Docker est un logiciel libre conçu pour lancer des applications dans des conteneurs logiciels. Ces conteneurs sont plus légers en ressources que les machines virtuelles car ils partagent leur noyau.

Les conteneurs sont construis à partir d'images qui partages leur couches en différentiel^[1].

Docker met de plus à disposition un hub pour partager des images : https://hub.docker.com/. On y trouve par exemple celles permettant de faire tourner un site en MediaWiki : https://hub.docker.com/_/mediawiki.

Il existe plusieurs versions de Docker^[2] :

• Docker CE (community engine) : gratuit. Idéal sur un PC.
• Docker EE (enterprise engine) : version payante certifiée, plutôt pour les serveurs.
• Docker Enterprise : payant et dispose d'outils supplémentaires, par exemple pour gérer les images et les conteneurs.

Une fois installé, la commande suivante doit fonctionner : docker --version.

En 2019 on trouve des binaires pour les distributions de Linux suivantes : CentOS, Debian, Fedora et Ubuntu^[3].

Solution mise en avant par la doc Docker depuis 2024, mais elle peut poser des problèmes de performances et de permissions. On peut donc installer Docker avec puis le configurer pour qu'il ne se lance plus avec Docker Desktop^[4] :

docker context ls
docker context use default
sudo service docker start

apt-get install ca-certificates curl gnupg lsb-release

mkdir -p /etc/apt/keyrings

curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo gpg --dearmor -o /etc/apt/keyrings/docker.gpg

echo \
      "deb [arch=$(dpkg --print-architecture) signed-by=/etc/apt/keyrings/docker.gpg] https://download.docker.com/linux/ubuntu \
      $(lsb_release -cs) stable" | sudo tee /etc/apt/sources.list.d/docker.list > /dev/null

apt-get update

apt-get install docker-ce docker-ce-cli containerd.io docker-compose-plugin

docker -v

docker compose version

Ancienne méthode, utile pour forcer la version :

apt-get install apt-transport-https ca-certificates curl gnupg-agent software-properties-common
curl -fsSL https://download.docker.com/linux/ubuntu/gpg | apt-key add -
apt-key fingerprint 0EBFCD88
add-apt-repository    "deb [arch=amd64] https://download.docker.com/linux/ubuntu $(lsb_release -cs) stable"
apt-get update
apt-get install docker-ce docker-ce-cli containerd.io
docker -v

curl -L "https://github.com/docker/compose/releases/download/2.11.2/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose
chmod +x /usr/local/bin/docker-compose
docker-compose --version

Après installation, le daemon Docker se lancera à chaque démarrage avec la possibilité de remonter certains conteneurs automatiquement^[5].

sudo usermod -aG docker $USER

Pour relancer Docker si besoin :

sudo systemctl stop docker && sudo systemctl start docker

Depuis 2022, une interface graphique, Docker Desktop est disponible sur Linux :

sudo apt-get install docker-desktop

L'IP du réseau de conteneurs est 172.17.0.1 par défaut (l'associer aux domaines locaux dans /etc/hosts si besoin).

À télécharger depuis https://docs.docker.com/docker-for-mac/install/.

A noter que les performances de Docker Desktop sur Mac ne sont pas au niveau de celles sur Linux, et qu'il existe le partagiciel Orbstack^[6] comme alternative.

Des interfaces graphiques de gestion de conteneur existent, comme Docker Desktop ou Kitematic^[7]. Elles peuvent être intégrées dans un deuxième temps.

Mais le plus simple est de télécharger et installer Docker Desktop depuis le site officiel^[8], car cela installe et configure aussi Docker et Docker Compose.

Sur Windows, Docker Desktop modifie le fichier hosts en ajoutant :

# Added by Docker Desktop
192.168.1.20 host.docker.internal
192.168.1.20 gateway.docker.internal
# To allow the same kube context to work on the host and the container:
127.0.0.1 kubernetes.docker.internal
# End of section

net localgroup docker-users AD\mon_compte /add

Anciennement baptisé Tech Preview, Docker Desktop WSL 2 Backend utilise Windows Subsystem for Linux pour optimiser les performances de Docker sur Windows^[10], en l'installant dans une VM Linux pouvant accéder à C:.

