Docker hub не работает в России?

Похоже кто-то на стороне GeoIP опять запихал весь юг России в Крым

Не только юг.

Ну если бы они принципиально всю Россию сами запихали в бан, я думаю в списке забаненных стран ее бы тоже перечислили, не? А так это пока похоже на факап, хотя нельзя конечно исключать вариант что забыли показываемый список обновить :-/

Так ведь уже ответили на хабре, что и РФ тоже в бане.

Ну и к.. с ними.

Да, у меня та же фигня. МСК + ростелеком + ff из android (мимопроходил)

Если чо у меня друг пробовал открыть сайт в Питере провайдер SkyNet. У него тоже самое :(

С адресом в СПб тоже не открывается. Да и пофиг.

Вот бы они насовсем забанились. И как часто случается, полезные блокировки почему-то делает на РКН, который должен охранять граждан от иностранных помоек, а помойки самозабаниваются из России.

Имя домена в «UPDATE 2» вполне отражает суть.

В «UPDATE 3» - чья-то запоздалая первоапрельская шутка.

К счастью, фиксится одной строчкой. Вознесем же хвалу гуглу за его великое зеркало. Представляю сколько сейчас всяких автодеплоев переломалось :)

https://www.docker.com/blog/dockers-response-to-the-invasion-of-ukraine/

Представляю сколько сейчас всяких автодеплоев переломалось :)

Потому что пора бы уже привыкнуть, что закладываться на доступность публичных ресурсов где-то в интернете — дурная практика.

Потому что пора бы уже привыкнуть, что закладываться на доступность публичных ресурсов где-то в интернете — дурная практика.

Да уж сколько лет жрут, да еще и причмокивают. Причем это касается не только докера с его централизованным хабом, но и в целом облаков.

Я вот до сих пор не могу понять, почему люди в здравом уме завязывают свою инфраструктуру на какого-то левого дядю, который пусть даже мамой клянется, что с данными ничего не будет, и вообще он, дескать, дофига надежный чувак. Я не понимаю, как можно хранить корпоративные данные в нешифрованном виде в гуглодоке, даже если там корпоративный тариф и прочее. Как можно вести проекты и Слаке/Трелло/итд, где в любой момент все может просто исчезнуть (помните, как Слак два года назад просто взял и удалил рабочие пространства компаний со всеми данными, причем несмотря на оплату в несколько мульенов в год?). Как можно завязывать инфру на управляемые коммтатуры циски, завязанные на их облако (с доступом туда левых вообще людей). Как можно завязывать сборку критических приложений на помойки типа ноды, мавен-централа или докерхаба. Я когда вижу, сколько всего тянет сборка спринга с централа — у меня немного волосы на голове шевелятся, потому что выглядит это как ДЫРИЩА просто в безопасности. И особенно весело будет, когда перекроют доступ к этому все, что щас и продемонстрировал уже докерхаб.

Щас вот во всех кластерах, где образы пулились напрямую из хаба, а не со своих зеркал, посыпались ошибки, что не может быть выкачано ничего. То есть полетело просто все куда-то в задницу — все пайплайны, вся работа… И хорошо еще, что кубы при ErrPull не уронят все, а просто не переключатся на новый под, а если кто-то криворук, и сначала грохнет старое, а потом будет тянуть новое?

В общем, все это выглядит как какой-то путь в задний проход, но почему-то все вокруг радостно этому улюлюкают и громогласно заявляют, что так и надо. Причем не только упоранты типа нас тут на ЛОРе, но и крупные компании и прошаренные ИТ-спецы.

Щас в качестве решения предлагают использовать какие-то промежуточные публичные зеркала, мол это решение проблемы. Но ведь где гарантии, что где-то там не подсунут вредонос? Не отдадут тебе битый образ или вообще майнеры?

Наверное, я слишком стар для этого дерьма (с).

