Aller au contenu

Docker/Version imprimable

Un livre de Wikilivres.

Ceci est la version imprimable de Docker.
  • Si vous imprimez cette page, choisissez « Aperçu avant impression » dans votre navigateur, ou cliquez sur le lien Version imprimable dans la boîte à outils, vous verrez cette page sans ce message, ni éléments de navigation sur la gauche ou en haut.
  • Cliquez sur Rafraîchir cette page pour obtenir la dernière version du wikilivre.
  • Pour plus d'informations sur les version imprimables, y compris la manière d'obtenir une version PDF, vous pouvez lire l'article Versions imprimables.


Docker

Une version à jour et éditable de ce livre est disponible sur Wikilivres,
une bibliothèque de livres pédagogiques, à l'URL :
https://fr.wikibooks.org/wiki/Docker

Vous avez la permission de copier, distribuer et/ou modifier ce document selon les termes de la Licence de documentation libre GNU, version 1.2 ou plus récente publiée par la Free Software Foundation ; sans sections inaltérables, sans texte de première page de couverture et sans Texte de dernière page de couverture. Une copie de cette licence est incluse dans l'annexe nommée « Licence de documentation libre GNU ».

Introduction

Docker est un logiciel libre conçu pour lancer des applications dans des conteneurs logiciels. Ces conteneurs sont plus légers en ressources que les machines virtuelles car ils partagent leur noyau.

Différence entre un conteneur et une VM.
Docker sur Linux

Images et conteneurs

[modifier | modifier le wikicode]

Les conteneurs sont construis à partir d'images qui partages leur couches en différentiel[1].

Docker met de plus à disposition un hub pour partager des images : https://hub.docker.com/. On y trouve par exemple celles permettant de faire tourner un site en MediaWiki : https://hub.docker.com/_/mediawiki.

Il existe plusieurs versions de Docker[2] :

  • Docker CE (community engine) : gratuit. Idéal sur un PC.
  • Docker EE (enterprise engine) : version payante certifiée, plutôt pour les serveurs.
  • Docker Enterprise : payant et dispose d'outils supplémentaires, par exemple pour gérer les images et les conteneurs.

Une fois installé, la commande suivante doit fonctionner : docker --version.

En 2019 on trouve des binaires pour les distributions de Linux suivantes : CentOS, Debian, Fedora et Ubuntu[3].

Via Docker Desktop

[modifier | modifier le wikicode]

Solution mise en avant par la doc Docker depuis 2024, mais elle peut poser des problèmes de performances et de permissions. On peut donc installer Docker avec puis le configurer pour qu'il ne se lance plus avec Docker Desktop[4] :

docker context ls
docker context use default
sudo service docker start

Ubuntu - via apt

[modifier | modifier le wikicode]
Terminal en superutilisateur

Logo

apt-get install ca-certificates curl gnupg lsb-release

mkdir -p /etc/apt/keyrings

curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo gpg --dearmor -o /etc/apt/keyrings/docker.gpg

echo \
      "deb [arch=$(dpkg --print-architecture) signed-by=/etc/apt/keyrings/docker.gpg] https://download.docker.com/linux/ubuntu \
      $(lsb_release -cs) stable" | sudo tee /etc/apt/sources.list.d/docker.list > /dev/null

apt-get update

apt-get install docker-ce docker-ce-cli containerd.io docker-compose-plugin

docker -v

docker compose version


Ubuntu - via repo

[modifier | modifier le wikicode]

Ancienne méthode, utile pour forcer la version :

Terminal en superutilisateur

Logo

apt-get install apt-transport-https ca-certificates curl gnupg-agent software-properties-common
curl -fsSL https://download.docker.com/linux/ubuntu/gpg | apt-key add -
apt-key fingerprint 0EBFCD88
add-apt-repository    "deb [arch=amd64] https://download.docker.com/linux/ubuntu $(lsb_release -cs) stable"
apt-get update
apt-get install docker-ce docker-ce-cli containerd.io
docker -v
curl -L "https://github.com/docker/compose/releases/download/2.11.2/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose
chmod +x /usr/local/bin/docker-compose
docker-compose --version


Post-installation

[modifier | modifier le wikicode]

Après installation, le daemon Docker se lancera à chaque démarrage avec la possibilité de remonter certains conteneurs automatiquement[5].

Logo

À ce stade seul root peut utiliser Docker. Il faut ajouter les utilisateurs qui doivent le lancer au groupe "docker" :

sudo usermod -aG docker $USER


Pour relancer Docker si besoin :

Terminal en superutilisateur

Logo

sudo systemctl stop docker && sudo systemctl start docker


Depuis 2022, une interface graphique, Docker Desktop est disponible sur Linux :

Terminal en superutilisateur

Logo

sudo apt-get install docker-desktop


Logo

Docker Desktop sur Linux est susceptible de retirer le daemon Docker qui marchait avant, sans pouvoir le remplacer.

L'IP du réseau de conteneurs est 172.17.0.1 par défaut (l'associer aux domaines locaux dans /etc/hosts si besoin).

À télécharger depuis https://docs.docker.com/docker-for-mac/install/.

A noter que les performances de Docker Desktop sur Mac ne sont pas au niveau de celles sur Linux, et qu'il existe le partagiciel Orbstack[6] comme alternative.

Des interfaces graphiques de gestion de conteneur existent, comme Docker Desktop ou Kitematic[7]. Elles peuvent être intégrées dans un deuxième temps.

Mais le plus simple est de télécharger et installer Docker Desktop depuis le site officiel[8], car cela installe et configure aussi Docker et Docker Compose.