Les images des conteneurs peuvent être stockées dans un registre, privé ou public comme https://hub.docker.com/.

Pour en récupérer une :

 docker login
 docker image pull $IMAGE_NAME || echo " >> missing image"

Exemple :

docker image pull maarch/maarchrm:latest

Les images téléchargées sont stockées :

• Sur Linux, dans /var/lib/docker/.
• Sur MacOS, dans /Users/nom_utilisateur/Library/Containers/com.docker.docker/.
• Sur Windows, dans C:\ProgramData\docker\ ou C:\ProgramData\DockerDesktop\.

Pour mettre à jour une image sur un registre à partir d'un Dockerfile :

 docker image build
 docker image push $IMAGE_NAME

"run" s'utiliser pour lancer un conteneur à partir de son image (automatiquement téléchargée si absente en local). Une fois la commande exécutée, le conteneur s'arrête. Exemple qui liste le dossier courant :

docker run maven:latest ls

bin
boot
dev
etc
home
lib
lib64
media
mnt
opt
proc
root
run
sbin
srv
sys
tmp
usr
var

Pour rester connecté dedans, on utilise le mode interactif (-it) :

docker run -it redis
redis-cli

Pour partager un dossier avec la machine hôte, on peut utiliser "-v" pour "volume", ou "--mount" si le conteneur a des services^[1]. Exemple qui liste le dossier de la machine hôte partagé avec le conteneur :

docker run -it -v "/$(pwd)/":/usr/src/mymaven maven ls usr/src/mymaven

Pour exécuter une commande dans un conteneur. Ex :

docker exec redis sh -c 'pwd'

Autre exemple :

docker exec php8.0-fpm sh -c 'cd /var/www/mon_app; composer install'

Fonctionne aussi avec un fichier :

docker exec redis script.sh

Pour lancer une commande dans tous les conteneurs, il faut créer le fichier suivant^[2] :

for container in `docker ps -q`; do 
  docker inspect --format='{{.Name}}' $container;
  docker exec -it $container $1;
done

Ensuite le lancer avec la commande en paramètre :

./dockers.sh date

/php7.3-fpm
Thu Mar 19 11:15:34 Europs 2020
/php7.4-fpm
Thu Mar 19 12:15:34 Europs 2020

Pour utiliser le conteneur, on peut rentrer dedans en utilisant le mode interactif :

docker exec -it redis bash

Cela permet d'enchainer les commandes (comme si on était sur un serveur hôte en SSH).

Pour lancer un conteneur à construire, il faut le faire depuis le dossier de son Dockerfile^[3] :

docker build .

Pour obtenir la liste des conteneurs lancés :

docker ps

Idem mais avec seulement trois colonnes, triées par nom (colonne n°2) :

docker ps --format "table {{.ID}}\t{{.Names}}\t{{.Ports}}" | (read -r; printf "%s\n" "$REPLY"; sort -k 2 )

Pour tous les conteneurs (lancés ou pas) :

docker ps -a

Pour en supprimer un :

docker rm nom_du_coteneur

Pour toutes les images :

docker image ls

Pour en supprimer une :

docker rmi nom_image

Permet de sauvegarde une image. Pour toutes les sauvegarder :

 docker save $(docker images -q) -o images_docker.tar

On peut ensuite les recharger (par exemple sur une autre machine) avec :

docker load --input images_docker.tar

Pour connaitre la consommation en ressources de chaque conteneur :

docker stats --no-stream

Ex :

CONTAINER ID   NAME    CPU %     MEM USAGE / LIMIT     MEM %     NET I/O           BLOCK I/O         PIDS
f10f50a685a6   app_1   0.00%     77.97MiB / 15.38GiB   0.50%     322kB / 1.19MB    11.1MB / 9.2MB    6
6ef747c18fe3   app_2   1.00%     48.89MiB / 15.38GiB   0.31%     6.67kB / 0B       92.7MB / 5.91MB   6

Pour supprimer les conteneurs arrêtés^[4] :

docker container prune

Les images :

docker image prune

Les réseaux :

docker network prune

Les conteneurs, images et réseaux inutilisés :

docker system prune

Enfin pour les volumes (généralement volumineux) :

docker volume prune

Il existe des filtres^[5] :

• -a all : supprime tout.
• -f force.
• --filter : filtre par clé valeur. Si la clé est "until", alors il filtre par date (ex : until=720h).
• --volumes : supprime les volumes des objets en paramètre.

