Bug 41582 - не работает резолвер в официальном докер-контейнере p10
Summary: не работает резолвер в официальном докер-контейнере p10
Status: NEW
Alias: None
Product: Docker
Classification: Virtualization
Component: Official image (show other bugs)
Version: не указана
Hardware: x86_64 Linux
: P5 normal
Assignee: geochip@altlinux.org
QA Contact: obirvalger@altlinux.org
URL:
Keywords:
Depends on:
Blocks:
 
Reported: 2021-12-16 19:02 MSK by Anton Farygin
Modified: 2024-05-31 16:31 MSK (History)
6 users (show)

See Also:


Attachments

Note You need to log in before you can comment on or make changes to this bug.
Description Anton Farygin 2021-12-16 19:02:14 MSK
в нашем официальном докер контейнере не работает резолвинг имён, пока не сделаешь update_chrooted all

и это приводит к массе проблем у запускаемых сервисов.
Comment 1 Anton Farygin 2021-12-16 19:03:45 MSK
@ldv я так понял по объяснению Миши, что в докер-контейнере невозможно при каждом запуске делать update_chrooted.

Соответственно остаётся только один вариант - это опционально вытащить резолвер из чрута.

Может быть такая настройка уже есть ? я просто не в курсе.
Comment 2 Anton Farygin 2021-12-16 19:13:13 MSK
хотя не работает в любом официальном докер контейнере.
Comment 3 Dmitry V. Levin 2021-12-16 19:26:00 MSK
(In reply to Anton Farygin from comment #1)
> @ldv я так понял по объяснению Миши, что в докер-контейнере невозможно при
> каждом запуске делать update_chrooted.

Каждый, кто может поменять /etc/resolv.conf в контейнере, может запустить update_chrooted в нём.
Comment 4 Anton Farygin 2021-12-16 19:27:24 MSK
может, но он про это никогда не узнает, т.к. в докере запускается приложение, а не скрипты.

есть ENTRYPOINTS, но для официального образа их делать бесмысленно, т.к. выполняется только последний и будет перезаписан первым же Dockerfile.
Comment 5 Anton Farygin 2021-12-16 19:28:25 MSK
т.е. - остаётся только патчить сам докер на этот предмет, но проблема в том, что врятли такой alt-specific патч попадёт в апстрим, а хостом для альта может быть не только альт.
Comment 6 Dmitry V. Levin 2021-12-16 20:40:00 MSK
(In reply to Anton Farygin from comment #4)
> может, но он про это никогда не узнает, т.к. в докере запускается
> приложение, а не скрипты.

То же самое касается и обычной системы: если приложение меняет /etc/resolv.conf, то оно должно выполнить update_chrooted conf.
Единственное, чем обычная система отличается от докера в лучшую сторону - при старте системы на всякий случай выполняется update_chrooted, а в случае с docker, как ты написал, этого не происходит.

> есть ENTRYPOINTS, но для официального образа их делать бесмысленно, т.к.
> выполняется только последний и будет перезаписан первым же Dockerfile.

Получается, что приложение, которое меняет /etc/resolv.conf, обязано выполнить update_chrooted conf самостоятельно.
Comment 7 Alexey Shabalin 2021-12-16 21:19:05 MSK
Я не понимаю, как связаны nginx и update_chrooted. Может кто-нибудь объяснить?
Comment 8 Dmitry V. Levin 2021-12-16 21:22:15 MSK
(In reply to Alexey Shabalin from comment #7)
> Я не понимаю, как связаны nginx и update_chrooted. Может кто-нибудь
> объяснить?

update_chrooted связан с ping'ом.
Если nginx запускает ping, то nginx связан с update_chrooted, если нет, то нет.
Comment 9 Anton Farygin 2021-12-16 21:47:11 MSK
я тоже не понимаю, но резолвинг имён uplink'ов в nginx не работает, пока не сделать update_chrooted.

А не работает он по простой причине:
/var/resolv/etc/resolv.conf - пустой.
Comment 10 Dmitry V. Levin 2021-12-16 22:51:58 MSK
(In reply to Anton Farygin from comment #9)
> я тоже не понимаю, но резолвинг имён uplink'ов в nginx не работает, пока не
> сделать update_chrooted.
> 
> А не работает он по простой причине:
> /var/resolv/etc/resolv.conf - пустой.

Может, спросить мантейнера nginx, каким образом nginx использует /var/resolv/etc/resolv.conf?

