Docker-контейнеры

Образы контейнера ClickHouse

Компания «Инфомаксимум» не добавляет неиспользуемые библиотеки или пакеты.

Образы контейнеров, контейнеры, параметры запуска контейнера, конфигурационные файлы контейнеров не хранят критичную информацию (пароли в файлах, hard-coded пароли, ключи, логины). Логины и хеш паролей приходят через Docker Secrets.

Образ контейнера был подписан компанией «Инфомаксимум».

Логирование ClickHouse

Контейнер с ClickHouse записывает логи в отдельный volume: infomaximumclickhouse-log. Для просмотра логов подключите и запустите контейнер с необходимым volume, например:

docker run -it --rm -v=infomaximum-clickhouselog:/ mnt/volume ubuntu bash

Внутри контейнера выполните:

tail -n 200 -f /mnt/volume/clickhouseserver.log

Логи хост машины не кастомизируются и располагаются по умолчанию в /var/log/….

Работа Docker Secrets

Применение секретов позволяет не передавать пароли и приватные ключи в открытом виде (в docker-контейнеры).

В настоящий момент через секреты передаются следующие значения:

• логин для подключения к clickhouse
• хеш-пароля для подключения к clickhouse
• сертификат (для https)
• приватный ключ (для https)
• Diffie Hellman ключ (для https)

Доступ к секретам предоставляется в момент создания сервиса и впоследствии не может быть изменен. Чтобы внести изменения, удалите сервис и создайте его повторно.

Все секреты хранятся в зашифрованном в виде в Docker Swarm.

При запуске контейнера Docker Swarm монтирует секреты в виде файлов в каталог /run/secrets/….

Разворачивание ClickHouse в Docker-контейнере

Разворачивание происходит в соответствии с установкой БД ClickHouse.