Logo

  • Les performances de Docker Desktop sur Windows ne sont pas au niveau de celles sur Linux.
  • On ne peut l'installer que pour les versions de Windows pro, car Hyper-V est nécessaire.
  • Toute désinstallation de Docker supprimera les images construites sur le poste, et pourra donc occasionner de longs téléchargements après réinstallation et relance.
  • En avril 2020 la version 2.3 (et les suivantes, au moins : 2.3.0.1, 2 et 3) freeze très régulièrement (broken pipe). Il était donc préconisé d'utiliser la 2.2.0.5[9]. Mais c'est résolu dans Docker 3.0.0.

Sur Windows, Docker Desktop modifie le fichier hosts en ajoutant :

# Added by Docker Desktop
192.168.1.20 host.docker.internal
192.168.1.20 gateway.docker.internal
# To allow the same kube context to work on the host and the container:
127.0.0.1 kubernetes.docker.internal
# End of section

Dans un Active Directory

[modifier | modifier le wikicode]

Logo

  • Sur Windows pro en AD, il faut ajouter le compte qui utilisera Docker Desktop dans le groupe "docker-users" :
net localgroup docker-users AD\mon_compte /add
  • Les versions antérieures à la 2.1.7 sur Windows pro en AD (active directory), imposent qu'un administrateur du domaine autorise l'accès à C: (un admin local ne suffit pas).

Anciennement baptisé Tech Preview, Docker Desktop WSL 2 Backend utilise Windows Subsystem for Linux pour optimiser les performances de Docker sur Windows[10], en l'installant dans une VM Linux pouvant accéder à C:.


Gestion des conteneurs

Les images des conteneurs peuvent être stockées dans un registre, privé ou public comme https://hub.docker.com/.

Pour en récupérer une :

 docker login
 docker image pull $IMAGE_NAME || echo " >> missing image"

Exemple :

docker image pull maarch/maarchrm:latest

Les images téléchargées sont stockées :

  • Sur Linux, dans /var/lib/docker/.
  • Sur MacOS, dans /Users/nom_utilisateur/Library/Containers/com.docker.docker/.
  • Sur Windows, dans C:\ProgramData\docker\ ou C:\ProgramData\DockerDesktop\.

Pour mettre à jour une image sur un registre à partir d'un Dockerfile :

 docker image build
 docker image push $IMAGE_NAME

"run" s'utiliser pour lancer un conteneur à partir de son image (automatiquement téléchargée si absente en local). Une fois la commande exécutée, le conteneur s'arrête. Exemple qui liste le dossier courant :

docker run maven:latest ls
bin
boot
dev
etc
home
lib
lib64
media
mnt
opt
proc
root
run
sbin
srv
sys
tmp
usr
var

Pour rester connecté dedans, on utilise le mode interactif (-it) :

docker run -it redis
redis-cli

Pour partager un dossier avec la machine hôte, on peut utiliser "-v" pour "volume", ou "--mount" si le conteneur a des services[1]. Exemple qui liste le dossier de la machine hôte partagé avec le conteneur :

docker run -it -v "/$(pwd)/":/usr/src/mymaven maven ls usr/src/mymaven

Pour exécuter une commande dans un conteneur. Ex :

docker exec redis sh -c 'pwd'

Autre exemple :

docker exec php8.0-fpm sh -c 'cd /var/www/mon_app; composer install'

Fonctionne aussi avec un fichier :

docker exec redis script.sh

Dans tous les conteneurs

[modifier | modifier le wikicode]

Pour lancer une commande dans tous les conteneurs, il faut créer le fichier suivant[2] :

for container in `docker ps -q`; do 
  docker inspect --format='{{.Name}}' $container;
  docker exec -it $container $1;
done

Ensuite le lancer avec la commande en paramètre :

./dockers.sh date

/php7.3-fpm
Thu Mar 19 11:15:34 Europs 2020
/php7.4-fpm
Thu Mar 19 12:15:34 Europs 2020

Rentrer dans un conteneur

[modifier | modifier le wikicode]

Pour utiliser le conteneur, on peut rentrer dedans en utilisant le mode interactif :

docker exec -it redis bash

Cela permet d'enchainer les commandes (comme si on était sur un serveur hôte en SSH).

Pour lancer un conteneur à construire, il faut le faire depuis le dossier de son Dockerfile[3] :

docker build .

Pour obtenir la liste des conteneurs lancés :

docker ps

Idem mais avec seulement trois colonnes, triées par nom (colonne n°2) :

docker ps --format "table {{.ID}}\t{{.Names}}\t{{.Ports}}" | (read -r; printf "%s\n" "$REPLY"; sort -k 2 )

Pour tous les conteneurs (lancés ou pas) :

docker ps -a

Pour en supprimer un :

docker rm nom_du_coteneur

Pour toutes les images :

docker image ls

Pour en supprimer une :

docker rmi nom_image

Permet de sauvegarde une image. Pour toutes les sauvegarder :

 docker save $(docker images -q) -o images_docker.tar

On peut ensuite les recharger (par exemple sur une autre machine) avec :

docker load --input images_docker.tar

Logo

Un save sur Docker Desktop Windows 2.3 ne permettra pas un load sur la 2.2.