З.Ы. Нихрена ведь это никому никого не научит. Все продолжат мракобеситься с облаками…

Ничё, веб-макаки сейчас «поправят одну строчку» по примеру KillTheCat и продолжат сиё непотребство.

Я вот до сих пор не могу понять, почему люди в здравом уме завязывают свою инфраструктуру на какого-то левого дядю, который пусть даже мамой клянется, что с данными ничего не будет

Так ведь выбора нет. Либо делаешь всё сам лично, либо доверяешься другим людям. Поскольку первый вариант за пределами хелловорлда-на-локалхосте не работает, то приходится открывать себя миру. Чтобы не было так больно, существуют юридически обязывающие договора и тут нет разницы между договором найма с сотрудником и договором на оказание услуги с облачным провайдером. В случае когда законы работают (т.е. исключаем западные сервисы сразу) второе даже надёжнее. Сотрудника-раздолбая можно максимум уволить, а за нарушение SLA можно натравить свой юридический отдел, пускай воюет. Может и стрясёт чего.

Дальше начинается управление рисками и финансами. Что дешевле и надёжнее, создавать всё с нуля и контролировать самим, либо купить готовое задорого, либо понадеяться на авось и сохранить деньги (тоже путь, на самом деле). Например, создать локальное хранилище артефактов просто и дёшево, а спасает от кучи проблем. Значит надо делать. А вот строить свой ЦоД (если это не твой основной бизнес) с нуля — уже очень сомнительная идея. Как-то между ними и балансируем.

Что за история?

кек

Я вот до сих пор не могу понять, почему люди в здравом уме завязывают свою инфраструктуру на какого-то левого дядю

Да просто так дешевле и проще для «мелких» контор. Само собой всякие яндексы и ВК скорее всего делают свои «клоны» докерхабов, npm-ов и т.д. …

Для мелкой конторы так даже хорошо и правильно. Деньги нужно вкладывать в основной бизнес. Гаражной мастерской важнее купить новый станок или проплатить рекламу, чем вложиться в 99.99999% надёжную инфраструктуру и сидеть без заказов. Другое дело, что когда бизнес раскрутился, нужно найти волю и всё переделать (я видел, это больно). А иначе будет как со СДЭК’ом.

Согласен. А че со СДЭКОМ? Можно ссылку на драму?)

Какая история? Я про это Docker hub не работает в России? (комментарий)

Три дня лежал из-за вируса-шифровальщика (но это не точно): https://habr.com/ru/news/818051/

Читал ваш комментарий жопой. Извините.

Да, это случилось. Похоже уже пора привыкнуть к ограничениям. Лучше не будет в ближайшее время. Будем как-то выкручиваться. Либо зеркала, либо VPN.

Лучше не будет

То, что происходит, это и есть «лучше». Вспомните как двадцать лет назад все забивали и на надёжность, и на безопасность, везде использовали http и обычный сайт можно было положить, просто уснув лицом на клавиатуре. Увеличение количества угроз благодатно сказалось на качестве сетевой инфраструктуры. Так и здесь в результате мы получим более надёжную и устойчивую связь, способную пережить любые сбои. А-то позор вообще, интернет создавали на случай атомной войны, а теперь дошло до того, что умный унитаз в Шанхае не работает, потому как ЦоД в Калифорнии под лесной пожар попал, можете пока в ведро гадить мусорное …

https://habr.com/ru/news/818177/

уже чинимся https://python.breys.ru/page/unblock_docker_hub

а теперь дошло до того, что умный унитаз в Шанхае не работает, потому как ЦоД в Калифорнии под лесной пожар попал, можете пока в ведро гадить мусорное …