Par exemple pour purger les images et leurs volumes toutes les nuits à 3 h, on peut créer cette tâche planifiée :

0 3 * * * docker system prune --all --volumes -f

Renommer une image.

Une fois le processus Docker lancé, on peut commencer à lui demander de construire des conteneurs, de zéro ou à partir d'images d'un registre.

Il existe deux sortes de conteneur :

• Celui issu d'une image téléchargée et utilisée telle qu'elle.
• Celui construit avec des instructions personnalisées.

Par convention, les instructions pour construire un conteneur sont écrites dans un fichier appelé "Dockerfile". Il est recommandé de les placer dans un dépôt Git pour les versionner.

Les commentaires sont précédés du croisillon (#).

Permet de copier des fichiers ou dossiers de la machine hôte vers le conteneur^[1].

Crée une variable qui sera accessible dans la première image (FROM). Ex :

ARG NODE_VERSION=10
...
RUN curl -sL https://deb.nodesource.com/setup_${NODE_VERSION}.x | bash

Commande à exécuter au lancement du conteneur.

Copie des fichiers ou dossiers de la machine hôte vers le conteneur^[2]. Ainsi, l'image les embarquera (contrairement à s'ils étaient montés dans un volume).

Ex :

COPY entrypoint.sh /usr/local/bin/entrypoint.sh

La différence avec ADD est qu'il ne prend pas en compte les décompression de .tar et les URLs distantes^[3].

Nom d'un fichier exécutable (par exemple en shell) qui s'exécutera après chaque lancement du conteneur^[4].

Ex :

ENTRYPOINT /usr/local/bin/entrypoint.sh

Le fichier exécuté par l'entrypoint est le principal moyen d'accéder à la machine hôte, puisque le Dockerfile ne peut pas (en dehors de COPY qui peut la lire sans y écrire).

Crée une variable d'environnement accessible à toutes les images du Dockerfile^[5].

Ouvre le port logiciel mentionné du conteneur^[6].

Part d'une image Docker pour en créer une autre qui la complète^[7].

Cela permet par exemple le multistage build : se servir d'une première image comme builder volumineux (avec des sources, des dépendances nécessaires à des installations), duquel on copie seulement les fichiers à utiliser dans une autre image plus légère, qui sera montée en conteneur^[8].

Ajoute une description à une image^[9].

Lance une commande. Ex :

RUN ls

Signal d'arrêt à envoyer au conteneur, au format nombre ou nom. Par exemple SIGKILL pour le tuer.

Se connecte à l'utilisateur et mot de passe en paramètre pour lancer les instructions RUN, CMD ou ENTRYPOINT^[10].

Par ailleurs, pour que le conteneur possède les permissions de l'utilisateur courant^[11] :

docker --user $(id -u):$(id -g)

user: ${CURRENT_UID}

Puis au lancement :

CURRENT_UID=$(id -u):$(id -g) docker compose up -d

La présence de l'opérateur ":" dans les accolades signifie que l'on bascule vers cet utilisateur si la variable est inconnue du .env. Par exemple pour utiliser l'UID 1000 si UID= n'est pas renseigné dans le .env :

user: ${UID:-1000}:${GID:-1000}

Point de montage accessible par l'hôte et les autres conteneurs^[12].

Définit le répertoire de travail, c'est-à-dire celui à partir duquel les commandes partent (ex : pwd), y compris quand on se connecte au conteneur après son montage.

Équivalent à docker --workdir.