Можно ведь и update_chrooted conf выполнять на старте nginx, если это действительно нужно.
Comment 11 Anton Farygin 2021-12-17 09:40:50 MSK
nginx заработал, Миша что-то поправил в образе докера для nginx.
Но ping всё ещё не работает.
Comment 12 obirvalger@altlinux.org 2021-12-17 15:02:52 MSK
Сделал для nginx специальный образ, который с помощью специального entrypoint.sh перед запуском самого nginx, запускает update_chrooted all. Но в базовом образе это безполезно делать, так как при построении новых образов от него поля ENTRYPOINT и CMD не наследуются. А напрямую задаются тем, кто делает производный образ.
Comment 13 Anton Farygin 2021-12-17 15:04:13 MSK
да, ping у меня тоже работает с новым образом nginx.

Но проблема с базовым образом остаётся - все наши пользователи должны не забыть написать правильный entrypoint
Comment 14 obirvalger@altlinux.org 2021-12-17 15:27:41 MSK
Сделал для nginx специальный образ, который с помощью специального entrypoint.sh перед запуском самого nginx, запускает update_chrooted all. Но в базовом образе это безполезно делать, так как при построении новых образов от него поля ENTRYPOINT и CMD не наследуются. А напрямую задаются тем, кто делает производный образ.
Comment 15 Dmitry V. Levin 2021-12-17 16:16:17 MSK
(In reply to obirvalger@altlinux.org from comment #14)
> Сделал для nginx специальный образ, который с помощью специального
> entrypoint.sh перед запуском самого nginx, запускает update_chrooted all.

Кто-нибудь знает, зачем это нужно для самого nginx?
Мне очень не нравится, что вы вносите какие-то изменения, не понимая природы явления.

> в базовом образе это безполезно делать, так как при построении новых образов
> от него поля ENTRYPOINT и CMD не наследуются. А напрямую задаются тем, кто
> делает производный образ.

А кто, когда, и зачем меняет /etc/resolv.conf?
Comment 16 Anton Farygin 2021-12-17 16:20:54 MSK
Дима, nginx использует обычный gethostbyname для резолвинга хостов по имени из pool'а.
Comment 17 Dmitry V. Levin 2021-12-17 16:25:28 MSK
(In reply to Anton Farygin from comment #16)
> Дима, nginx использует обычный gethostbyname для резолвинга хостов по имени
> из pool'а.

Обычный gethostbyname смотрит в обычные /etc/nsswitch.conf и /etc/resolv.conf,
а не в /var/resolv/.

Поэтому я и спрашиваю, что такого необычного делает nginx, что ему важно содержимое /var/resolv/.
Comment 18 Anton Farygin 2021-12-17 16:31:54 MSK
я посмотрю попозже, сейчас мне некогда. По коду ничего такого специального не видно, надо его погонять под отладкой.
Comment 19 obirvalger@altlinux.org 2021-12-17 16:35:16 MSK
> А кто, когда, и зачем меняет /etc/resolv.conf?

Докер при запуске контейнера задает /etc/resolv.conf. Вся сеть настраивается докером снаружи, в самом контейнере не происходит настройки сети.
Comment 20 Dmitry V. Levin 2021-12-17 17:10:02 MSK
(In reply to obirvalger@altlinux.org from comment #19)
> > А кто, когда, и зачем меняет /etc/resolv.conf?
> 
> Докер при запуске контейнера задает /etc/resolv.conf. Вся сеть настраивается
> докером снаружи, в самом контейнере не происходит настройки сети.

Т.е. докер тупо несовместим с ALT с момента появления docker и по настоящий день?

Получается, что нужно пропатчить docker и/или использовать другой инструмент для корректного запуска docker-контейнеров.

(это не объясняет таинственный эффект nginx, но объясняет эффект ping)
Comment 21 obirvalger@altlinux.org 2021-12-17 17:13:51 MSK
(Ответ для Dmitry V. Levin на комментарий #20)
> Т.е. докер тупо несовместим с ALT с момента появления docker и по настоящий
> день?

Да.
Comment 22 Anton Farygin 2021-12-18 10:05:38 MSK
я допускаю что с nginx была какая-то ещё одна проблема, не связанная с ping. Но т.к. в нашем докер контейнере есть только ping из инструментов для диагностики резолвинга, а он не работает, то я и подумал что проблема с резолвингом.

Это не отменяет необходимости сделать альт совместимым с докером. а так же с другими типами контейнеров, у которых нет процесса иникиализации и приложение запускается в изолированном окружении.