TIL :

Note: With hairpin NAT enabled (--userland-proxy=false), containers port exposure is achieved purely through iptables rules, and no attempt to bind the exposed port is ever made. This means that nothing prevents shadowing a previously listening service outside of Docker through exposing the same port for a container. In such conflicting situation, Docker created iptables rules will take precedence and route to the container.

So in my usecase, it had a really awful side effect. A gossiping application was getting the server's interface as side effect of a loopback communication.

Not bad multistage build

via blue, je teste!

[edit après test]

marche pas pour mon use case, dommage ^^

via blue, je teste!

new flavour of container stuff

Un article assez juste sur certains aspects, un peu moins sur d'autre

Après deux ans de docker en prod, le produit n'est pas parfait, il a ses qualités et ses défauts... il ne faut ni sombrer dans le déni de fanboy ni dans la chasse aux sorcière comme certains abrutis le font :-)

c'est un putain de logiciel, qui fait des trucs !

des tartes dans la gueule qui se perdent

Dockerd config

Un overlay open source à mesos/k8s et swarm, je jette un oeil

tellement folle cette meuf, elle dockerize TOUT :D ceci dit c'est un excellent use case de ce qu'il est possible de faire userside pour isoler les applications les unes des autres et des différents uses cases pour monter un display sur un docker :)

un genre d'extension à docker-compose qui m'a l'air useless

un article intéressant sur le testing de deployment via docker, sauf que ça demande de réécrire tous les playbooks avec des local_action du coup, pas sûr que ça soit un gain de temps par rapport au fait de faire pop une vm template :/

via blue

subuser - Run programs on linux with selectively restricted permissions.

Une façon smart d'approcher la containerisation via systemd, pas que je m'y essayerai vu comme ça a l'air pratique de ship des apps comme ça mais ça fonctionne :)