Un fichier .dockerignore peut être placé dans un dépôt pour que son conteneur ignore le contenu qui y figure lors des commandes ADD et COPY. Exemple pour Symfony^[13] :

node_modules/*
var/*
vendor/*

Voir https://docs.docker.com/develop/develop-images/dockerfile_best-practices/

Voici un exemple de serveur Apache avec PHP7.1 pour MediaWiki^[14] :

FROM debian:sid

ENV TZ=Europs/Paris
RUN ln -snf /usr/share/zoneinfo/$TZ /etc/localtime && echo $TZ > /etc/timezone

ENV MEDIAWIKI_VERSION wmf/1.30.0-wmf.4

# XXX: Consider switching to nginx.
RUN set -eux; \
	apt-get update; \
	apt-get install -y --no-install-recommends \
		ca-certificates \
		apache2 \
		libapache2-mod-php7.1 \
		php7.1-mysql \
		php7.1-cli \
		php7.1-gd \
		php7.1-curl \
		php7.1-mbstring \
		php7.1-xml \
		imagemagick \
		netcat \
		git \
	; \
	rm -rf /var/lib/apt/lists/*; \
	rm -rf /var/cache/apt/archives/*; \
	a2enmod rewrite; \
	a2enmod proxy; \
	a2enmod proxy_http; \
	# Remove the default Debian index page.
	rm /var/www/html/index.html


# MediaWiki setup
RUN set -eux; \
	mkdir -p /usr/src; \
	git clone \
		--depth 1 \
		-b $MEDIAWIKI_VERSION \
		https://gerrit.wikimedia.org/r/p/mediawiki/core.git \
		/usr/src/mediawiki \
	; \
	cd /usr/src/mediawiki; \
	git submodule update --init skins; \
	git submodule update --init vendor; \
	cd extensions; \
	# Extensions
	# TODO: make submodules shallow clones?
	git submodule update --init --recursive VisualEditor; \
	git submodule update --init --recursive Math; \
	git submodule update --init --recursive EventBus; \
	git submodule update --init --recursive Scribunto; \
	git submodule update --init --recursive ParserFunctions; \
	git submodule update --init --recursive SyntaxHighlight_GeSHi; \
	git submodule update --init --recursive Cite; \
	git submodule update --init --recursive Echo; \
	git submodule update --init --recursive Flow; \
	git submodule update --init --recursive PageImages; \
	git submodule update --init --recursive TextExtracts; \
	git submodule update --init --recursive MobileFrontend; \
	git submodule update --init --recursive TemplateData; \
	git submodule update --init --recursive ParserFunctions; \
	git submodule update --init --recursive Citoid


COPY php.ini /usr/local/etc/php/conf.d/mediawiki.ini

COPY apache/mediawiki.conf /etc/apache2/
RUN echo "Include /etc/apache2/mediawiki.conf" >> /etc/apache2/apache2.conf

COPY docker-entrypoint.sh /entrypoint.sh

EXPOSE 80 443
ENTRYPOINT ["/entrypoint.sh"]
CMD ["apachectl", "-e", "info", "-D", "FOREGROUND"]

FROM php:8.2-fpm

ENV TZ=Europs/Paris
RUN ln -snf /usr/share/zoneinfo/$TZ /etc/localtime && echo $TZ > /etc/timezone

RUN apt-get update && apt-get install -y \
      libxml2-dev \
      libicu-dev \
      libcurl3-dev \
      libsqlite3-dev \
      libedit-dev \
      zlib1g-dev \
      libfreetype6-dev \
      libjpeg62-turbo-dev \
      libmemcached-dev \
      libzip-dev \
      libonig-dev \
      libpq-dev
RUN docker-php-ext-install \
        intl \
        pdo_mysql \
        pdo_pgsql \
        opcache \
        bcmath \
        soap \
        sockets \
        zip \
     && docker-php-ext-configure gd \
     && docker-php-ext-install -j$(nproc) gd

RUN pecl install -f xdebug \
    && export XDEBUG_PATH=`find / -name "xdebug.so"`

RUN curl -sS https://getcomposer.org/installer | php -- --install-dir=/usr/local/bin --filename=composer

WORKDIR /var/www/myApp

CMD ["php-fpm"]

La commande docker compose est un utilitaire généralement fourni avec Docker, permettant d'orchestrer plusieurs images et conteneurs avec la même commande^[1]. Pour ce faire, les paramétrages de l’ensemble des conteneurs doivent être définis dans le fichier docker-compose.yml à la racine du projet. Toutefois il est possible de surcharger des parties de ce fichier au lancement des conteneurs, pour chaque environnement^[2].

