ויקי נטפרי - תרומות המשתמש [he]

Installation of certificate in Docker

2023-12-27T07:36:51Z

Chaimfn:

{{he|התקנת_תעודה_ב-Docker}}
{{Navigation|Security certificate}}

Docker is a system that allows creating self-contained environments within the hosting OS.

==Dealing with certificate errors from apps within the container==

A Docker container is a self-contained system; almost like a seperate computer.
Tools and apps that run within the container and try to connect to the Internet will not recognize Netfree's certificate, therefore it is nessecary to install Netfree's root certificate into the container

===Installing the certificate in popular images===

Add the following lines to the DOCEKRFILE under the FROM line. (Adavnced users can add the lines at a later stage - before the first stage that requires Internet connectivity):

# --- NETFREE CERT INTSALL ---
ADD https://netfree.link/dl/unix-ca.sh /home/netfree-unix-ca.sh
RUN cat /home/netfree-unix-ca.sh | sh
ENV NODE_EXTRA_CA_CERTS=/etc/ca-bundle.crt
ENV REQUESTS_CA_BUNDLE=/etc/ca-bundle.crt
ENV SSL_CERT_FILE=/etc/ca-bundle.crt
# --- END NETFREE CERT INTSALL ---

The commands have been tested succesfully on images based on Ubuntu, Alpine & Centos.
It also correctly sets the environment variables for correct running of nodejs & Python

===Dealing with problems and instructions for other images===

Obviously every image/app has it's own requirements, if you encounter difficulties you can ask in the support center (always include the content of the DOCKERFILE if possible, or at minimun the base image, and a full error log).

===Prepared images (not official)===
Below some images prepared for working in Netfree environment, who made by an user for netfree-users. They are not official images by Netfree itself.

Those images are made in a few linux-archs (amd/arm etc.) as detailed on each one.

Since Netfree is working with multi internet providers, those images are made to working with some of those providers.<br />
The list of those supported providers is appears as Labels, such as 'provider-bezeq=true'.

Images list (look for '.netfree' in image-tag):

* [https://hub.docker.com/r/chaimfn/dotnet_aspnet dotnet/aspnet]
* [https://hub.docker.com/r/chaimfn/dotnet_sdk dotnet/sdk]
* [https://hub.docker.com/r/chaimfn/node node]
* [https://hub.docker.com/r/chaimfn/python python]
* [https://hub.docker.com/r/chaimfn/nginx nginx]
* [https://hub.docker.com/r/chaimfn/php php]
* [https://hub.docker.com/r/chaimfn/buildkit buildkit]

===Another option===

https://github.com/AriFordsham/docker-cert

The above project provides a wrapper script for the docker comand. Put the script somehwere in you PATH where it has precedence to the built in docker command. The script will transparently import root certificates from the host to the container obviating the need to edit the image. The script is known to work in Linux or WSL2 environments.
For questions and problems, ask at: https://forum.netfree.link/topic/9301 or open a Github issue.

==Errors originating from the Docker daemon==

The Docker daemon itself also uses the Internet to download images from repositories such as Docker Hub.
In general it does not encounter issues because it uses the OS certificate store.
אם אתם נתקלים בשגיאה בשלב הזה (בד"כ בשורת FROM של קובץ Dockerfile או בפקודת docker pull או docker run), השגיאה נראית ככה:

Get https://registry-1.docker.io/v2/: x509: certificate signed by unknown authority

או

Error response from daemon: Get https://registry-1.docker.io/v2/: x509: certificate signed by unknown authority.

*ראשית ודאו שהתקנתם את התעודה של נטפרי במערכת שלכם (אם זה עתה התקנתם את התעודה, יש להפעיל מחדש את הDocker, הפעלת המחשב מחדש כמובן גם טובה).
*אם מדובר בהתקנה של Docker Toolbox, אז לא די בתעודה ברמת המערכת הפעלה כי מערכת זו עושה שימוש במערכת וירטואלית לפעולות של Docker עצמה.