Pour connaitre la consommation en ressources de chaque conteneur :

docker stats --no-stream

Ex :

CONTAINER ID   NAME    CPU %     MEM USAGE / LIMIT     MEM %     NET I/O           BLOCK I/O         PIDS
f10f50a685a6   app_1   0.00%     77.97MiB / 15.38GiB   0.50%     322kB / 1.19MB    11.1MB / 9.2MB    6
6ef747c18fe3   app_2   1.00%     48.89MiB / 15.38GiB   0.31%     6.67kB / 0B       92.7MB / 5.91MB   6

Pour supprimer les conteneurs arrêtés[4] :

docker container prune

Les images :

docker image prune

Les réseaux :

docker network prune

Les conteneurs, images et réseaux inutilisés :

docker system prune

Enfin pour les volumes (généralement volumineux) :

docker volume prune
 Mieux faut traiter les conteneurs avant les volumes car prune ne supprime pas les volumes utilisés par des conteneurs.

Il existe des filtres[5] :

  • -a all : supprime tout.
  • -f force.
  • --filter : filtre par clé valeur. Si la clé est "until", alors il filtre par date (ex : until=720h).
  • --volumes : supprime les volumes des objets en paramètre.

Par exemple pour purger les images et leurs volumes toutes les nuits à 3 h, on peut créer cette tâche planifiée :

0 3 * * * docker system prune --all --volumes -f

Renommer une image.


Dockerfile

Une fois le processus Docker lancé, on peut commencer à lui demander de construire des conteneurs, de zéro ou à partir d'images d'un registre.

Il existe deux sortes de conteneur :

  • Celui issu d'une image téléchargée et utilisée telle qu'elle.
  • Celui construit avec des instructions personnalisées.

Par convention, les instructions pour construire un conteneur sont écrites dans un fichier appelé "Dockerfile". Il est recommandé de les placer dans un dépôt Git pour les versionner.

Commandes Dockerfile

[modifier | modifier le wikicode]

Les commentaires sont précédés du croisillon (#).

Permet de copier des fichiers ou dossiers de la machine hôte vers le conteneur[1].

Logo

Les Dockerfile n’ont jamais accès aux volumes de l'hôte, sauf dans l’ENTRYPOINT.

Crée une variable qui sera accessible dans la première image (FROM). Ex :

ARG NODE_VERSION=10
...
RUN curl -sL https://deb.nodesource.com/setup_${NODE_VERSION}.x | bash

Logo

Éviter d'utiliser ce système pour bénéficier du build cache : ainsi Docker ne retéléchargera pas toutes les dépendances du Dockerfile lors du changement d'une variable située en début de Dockerfile, et n'affectant qu'une seule d'entre elles.

Commande à exécuter au lancement du conteneur.

Copie des fichiers ou dossiers de la machine hôte vers le conteneur[2]. Ainsi, l'image les embarquera (contrairement à s'ils étaient montés dans un volume).

Ex :

COPY entrypoint.sh /usr/local/bin/entrypoint.sh

La différence avec ADD est qu'il ne prend pas en compte les décompression de .tar et les URLs distantes[3].

Nom d'un fichier exécutable (par exemple en shell) qui s'exécutera après chaque lancement du conteneur[4].

Ex :

ENTRYPOINT /usr/local/bin/entrypoint.sh

Le fichier exécuté par l'entrypoint est le principal moyen d'accéder à la machine hôte, puisque le Dockerfile ne peut pas (en dehors de COPY qui peut la lire sans y écrire).

Crée une variable d'environnement accessible à toutes les images du Dockerfile[5].

Ouvre le port logiciel mentionné du conteneur[6].

Part d'une image Docker pour en créer une autre qui la complète[7].

Cela permet par exemple le multistage build : se servir d'une première image comme builder volumineux (avec des sources, des dépendances nécessaires à des installations), duquel on copie seulement les fichiers à utiliser dans une autre image plus légère, qui sera montée en conteneur[8].

Ajoute une description à une image[9].

Lance une commande. Ex :

RUN ls

Signal d'arrêt à envoyer au conteneur, au format nombre ou nom. Par exemple SIGKILL pour le tuer.

Se connecte à l'utilisateur et mot de passe en paramètre pour lancer les instructions RUN, CMD ou ENTRYPOINT[10].

Par ailleurs, pour que le conteneur possède les permissions de l'utilisateur courant[11] :

docker --user $(id -u):$(id -g)

Utilisation dans Docker Compose

[modifier | modifier le wikicode]
user: ${CURRENT_UID}

Puis au lancement :

CURRENT_UID=$(id -u):$(id -g) docker compose up -d

La présence de l'opérateur ":" dans les accolades signifie que l'on bascule vers cet utilisateur si la variable est inconnue du .env. Par exemple pour utiliser l'UID 1000 si UID= n'est pas renseigné dans le .env :

user: ${UID:-1000}:${GID:-1000}

Point de montage accessible par l'hôte et les autres conteneurs[12].

Définit le répertoire de travail, c'est-à-dire celui à partir duquel les commandes partent (ex : pwd), y compris quand on se connecte au conteneur après son montage.

Équivalent à docker --workdir.