Par convention, les paires clés / valeurs de ces fichiers YAML ne sont pas entre apostrophes ou guillemets, mais cela fonctionne aussi avec. Toutefois il existe deux exceptions : les versions, et les associations de ports (contenant des ":"), où les guillemets sont par contre recommandés pour éviter les conflits (avec le "." ou avec le ":" interprété avec des nombres sexagésimaux^[3]).

Version de Docker Compose^[4]. Exemple en 2023 :

 version: "3.8"

Définition du réseau des VM Docker.

Ex :

         networks:
            default:
                ipv4_address: 172.170.0.2

Liste des conteneurs à construire. Pour chacun on peut trouver :

Nom de l'image à télécharger (sur https://hub.docker.com/ ou un dépôt privé). Elle peut être suivie d'un tag pour en indiquer la version.

Exemples :

    image: mariadb

    image: mariadb:latest

    image: mariadb:10.4

"image" permet donc de lancer un groupe d'applications, qui sont par ailleurs lançables individuellement. Mais pour partager des configurations on peut aussi utiliser "extends"^[5] :

  extends:
    file: webapp/docker-compose.yml
    service: webapp

Alternativement à l'image, on peut indiquer le chemin d'un dockerfile pour construire son propre conteneur.

Si le conteneur ne partage aucun fichier avec d'autres, indiquer simplement le nom du dossier contenant le dockerfile :

        build: ./php8.2-fpm

Sinon, préciser le contexte où le conteneur devra récupérer les fichiers partagés nécessaires à son build :

        build:
            context: .
            dockerfile: ./php8.2-fpm/Dockerfile

Mapping des répertoires partagés entre la machine hôte et le conteneur :

        volumes:
            - $HOME/www:/var/www

La variable $HOME vaut "~" par défaut (dossier de l'utilisateur courant), mais peut être remplacée dans le fichier .env.

Mapping du partage des ports. Ex :

        ports:
            - "3306:3306"

Injecte des variables d'environnement dans le conteneur. Très utile pour que les conteneurs soient à l'heure de la machine hôte :

        environment:
            TZ: Europe/Paris

Définit le nom d'un fichier contenant des variables d'environnement récupérables dans docker-compose.yml, avec la syntaxe "${ma_variable}". On peut aussi rajouter une valeur par défaut ensuite. Exemple :

    env_file: .env
    environment:
        HOST_UID: ${UID:-valeur-par-défaut}

Permet de spécifier qu'un conteneur doit en attendre un autre pour être lancé.

Indique si le conteneur doit se lancer au démarrage du daemon Docker (donc de la machine hôte). Vaut "no" par défaut. Ex :

        restart: always

Autre valeur possible :

unless-stopped

Permet de forcer un nom de conteneur.

Permet de forcer un nom de machine dans le conteneur. Utile si on a une application qui doit pointer dessus dans son .env (car "localhost" fonctionne quand le serveur était installé directement sur la machine hôte mais pas dans un conteneur).

Permet de forcer une adresse IP pour le conteneur.

Remplit le /etc/hosts du conteneur. Ex :

extra_hosts:
    - mon_serveur_local.localhost:172.20.0.2

Pour exécuter un script à chaque lancement du conteneur.

    command: ls -alh

ou en multiligne :

   command: |
       ls -alh

</syntaxhighlight> ou :

    command: ['ls', '-alh']

ou si la commande est dans un fichier :

    command: /bin/ls.sh

Pour définir le dernier script exécuté à chaque lancement du conteneur.

Équivalent à docker -t : ajoute un pseudo-terminal pour interagir avec le conteneur.

