast Du die dockerdoc's diesbezueglich durchgelesen ?
https://docs.docker.com/engine/admin/systemd/
Du musst den Proxy bekannt geben dann sollte es fuer die container kein Problem sein, derweil ja der Host das Netzwerk stellt.
Sonst muesstest Du ja fuer jeden Container eine eigen Netzwerkconfig haben.
Gruss
Das einzige was damit wohl getan wird, ist die Environment-Variable im Container entsprechend zu setzen.
Leider ist es technisch quasi nicht möglich einen HTTP(s)-(Zwangs-)Proxy wieder "unsichtbar" (transparent) für den Container zu machen. Bei HTTP funktioniert das mehr oder weniger, bei HTTPS wird es ohne die Verbindung aufzubrechen quasi unmöglich.
Das einzige was Docker hier wahrscheinlich tut, ist die Umgebungsvariablen HTTP_PROXY und HTTPS_PROXY im Container vorzubelegen.
Es gibt aber zahlreiche andere Stellen in den Containern in denen ein Proxy gesetzt werden kann/muß (z.B. zahlreiche Webanwendungen, APT, Python...)
Leider ist es technisch quasi nicht möglich einen HTTP(s)-(Zwangs-)Proxy wieder "unsichtbar" (transparent) für den Container zu machen. Bei HTTP funktioniert das mehr oder weniger, bei HTTPS wird es ohne die Verbindung aufzubrechen quasi unmöglich.
Das einzige was Docker hier wahrscheinlich tut, ist die Umgebungsvariablen HTTP_PROXY und HTTPS_PROXY im Container vorzubelegen.
Es gibt aber zahlreiche andere Stellen in den Containern in denen ein Proxy gesetzt werden kann/muß (z.B. zahlreiche Webanwendungen, APT, Python...)