Un fichier .dockerignore peut être placé dans un dépôt pour que son conteneur ignore le contenu qui y figure lors des commandes ADD et COPY. Exemple pour Symfony[13] :

node_modules/*
var/*
vendor/*

Bonnes pratiques

[modifier | modifier le wikicode]

Voir https://docs.docker.com/develop/develop-images/dockerfile_best-practices/

Apache avec PHP7.1

[modifier | modifier le wikicode]

Voici un exemple de serveur Apache avec PHP7.1 pour MediaWiki[14] :

FROM debian:sid

ENV TZ=Europs/Paris
RUN ln -snf /usr/share/zoneinfo/$TZ /etc/localtime && echo $TZ > /etc/timezone

ENV MEDIAWIKI_VERSION wmf/1.30.0-wmf.4

# XXX: Consider switching to nginx.
RUN set -eux; \
	apt-get update; \
	apt-get install -y --no-install-recommends \
		ca-certificates \
		apache2 \
		libapache2-mod-php7.1 \
		php7.1-mysql \
		php7.1-cli \
		php7.1-gd \
		php7.1-curl \
		php7.1-mbstring \
		php7.1-xml \
		imagemagick \
		netcat \
		git \
	; \
	rm -rf /var/lib/apt/lists/*; \
	rm -rf /var/cache/apt/archives/*; \
	a2enmod rewrite; \
	a2enmod proxy; \
	a2enmod proxy_http; \
	# Remove the default Debian index page.
	rm /var/www/html/index.html


# MediaWiki setup
RUN set -eux; \
	mkdir -p /usr/src; \
	git clone \
		--depth 1 \
		-b $MEDIAWIKI_VERSION \
		https://gerrit.wikimedia.org/r/p/mediawiki/core.git \
		/usr/src/mediawiki \
	; \
	cd /usr/src/mediawiki; \
	git submodule update --init skins; \
	git submodule update --init vendor; \
	cd extensions; \
	# Extensions
	# TODO: make submodules shallow clones?
	git submodule update --init --recursive VisualEditor; \
	git submodule update --init --recursive Math; \
	git submodule update --init --recursive EventBus; \
	git submodule update --init --recursive Scribunto; \
	git submodule update --init --recursive ParserFunctions; \
	git submodule update --init --recursive SyntaxHighlight_GeSHi; \
	git submodule update --init --recursive Cite; \
	git submodule update --init --recursive Echo; \
	git submodule update --init --recursive Flow; \
	git submodule update --init --recursive PageImages; \
	git submodule update --init --recursive TextExtracts; \
	git submodule update --init --recursive MobileFrontend; \
	git submodule update --init --recursive TemplateData; \
	git submodule update --init --recursive ParserFunctions; \
	git submodule update --init --recursive Citoid


COPY php.ini /usr/local/etc/php/conf.d/mediawiki.ini

COPY apache/mediawiki.conf /etc/apache2/
RUN echo "Include /etc/apache2/mediawiki.conf" >> /etc/apache2/apache2.conf

COPY docker-entrypoint.sh /entrypoint.sh

EXPOSE 80 443
ENTRYPOINT ["/entrypoint.sh"]
CMD ["apachectl", "-e", "info", "-D", "FOREGROUND"]

Nginx avec PHP-FPM 8.2

[modifier | modifier le wikicode]
FROM php:8.2-fpm

ENV TZ=Europs/Paris
RUN ln -snf /usr/share/zoneinfo/$TZ /etc/localtime && echo $TZ > /etc/timezone

RUN apt-get update && apt-get install -y \
      libxml2-dev \
      libicu-dev \
      libcurl3-dev \
      libsqlite3-dev \
      libedit-dev \
      zlib1g-dev \
      libfreetype6-dev \
      libjpeg62-turbo-dev \
      libmemcached-dev \
      libzip-dev \
      libonig-dev \
      libpq-dev
RUN docker-php-ext-install \
        intl \
        pdo_mysql \
        pdo_pgsql \
        opcache \
        bcmath \
        soap \
        sockets \
        zip \
     && docker-php-ext-configure gd \
     && docker-php-ext-install -j$(nproc) gd

RUN pecl install -f xdebug \
    && export XDEBUG_PATH=`find / -name "xdebug.so"`

RUN curl -sS https://getcomposer.org/installer | php -- --install-dir=/usr/local/bin --filename=composer

WORKDIR /var/www/myApp

CMD ["php-fpm"]


Docker compose

La commande docker compose est un utilitaire généralement fourni avec Docker, permettant d'orchestrer plusieurs images et conteneurs avec la même commande[1]. Pour ce faire, les paramétrages de l’ensemble des conteneurs doivent être définis dans le fichier docker-compose.yml à la racine du projet. Toutefois il est possible de surcharger des parties de ce fichier au lancement des conteneurs, pour chaque environnement[2].

Par convention, les paires clés / valeurs de ces fichiers YAML ne sont pas entre apostrophes ou guillemets, mais cela fonctionne aussi avec. Toutefois il existe deux exceptions : les versions, et les associations de ports (contenant des ":"), où les guillemets sont par contre recommandés pour éviter les conflits (avec le "." ou avec le ":" interprété avec des nombres sexagésimaux[3]).

Configuration YAML

[modifier | modifier le wikicode]

Version de Docker Compose[4]. Exemple en 2023 :

 version: "3.8"

Définition du réseau des VM Docker.

Ex :

         networks:
            default:
                ipv4_address: 172.170.0.2

Liste des conteneurs à construire. Pour chacun on peut trouver :

Nom de l'image à télécharger (sur https://hub.docker.com/ ou un dépôt privé). Elle peut être suivie d'un tag pour en indiquer la version.

Exemples :

    image: mariadb

    image: mariadb:latest

    image: mariadb:10.4

"image" permet donc de lancer un groupe d'applications, qui sont par ailleurs lançables individuellement. Mais pour partager des configurations on peut aussi utiliser "extends"[5] :

  extends:
    file: webapp/docker-compose.yml
    service: webapp

Alternativement à l'image, on peut indiquer le chemin d'un dockerfile pour construire son propre conteneur.