במקרה זה הפעילו את הטרמינל של Docker והריצו בו את הפקודות הבאות:
docker-machine ssh default
curl -L <nowiki>http://api.internal.netfree.link/ca/netfree-ca.crt</nowiki> | sudo tee -a /etc/ssl/certs/ca-certificates.crt /var/lib/boot2docker/certs
sudo /etc/init.d/docker restart
exit

==Errors in the Minikube software level==
Minikube software provides a system for running kubernetes, and operates an internal Docker environment, if you encounter a security certificate error or alternatively installing its packages does not work smoothly.

In this case, run the minikube terminal and run the following commands:

minikube ssh
curl -sL <nowiki>http://netfree.link/dl/ubuntuCertInstallNetFree.sh</nowiki> | sudo -E bash -
sudo /etc/init.d/docker restart
exit

התקנת תעודה ב-Docker

2023-12-25T12:43:37Z

Chaimfn:

{{עמוד באנגלית|Installation of certificate in Docker}}
{{קישור לתצוגת קריאה}}
{{ניווט|תעודת האבטחה}}

Docker הינה תוכנה שמאפשרת לבנות סביבות הרצה עצמאיות על גבי מערכת הפעלה.

==שגיאות אבטחה ביישומים והרצות מתוך הקונטיינר==
קונטיינר של Docker מספק סביבה עצמאית - כמין מחשב חדש בפני עצמו.

כלים ותוכנות שפועלות בתוך הקונטיינר וניגשים לאינטרנט יתקלו בתעודה לא מוכרת של נטפרי, ולכן צריך להתקין את התעודה של נטפרי ברמת הקונטיינר.

===התקנת תעודת אבטחה בתמונות הנפוצות===

יש להוסיף את השורות הבאות לDockerfile, מתחת לשורת הFROM (במידה ואתם יודעים את טיב הפעולות תוכלו לשים אותו מאוחר ככל היותר לפני השלב הראשון בו נצרכת התעודה):

# --- NETFREE CERT INTSALL ---
ADD https://netfree.link/dl/unix-ca.sh /home/netfree-unix-ca.sh
RUN cat /home/netfree-unix-ca.sh | sh
ENV NODE_EXTRA_CA_CERTS=/etc/ca-bundle.crt
ENV REQUESTS_CA_BUNDLE=/etc/ca-bundle.crt
ENV SSL_CERT_FILE=/etc/ca-bundle.crt
# --- END NETFREE CERT INTSALL ---

התעודה נבדקה על תמונות מבוססות ubuntu,alpine,centos
וזה מגדיר גם משתני סביבה להפעלה תקינה של python ו nodejs

=== במקרה של קונטיינר קיים, ללא אפשרות לשנות את ה Dockerfile ===
יש להכנס לתוך הדוקר (פקודת docker exec, או דרך התוכנה docker-desktop) ולהריץ בתוכו את הפקודה:

curl <nowiki>https://netfree.link/dl/unix-ca.sh</nowiki> | sh

לאחר מכן לערוך את הקובץ ~/.bashrc ולהוסיף לו את הפקודות הבאות:

export NODE_EXTRA_CA_CERTS=/etc/ca-bundle.crt
export REQUESTS_CA_BUNDLE=/etc/ca-bundle.crt
export SSL_CERT_FILE=/etc/ca-bundle.crt

===במקרה של שימוש בdocker compose ללא Dockerfile===
ניתן לשלב את הוראות ההתקנה כפקודה יחידה, בתוך הקובץ docker-compose.yml, עבור הservice שבו יש צורך להתקין את תעודות האבטחה.
לצורך הדגמה:

#docker-compose.yml file example
version: "3.9"
services:
your-app:
image: node
command: sh -c "(curl -sL https://netfree.link/dl/unix-ca.sh | sh ) && export NODE_EXTRA_CA_CERTS=/etc/ca-bundle.crt && npm install && npm start"

===במקרה בעיה, ולהוראות מתאימות לתמונות אחרות===

כמובן שלכל תמונה ויישומים שבתוכה יש את הדרך שלה, במקרה שאתם מתקשים היעזרו במערכת הפניות (כללו תמיד בפניה את תוכן/קובץ הdockerfile במידת האפשר, ולפחות את שם תבנית התמונה, ולוג מלא ככל האפשר של השגיאה).