Кстати я придумал как кардинально пофиксить подобные проблемы, при этом не навредив лазанию в инет за какой-нить нужной информацией которой не повезло оказаться за границей. Надо сделать расписание работы трансграничных линий: допустим, работают с 10 до 12 утра и с 10 до 12 веера по Москве, а всё остальное время - наглухо отключены. Если кому надо что-то там найти - вот есть время, а сервисы, которые работают методом непрерывного подключения за границу, сломаются и будут заменены на нормальные. И никакие чрезмерно хитрые обходчики блокировок уже ничего не поделают (всякие попытки проложить полностью нелегальный канал, хоть кабелем, хоть по воздуху, отслеживаются и сажаются уже намного проще чем поиск проксей среди кучи разрешённых мест). Впрочем, отрицательный побочный эффект такого тоже, к сожалению, есть - иностранцы не смогут нормально посещать наши ресурсы. В том числе и на лоре заметная доля (наверно процентов 10) сидит из-за границы.

умный унитаз в Шанхае не работает,

кардинально пофиксить подобные проблемы

Ещё можно еду запретить, чтобы исправить проблему с недостатком туалетной бумаги, например.

Да нет, это совершенно ложная аналогия. Интернет, а отличие от еды, не самоценен. Ближе: запретить тор в рамках борьбы с наркоманией.

Я не уверен, кому вы пытаетесь сделать хуже?

Никому не хуже, я сделать лучше хочу. Чтоб сервисы работали корректно независимо от внешних факторов.

И как блокировка докерхаба с нашей стороны поможет от блокировки нас докерхабом?

«От блокировки» помогать не надо. Помогать надо от докера. Если благодаря блокировке (не важно с чьей стороны) хоть немного докероюзеров одумаются и выкинут эту пакость - станет лучше.

Впрочем ладно, судя по твоему тону - сам докер ты одобряешь. Я его не одобряю, но если на минуту согласиться, пользя всё равно будет: блокировка сподвигнет докероюзеров выкинуть ссылки на докерхаб и хранить всё что нужно локально на своих серверах, таким образом не ломаясь ни от каких проблем со связью наружу.

Я его не одобряю,

Альтернативы?

Что значит альтернативы? Я не вижу ему места в нормально построенной системе. Ни ему, ни его клонам-альтернативам.

Хочется следующего:

1. Единожды созданный исполняемый файл должен работать на всех более-менее современных дистрибутивах линукса.
2. По возможности устойчивая к проблемам воспроизводимости система сборки.
3. Исполняемый файл из интернета можно запускать в изолированной песочнице без страха.
4. Лёгкость создания воспроизводимых окружений.

сервисы, которые работают методом непрерывного подключения за границу, сломаются

Да.

и будут заменены на нормальные

Нет, это ты будешь вызывать такси и заказывать пиццу строго с 10 до 12 по Москве.

Пункт 1 напоминает усилия пхп-кодеров по тому. чтоб их скрипт работал на любом шаред-хостинге (они там всякие magic_quotes детектили, напихивали костыли чтоб скрипт работал одинаково независимо от этой штуки, дописывали эмуляторы функций из новых версий пхп в старые итд). Затемя сомнительная - нормальный проект должен быть в силах искать сервер под свои спеки, а не наоборот. Но решается довольно просто - собираешь под старым libc а все остальные библиотеки кладёшь рядом. Ну под ту же цель есть всякие флатпаки и снапы и, как удивительно, все они систематически оказываются такими же помойками как и докер.

Воспроизводимая система сборки с докером никак не связана. Вариант тут только один: скачать её перед использованием. Ну да, докер умеет скачивать что-то, но он для этого не нужен. Воспроизводимая система сборки в целом тоже не нужна, обычно наоборот стараются собирать в разных ОС по мере их выхода и проверять что нигде ничего не сломалось, а старые со временем дропают. Пункт 4 сюда же.

Пункт 3 невыполним, тебя взломают через дыру в ядре. А если ты надеешься что ядро не дырявое, то достаточно запустить программу из под отдельного uid:gid которые не имеют прав навредить.

Я ни разу не вызывал такси через интернет и никогда не заказывал пиццу. Но, очевидно, если какой-то лопух вздумает организовать сервис, работающий только с 10 до 12, его быстро выдавят с рынка конкуренты, сделавшие всё нормально.