Si le conteneur ne partage aucun fichier avec d'autres, indiquer simplement le nom du dossier contenant le dockerfile :

        build: ./php8.2-fpm

Sinon, préciser le contexte où le conteneur devra récupérer les fichiers partagés nécessaires à son build :

        build:
            context: .
            dockerfile: ./php8.2-fpm/Dockerfile

Mapping des répertoires partagés entre la machine hôte et le conteneur :

        volumes:
            - $HOME/www:/var/www

La variable $HOME vaut "~" par défaut (dossier de l'utilisateur courant), mais peut être remplacée dans le fichier .env.

Mapping du partage des ports. Ex :

        ports:
            - "3306:3306"

Injecte des variables d'environnement dans le conteneur. Très utile pour que les conteneurs soient à l'heure de la machine hôte :

        environment:
            TZ: Europe/Paris

Logo

environment: n'accepte pas les sous-tableaux : il faut les convertir en JSON.

Définit le nom d'un fichier contenant des variables d'environnement récupérables dans docker-compose.yml, avec la syntaxe "${ma_variable}". On peut aussi rajouter une valeur par défaut ensuite. Exemple :

    env_file: .env
    environment:
        HOST_UID: ${UID:-valeur-par-défaut}

Logo

Sur Windows le changement de l'UID entraine une modification des droits de tous les fichiers.

Permet de spécifier qu'un conteneur doit en attendre un autre pour être lancé.

Indique si le conteneur doit se lancer au démarrage du daemon Docker (donc de la machine hôte). Vaut "no" par défaut. Ex :

        restart: always

Autre valeur possible :

unless-stopped

container_name

[modifier | modifier le wikicode]

Permet de forcer un nom de conteneur.

Permet de forcer un nom de machine dans le conteneur. Utile si on a une application qui doit pointer dessus dans son .env (car "localhost" fonctionne quand le serveur était installé directement sur la machine hôte mais pas dans un conteneur).

Permet de forcer une adresse IP pour le conteneur.

Logo

Dans docker-compose.yml, il faut toujours remplir le paramètre "default" de "networks" pour ne pas qu’il prenne une plage utilisée.

Remplit le /etc/hosts du conteneur. Ex :

extra_hosts:
    - mon_serveur_local.localhost:172.20.0.2

Pour exécuter un script à chaque lancement du conteneur.

    command: ls -alh

ou en multiligne :

   command: |
       ls -alh

</syntaxhighlight> ou :

    command: ['ls', '-alh']

ou si la commande est dans un fichier :

    command: /bin/ls.sh

Pour définir le dernier script exécuté à chaque lancement du conteneur.

Équivalent à docker -t : ajoute un pseudo-terminal pour interagir avec le conteneur.

Exemple de docker-compose.yml contenant un seul conteneur CentOS, qui a le droit d'accéder au dossier ~/www :

version: "3.8"
services:
  centos:
    image: centos/systemd
    volumes:
        - $HOME/www:/var/www
version: "3.8"

networks:
    default:
        driver: bridge
        ipam:
            driver: default
            config:
                - subnet: 172.170.0.0/16

services:
    mariadb:
        hostname: mariadb
        image: mariadb:10.4
        ports:
            - "3306:3306"
        environment:
            MYSQL_ROOT_PASSWORD: wikibooks
        # Partage pour les commandes SQL "into outfile" et "load data infile"
        volumes:
            - $HOME/www:/var/www
        restart: unless-stopped
        networks:
            default:
                ipv4_address: 172.170.0.3

    adminer:
        hostname: adminer
        image: adminer
        ports:
            - 8080:8080
        restart: unless-stopped
        networks:
            default:
                ipv4_address: 172.170.0.4


 Une alternative aux IP fixes (permettant des noms de domaines personnalisés dans le fichier hosts) et de passer par des ports, comme pour Adminer ci-dessus, qui est accessible sur http://localhost:8080 (puis fonctionne en se loguant vers le serveur "mariadb", login "root" et mot de passe "wikibooks".

Pour éviter de maintenir les noms de domaines des conteneurs dans le fichier hosts de la machine hôte, il existe le conteneur du proxy inverse Traefik pour mettre en l’œuvre l'association entre les conteneurs et leurs URLs.

Par ailleurs, sachant que les docker-compose.yml peuvent être utilisés dans des environnements de tests, donc sans besoin d'y accéder par des noms de domaine, il est préférable de séparer le docker-compose.yml en deux : l'un qui sera tout le temps utilisé pour l'application, et l'autre uniquement quand on veut l'utiliser manuellement en complément du premier : il faudra alors monter les conteneurs en précisant leurs deux noms.

docker-compose.yml

[modifier | modifier le wikicode]

Plus besoin de fixer l'IP ici :

version: "3.8"

services:
    mariadb:
        hostname: mariadb
        image: mariadb:10.4
        ports:
            - "3306:3306"
        environment:
            MYSQL_ROOT_PASSWORD: wikibooks
        volumes:
            - $HOME/www:/var/www
        restart: unless-stopped

docker-compose.override.yml

[modifier | modifier le wikicode]

Par convention, le nom du second docker-compose.yml est docker-compose.override.yml[6]. Mais on peut en créer un par environnement (ex : docker-compose.test.yml, docker-compose.dev.yml, docker-compose.prod.yml).

Ex :

version: "3.8"
services:
  traefik:
    image: traefik
    command:
      - --providers.docker
      - --entryPoints.web.address=:80
      - --entryPoints.websecure.address=:443
    ports:
      - "80:80"
      - "443:443"
    volumes:
      - /var/run/docker.sock:/var/run/docker.sock

  adminer:
    image: adminer
    labels:
      - traefik.enable=true
      - traefik.http.routers.adminer.rule=Host(`adminer.localhost`)
      - traefik.http.routers.adminer.entryPoints=web
    depends_on:
      - mariadb

Ainsi, la base décrite dans le premier fichier sera accessible par l'Adminer du second sur http://adminer.localhost.