נסו גם להיעזר בפורומים טכניים.

===תמונות מוכנות===
להלן כמה תמונות מוכנות לעבודה בסביבת נטפרי.

התמונות הוכנו בכמה תצורות לינוקס (amd/arm וכד'), כמפורט על כל אחת מהן.

היות ונטפרי עובדים עם כמה ספקי אינטרנט, התמונות הוכנו לעבודה מול כמה ספקים. רשימת הספקים הנתמכים מופיעה כ- Labels, לדוג': 'provider-bezeq=true'.

רשימת התמונות (חפשו 'netfree.' ב-tag):

* [https://hub.docker.com/r/chaimfn/dotnet_aspnet dotnet/aspnet]
* [https://hub.docker.com/r/chaimfn/dotnet_sdk dotnet/sdk]
* [https://hub.docker.com/r/chaimfn/node node]
* [https://hub.docker.com/r/chaimfn/python python]
* [https://hub.docker.com/r/chaimfn/nginx nginx]
* [https://hub.docker.com/r/chaimfn/php php]
* [https://hub.docker.com/r/chaimfn/buildkit buildkit]

===אפשרות נוספת===
https://github.com/AriFordsham/docker-cert

בפרוייקט הנ"ל יש סקריפט שאפשר להכניס במיקום כלשהו ב-PATH עם זכות קדימה לפקודת docker המקורית כך שהסקריפט יעטוף את פקודת docker המקורית. הסקריפט מייבא בצורה שקופה את התעודות של המערכת המארחת לתוך הקונטיינר בלי צורך לשנות את ה-DOCKERFILE. זה עובד במערכות לינוקס וווינדוס-WSL.

שאלות ובעיות בהפעלת הסקריפט ניתן לשאול כאן: https://forum.netfree.link/topic/9301

==שגיאות ברמת תוכנת הDocker עצמה==

תוכנת Docker עצמה משתמשת באינטרנט עבור הורדה של תמונה מהDocker hub או מקור אינטרנטי אחר,
בדרך כלל פעולה זו לא נתקלת בשגיאה של תעודת אבטחה כי התכונה מסתמכת על מאגר התעודות המותקן במחשב.

אם אתם נתקלים בשגיאה בשלב הזה (בד"כ בשורת FROM של קובץ Dockerfile או בפקודת docker pull או docker run), השגיאה נראית ככה:

Get https://registry-1.docker.io/v2/: x509: certificate signed by unknown authority

או

Error response from daemon: Get https://registry-1.docker.io/v2/: x509: certificate signed by unknown authority.

*ראשית ודאו שהתקנתם את התעודה של נטפרי במערכת שלכם (אם זה עתה התקנתם את התעודה, יש להפעיל מחדש את הDocker, הפעלת המחשב מחדש כמובן גם טובה).
*אם מדובר בהתקנה של Docker Toolbox, אז לא די בתעודה ברמת המערכת הפעלה כי מערכת זו עושה שימוש במערכת וירטואלית לפעולות של Docker עצמה.

במקרה זה הפעילו את הטרמינל של Docker והריצו בו את הפקודות הבאות:
docker-machine ssh default
curl -L <nowiki>http://api.internal.netfree.link/ca/netfree-ca.crt</nowiki> | sudo tee -a /etc/ssl/certs/ca-certificates.crt /var/lib/boot2docker/certs
sudo /etc/init.d/docker restart
exit
==שגיאות ברמת תוכנת Minikube==

תוכנת Minikube מספק מערכת להרצת kubernetes, ומפעיל סביבת Docker פנימי, אם אתם נתקלים בשגיאה של תעודת אבטחה או לחילופין התקנת חבילות שלו לא עבודת חלק.

במקרה זה הפעילו את הטרמינל של minikube והריצו בו את הפקודות הבאות:
minikube ssh
curl -sL <nowiki>http://netfree.link/dl/ubuntuCertInstallNetFree.sh</nowiki> | sudo -E bash -
sudo /etc/init.d/docker restart
exit