Но решается довольно просто - собираешь под старым libc а все остальные библиотеки кладёшь рядом.

А теперь расширьте этот метод на любой язык программирования и добавьте чутка автоматизации.

Воспроизводимая система сборки с докером никак не связана.

Но у докера она есть и это прекрасно. Так что и у альтернативы тоже должна быть.

Воспроизводимая система сборки в целом тоже не нужна,

Хочется спокойно спать по ночам, зная, что на боевых серверах работает точно то же самое, что и было проверено на тестовых. Ну и ситуации, когда ВНЕЗАПНО нужно собрать такой же артефакт, как был на проекте полтора года назад, тоже бывают знаете ли.

стараются собирать в разных ОС по мере их выхода и проверять что нигде ничего не сломалось,

Это очень много работы, которую хотелось бы избежать.

Пункт 3 невыполним,

Как страшно жить!

достаточно запустить программу из под отдельного uid:gid

И в чруте. И в отдельном сетевом пространстве имён. И чтобы всё одной стандартной командой, если вы понимаете о чём я.

А теперь расширьте этот метод на любой язык программирования и добавьте чутка автоматизации.

Ничего не меняется. libc надо использовать старый, всё остальное класть рядом. Если твой язык не использует libc, то значит пункт про libc не актуален и остаётся только «всё положить рядом».

Но у докера она есть и это прекрасно. Так что и у альтернативы тоже должна быть.

Ещё раз повторю - это не фича докера. С тем же успехом воспроизводимую как сборку так и окружение тебе сделает wget+gunzip+tar.

Хочется спокойно спать по ночам, зная, что на боевых серверах работает точно то же самое, что и было проверено на тестовых.

Ну так ставь на них одинаковую ОС и всё будет норм.

И в чруте. И в отдельном сетевом пространстве имён. И чтобы всё одной стандартной командой, если вы понимаете о чём я.

Нет, достаточно отдельных uid:gid.

Вы вообще не понимаете, о чём говорите. Судя по всему вы программист, я прав?

Да нет, я всё понимаю. Программы писать умею, да.

Программы писать умею, да.

Этого мало, чтобы обсуждать админские темы. Вы не понимаете зачем нужен докер, потому что проблемы, которые он предотвращает, за вас решают другие люди.

если какой-то лопух вздумает организовать сервис, работающий только с 10 до 12, его быстро выдавят с рынка конкуренты

Если после вашего регуляционного экстаза ещё останется какой-то рынок — наверное %)

Это ты не понимаешь, зачем он НЕнужен.

За меня никто никакие ИТ-проблемы не решает. А вот я чужие - бывает, в т.ч. и с докерами.

Докер решает одну проблему - прячет костыли и прочие уродства с глаз, показывая наружу минимум. Но, повторюсь, речь шла про нормальные системы, а в нормальных системах уродства не прячут, их там нет.

Вспомните как двадцать лет назад все забивали и на надёжность, и на безопасность, везде использовали http и обычный сайт можно было положить, просто уснув лицом на клавиатуре.

Ну это даже 20 лет назад какой-то был совсем конченый сайт, если его можно было положить лицом на клавиатуре.

Кроме того, 20 лет назад на сайте редко что-то критическое для бизнеса было завязано.

Это ты не понимаешь, зачем он НЕнужен.

А ведь действительно. Что он делает лучше очевидно. А вот как он делает жизнь хуже — эту тему мы ещё не затрагивали. Начнёте?

За меня никто никакие ИТ-проблемы не решает.

Свой парадкокс Блаба есть и у админов.

20 лет назад на сайте редко что-то критическое для бизнеса было завязано.

Думаю это взаимосвязанные процессы: в интернет приходят деньги (и власть) → за деньгами приходят хакеры (и государство) → растёт общая инженерная культура.