Plusieurs domaines vers le même conteneur

[modifier | modifier le wikicode]

On peut avoir par exemple un serveur Apache avec plusieurs vhosts pointant vers des applications différentes :

  apache:
    labels:
      - traefik.enable=true
      - traefik.http.routers.app.rule=Host(`www.example1.com`) || Host(`www.example2.com`)
      - traefik.http.routers.app.entryPoints=web
      - traefik.http.routers.whoami.entrypoints=web-secure
      - traefik.http.routers.whoami.tls=true
      - traefik.http.routers.whoami.tls.certresolver=certificato
      - traefik.http.routers.whoami.tls.domains[0].main=*.example1.com
      - traefik.http.routers.whoami.tls.domains[1].main=*.example2.com
    hostname: apache
    build: './devops/apache'
    environment:
      TZ: Europe/Paris
      APACHE_LOG_DIR: /var/log/apache2
    volumes:
      - ./apps:/var/www/

Pour relancer le conteneur (sur Windows ou Linux) :

docker compose stop; docker compose build; docker compose start
 Au premier lancement, on peut regrouper le "build" et le "run" dans une seule commande "up -d". Par contre pour reconstruire les images existantes, il faudra préciser le "build".

Pour lancer les conteneurs avec plusieurs docker-compose.yml :

docker compose -f docker-compose.yml -f docker-compose.override.yml up -d

Pour rentrer dedans :

docker compose exec centos bash

Pour rentrer dedans en root :

docker compose exec --user root centos bash

Pour le lancer et rentrer dedans en même temps :

docker compose run centos bash

Pour exécuter une seule commande shell dedans sans y rentrer (en restant depuis la machine hôte) :

docker compose exec centos sh -c 'ls -alh'

Pour voir les logs de tous les conteneurs en live :

 docker compose logs -f

Pour voir les logs d'un seul conteneur :

 docker compose logs nom_du_conteneur


Supprimer les logs

[modifier | modifier le wikicode]

L'emplacement des logs d'un conteneur est visible avec :

 docker inspect --format='{{.LogPath}}' nom_du_conteneur
Tous les conteneurs
[modifier | modifier le wikicode]

Pour supprimer les logs de tous les conteneurs sur Linux :

docker compose stop
 find /var/lib/docker/containers/ -type f -name "*.log" -delete
docker compose up -d
Un seul conteneur
[modifier | modifier le wikicode]

Pour ne supprimer les logs que d'un seul conteneur :

docker compose stop mon_conteneur
sudo rm $(sudo docker inspect --format='{{.LogPath}}' mon_conteneur)
docker compose up -d mon_conteneur

Sur Windows, comme les logs sont dans le fichier C:\ProgramData\DockerDesktop\vm-data\DockerDesktop.vhdx, il faut d'abord se connecter à la VM Docker pour exécuter cette commande[7]. Exemple en DOS :

docker run --privileged -it -v /var/run/docker.sock:/var/run/docker.sock jongallant/ubuntu-docker-client 
docker run --net=host --ipc=host --uts=host --pid=host -it --security-opt=seccomp=unconfined --privileged --rm -v /:/host alpine /bin/sh
chroot /host


Kubernetes

Kubernetes est un logiciel open-source sorti en 2015 pour orchestrer de plusieurs conteneurs avec des options de quotas, scalabilité horizontale, déploiement sans coupure de service et relance automatique en cas d'indisponibilité. Pour ces raisons, il est plus orienté pour la production que pour le développement[1], de plus il nécessite d'utiliser des images Docker déjà construites.

La configuration peut être stockée dans des fichiers .yaml et modifiée par la commande kubectl[2], ou via l'interface graphique Dashboard[3]. De plus, il est nécessaire de lancer un cluster contenant les conteneurs via kubeadm[4].

Sur Debian ou ses dérivés[5] :

 sudo apt-get install -y apt-transport-https ca-certificates curl gpg
 curl -fsSL https://pkgs.k8s.io/core:/stable:/v1.29/deb/Release.key | sudo gpg --dearmor -o /etc/apt/keyrings/kubernetes-apt-keyring.gpg
 echo 'deb [signed-by=/etc/apt/keyrings/kubernetes-apt-keyring.gpg] https://pkgs.k8s.io/core:/stable:/v1.29/deb/ /' | sudo tee /etc/apt/sources.list.d/kubernetes.list

 sudo apt-get update
 sudo apt-get install -y kubelet kubeadm kubectl
 sudo apt-mark hold kubelet kubeadm kubectl

Test :

kubectl --help

Pour éviter de taper chaque commande, il existe une interface graphique gratuite nommée k9s, pouvant exploiter la conf de kubectl : https://k9scli.io/topics/install/

Par exemple on peut déclencher un cronjob avec "t" ou rentrer dans un conteneur en shell avec "s".

 pour voir uniquement les conteneurs en cours sur k9s, taper : /running

Un pod désigne un groupe de conteneur géré par Kubernetes[6].

Un replica set désigne un ensemble de pods, dont le nombre maximum peut y être défini.

Liste de variables d'environnement chiffrées, généralement des mots de passe.

Ils sont chiffrés via "kubeseal", à partir d'un fichier YAML non versionné contenant les chaines encodées en base64.

Ce fichier contient plusieurs paramètres, par exemple le type. Il en existe huit, "opaque" étant celui par défaut[7].

La commande de chiffrement quant-à-elle permet de définir le scope des secrets[8] :

  • strict (par défaut) : le nom et le namespace ne peuvent pas changer sans rechiffrer.
  • namespace-wide : utilisable dans tout le namespace.
  • cluster-wide : utilisable dans tout le cluster.

Toutefois on peut aussi les mettre dans le .yaml. Ex : metadata:

 annotations:
   sealedsecrets.bitnami.com/cluster-wide: "true"

Lance un conteneur dédié à une tâche planifiée (cron), à chaque fois qu'elle tourne[9].

Accès à l'application (DNS).

Persistent volume : stocke des données indépendamment du redémarrage des pods.

Liste des éléments du serveur :

kubectl get -A all

Pour voir le log de la sortie standard d'un conteneur :

kubectl logs -f mon_conteneur

Pour rentrer dans un conteneur :

kubectl exec -it mon_conteneur -- /bin/bash

Pour augmenter le nombre de pods dans un replicatset. Par exemple si on peut passer le nombre de 2 à 3 sur "mysql"[10] :

kubectl scale --current-replicas=2 --replicas=3 deployment/mysql


Problèmes connus

Accéder aux logs

[modifier | modifier le wikicode]

Par exemple si un conteneur ne se lance pas ou se relance toutes les secondes, un motif plus précis qu'en console peut se trouver dans les logs.

Pour le démon :

 tail /var/log/docker.log 

Pour les conteneurs

[modifier | modifier le wikicode]
docker compose logs

Ces deux commandes acceptent l'argument "-f" pour les afficher en temps réel.

Pour un seul conteneur

[modifier | modifier le wikicode]
docker compose logs nom_du_conteneur

ou :

docker logs nom_du_conteneur

Définir les droits des fichiers partagés avec le conteneur

[modifier | modifier le wikicode]

Si le conteneur est amené à modifier les fichiers du volume, par défaut il a les droits root de la machine hôte.

Pour éviter cela, on peut faire un chown www-data dans Dockerfile, ou utiliser UID 1000 (si le compte utilisé par la machine hôte est local).

Récupérer l'IP d'un conteneur

[modifier | modifier le wikicode]
docker inspect -f '{{range .NetworkSettings.Networks}}{{.IPAddress}}{{end}}' nom_du_conteneur
# ou
docker inspect --format='{{.NetworkSettings.Networks.apps.IPAddress}}' nom_du_conteneur # où "apps" est le nom du réseau

Récupérer la version de l'image d'un conteneur

[modifier | modifier le wikicode]
docker image inspect --format 'Modèle:Json .' "nom_du_conteneur"

Réinitialiser les conteneurs à zéro

[modifier | modifier le wikicode]

Logo

Cette opération peut prendre du temps car Docker télécharge à nouveau tous les paquets ensuite.

Linux :

docker rm -f $(docker ps -a -q); docker rmi -f $(docker images -q); docker network rm $(docker network ls -q)

Windows :

docker rm -f $(docker ps -a -q); docker rmi -f $(docker images -q); docker network rm $(docker network ls -q)

La partie network peut être exécutée indépendamment, par exemple en cas de message ERROR: Pool overlaps with other one on this address space.

Messages d'erreur

[modifier | modifier le wikicode]

/usr/bin/env: 'php\r': No such file or directory

[modifier | modifier le wikicode]

Utiliser "winpty". Ex :

docker exec -it php7.3-fpm bash

Sinon[1] :

docker exec -it <container> bash
cd bin
tr -d '\015' <console >console.new
mv console console.old
mv console.new console

Certains conteneurs ne peuvent pas être lancés (timeout)

[modifier | modifier le wikicode]

Vérifier que le partage Windows a bien été fait : clic droit, Settings, Resources, File Sharing, C: (puis relancer Docker Desktop).

Le partage de volume ne fonctionne pas sur Linux

[modifier | modifier le wikicode]

Si ça n'a jamais fonctionné : ajouter son compte au groupe "docker" et redémarrer la machine hôte.

Le partage de volume ne fonctionne pas sur Windows

[modifier | modifier le wikicode]

Si ça n'a jamais fonctionné : ajouter son compte dans le groupe "docker-users", et redémarrer la machine hôte.

C'est peut-être lié à la plage d'IP de Docker, remettre celle par défaut.

Si ça marchait sur Windows 10 pro dans un Active Directory et que ça ne fonctionne plus en dehors de l'AD ou en VPN, c'est un bug avec Docker Desktop 2.1.0.5 qui semble résolu dans la 2.1.6.1. En effet, seul un admin de l'AD peut autoriser le partage des volumes, et le port 445 doit être ouvert.

Pour tester si ça marche :

 docker run -v c:/Users:/data alpine ls data

500: {"Message":"Unhandled exception: Drive has not been shared"}'

[modifier | modifier le wikicode]

Dans Docker Desktop, partager le volume concerné.

502 Bad Gateway dans Nginx et Bus error dans les commandes PHP

[modifier | modifier le wikicode]

Redémarrer Docker Desktop.

Sinon c'est un processus PHP qui gonfle à outrance à cause du code.

ERROR: failed to create new listening socket: socket(): Address family not supported by protocol (97)

[modifier | modifier le wikicode]

Relancer Docker Desktop.

Error: mounting wslCLIDest: stat /mnt/host/c/Program Files/Docker/Docker/resources/wsl/docker-wsl-cli.iso: no such file or directory

[modifier | modifier le wikicode]

Décocher Use the WSL 2 based engine dans les options et relancer Docker Desktop[2].

fatal: not a git repository (or any parent up to mount point /var) Stopping at filesystem boundary (GIT_DISCOVERY_ACROSS_FILESYSTEM not set)

[modifier | modifier le wikicode]

Redémarrer Docker Desktop.

Error response from daemon: Mount denied: The source path "mon_dossier;C" doesn't exist and is not known to Docker

[modifier | modifier le wikicode]

Sous Git Bash dans Windows, il faut préfixer le chemin local par "/". Ex : docker run -it --rm -v /${PWD}:/wkDir $IMAGE_TAG yarn dev[3]

Invalid mode /var/www

[modifier | modifier le wikicode]

Le chemin d'accès dans docker-compose.yml n'est pas compris. Cela se produit pas exemple quand on met des antislashs à la place des slashs.


standard_init_linux.go:211: exec user process caused "no such file or directory"

[modifier | modifier le wikicode]

Cela peut se produire quand des conteneurs testés sur Linux sont utilisés sur Windows.

Il faut changer les retours chariots du fichier appelé par "ENTRYPOINT" dans le Dockerfile, de CRLF (Windows) vers LF (Unix). Ex : dos2unix php7.4-fpm/bin/custom-docker-php-entrypoint

Puis reconstruire et relancer le conteneur.

Autres solutions
[modifier | modifier le wikicode]

On peut aussi lancer "dos2unix" automatiquement depuis le dockerfile sur une copie de l'exéutable[4].

S'il s'agit d'un dépôt Git, on peut aussi le sauvegarder autrement depuis Linux[5] :

  • lancer git config core.autocrlf false
  • créer un fichier .gitattributes[6] contenant text eol=lf

container_linux.go:349: starting container process caused "exec: \"custom-docker-php-entrypoint\": executable file not found in $PATH": unknown

[modifier | modifier le wikicode]

Cela peut se produire quand des conteneurs testés sur Windows sont utilisés sur Linux.

Il faut changer leur donner les droits d'exécution (chmod +x).

Puis reconstruire et relancer le conteneur.


/bin/sh: no such file or directory

[modifier | modifier le wikicode]

Forcer la reconstruction :

DOCKER_BUILDKIT=0 docker compose build

Cannot connect to the Docker daemon. Is the docker daemon running on this host?

[modifier | modifier le wikicode]
sudo usermod -aG docker $USER

Si ça ne marche pas, relancer docker en administrateur.

Cannot start service xxx: Address already in use

[modifier | modifier le wikicode]

Deux processus utilisent le même port.

  • Si c'est deux conteneurs, dans Docker Compose, si l'un des deux avait été retiré, il était peut-être configuré en restart: always et il faut le remettre dans docker-compose.yml pour le stopper.
  • Si l'un vient de la machine hôte, l'identifier avec sudo netstat -tulpn | grep ':80 ' puis le stopper.

Cannot start service xxx :driver failed programming external connectivity on endpoint

[modifier | modifier le wikicode]

Impossible de lancer un conteneur sur Windows :

  • Soit Docker n'a pas accès au volume, et il faut cocher la case "Shared drives" dans Docker Desktop, ou lancer la commande suivante en acceptant le partage :
docker run --rm -v c:/Users:/data alpine ls /data
  • Soit Docker n'a pas accès aux ports de ses conteneurs, et il faut fermer les processus qui les utilisent. Il peut même s'agir d'une deuxième instance de Docker.

Couldn't connect to Docker daemon at http+docker://localhost - is it running?

[modifier | modifier le wikicode]
/etc/init.d/docker start

Si le démon ne se lance pas, upgrader l'OS et redémarrer. Sinon, réinstaller Docker.

Could not resolve host: xxx (pas de DNS)

[modifier | modifier le wikicode]

Revoir la plage d'IP définie dans le paragraphe "networks" de docker-compose.yml.

Device or resource busy, Cette action ne peut pas être réalisée car le fichier est ouvert dans com.docker.backend.exe

[modifier | modifier le wikicode]

C'est un bug connu (sur Linux et Windows) quand composer installe certains paquets[7]. On ne peut supprimer le fichier qu'en fermant tout Docker (sous Windows en tout cas, il ne suffit pas de le redémarrer).

Cela se produit (en cas de réécriture d'historique ?), repartir d'une branche propre avant de relancer "composer install". Sinon, le lancer dans une VM et récupérer le dossier vendor.

Error response from daemon: Get https://xxx: no basic auth credentials

[modifier | modifier le wikicode]

Sur certains dépôts privés, pour faire un docker pull il faut préalablement se loguer. Ex :

 docker login -u mon_utilisateur -p mon_mdp mon_url

Invalid interpolation format for "environment" option in service "documents": "^https?://.*?$"

[modifier | modifier le wikicode]

Échapper le $ interprété dans docker-compose.yml. Par exemple, remplacer :

CORS_ALLOW_ORIGIN: "^https?://.*?$"

par :

CORS_ALLOW_ORIGIN: "^https?://.*?$$"

"encore dev-server --host my_url" ne marche pas

[modifier | modifier le wikicode]

Mapper l'URL définie dans cette commande de package.json, avec 0.0.0.0 dans docker-compose.yml :

    extra_hosts:
      - "my_url:0.0.0.0"


GFDL GFDL Vous avez la permission de copier, distribuer et/ou modifier ce document selon les termes de la licence de documentation libre GNU, version 1.2 ou plus récente publiée par la Free Software Foundation ; sans sections inaltérables, sans texte de première page de couverture et sans texte de dernière page de couverture.