Exemple de docker-compose.yml contenant un seul conteneur CentOS, qui a le droit d'accéder au dossier ~/www :

version: "3.8"
services:
  centos:
    image: centos/systemd
    volumes:
        - $HOME/www:/var/www

version: "3.8"

networks:
    default:
        driver: bridge
        ipam:
            driver: default
            config:
                - subnet: 172.170.0.0/16

services:
    mariadb:
        hostname: mariadb
        image: mariadb:10.4
        ports:
            - "3306:3306"
        environment:
            MYSQL_ROOT_PASSWORD: wikibooks
        # Partage pour les commandes SQL "into outfile" et "load data infile"
        volumes:
            - $HOME/www:/var/www
        restart: unless-stopped
        networks:
            default:
                ipv4_address: 172.170.0.3

    adminer:
        hostname: adminer
        image: adminer
        ports:
            - 8080:8080
        restart: unless-stopped
        networks:
            default:
                ipv4_address: 172.170.0.4

Pour éviter de maintenir les noms de domaines des conteneurs dans le fichier hosts de la machine hôte, il existe le conteneur du proxy inverse Traefik pour mettre en l’œuvre l'association entre les conteneurs et leurs URLs.

Par ailleurs, sachant que les docker-compose.yml peuvent être utilisés dans des environnements de tests, donc sans besoin d'y accéder par des noms de domaine, il est préférable de séparer le docker-compose.yml en deux : l'un qui sera tout le temps utilisé pour l'application, et l'autre uniquement quand on veut l'utiliser manuellement en complément du premier : il faudra alors monter les conteneurs en précisant leurs deux noms.

Plus besoin de fixer l'IP ici :

version: "3.8"

services:
    mariadb:
        hostname: mariadb
        image: mariadb:10.4
        ports:
            - "3306:3306"
        environment:
            MYSQL_ROOT_PASSWORD: wikibooks
        volumes:
            - $HOME/www:/var/www
        restart: unless-stopped

Par convention, le nom du second docker-compose.yml est docker-compose.override.yml^[6]. Mais on peut en créer un par environnement (ex : docker-compose.test.yml, docker-compose.dev.yml, docker-compose.prod.yml).

Ex :

version: "3.8"
services:
  traefik:
    image: traefik
    command:
      - --providers.docker
      - --entryPoints.web.address=:80
      - --entryPoints.websecure.address=:443
    ports:
      - "80:80"
      - "443:443"
    volumes:
      - /var/run/docker.sock:/var/run/docker.sock

  adminer:
    image: adminer
    labels:
      - traefik.enable=true
      - traefik.http.routers.adminer.rule=Host(`adminer.localhost`)
      - traefik.http.routers.adminer.entryPoints=web
    depends_on:
      - mariadb

Ainsi, la base décrite dans le premier fichier sera accessible par l'Adminer du second sur http://adminer.localhost.

On peut avoir par exemple un serveur Apache avec plusieurs vhosts pointant vers des applications différentes :

  apache:
    labels:
      - traefik.enable=true
      - traefik.http.routers.app.rule=Host(`www.example1.com`) || Host(`www.example2.com`)
      - traefik.http.routers.app.entryPoints=web
      - traefik.http.routers.whoami.entrypoints=web-secure
      - traefik.http.routers.whoami.tls=true
      - traefik.http.routers.whoami.tls.certresolver=certificato
      - traefik.http.routers.whoami.tls.domains[0].main=*.example1.com
      - traefik.http.routers.whoami.tls.domains[1].main=*.example2.com
    hostname: apache
    build: './devops/apache'
    environment:
      TZ: Europe/Paris
      APACHE_LOG_DIR: /var/log/apache2
    volumes:
      - ./apps:/var/www/

Pour relancer le conteneur (sur Windows ou Linux) :

docker compose stop; docker compose build; docker compose start

Pour lancer les conteneurs avec plusieurs docker-compose.yml :

docker compose -f docker-compose.yml -f docker-compose.override.yml up -d

Pour rentrer dedans :

docker compose exec centos bash

Pour rentrer dedans en root :

docker compose exec --user root centos bash

Pour le lancer et rentrer dedans en même temps :

docker compose run centos bash

Pour exécuter une seule commande shell dedans sans y rentrer (en restant depuis la machine hôte) :

docker compose exec centos sh -c 'ls -alh'

Pour voir les logs de tous les conteneurs en live :

 docker compose logs -f

Pour voir les logs d'un seul conteneur :

 docker compose logs nom_du_conteneur

L'emplacement des logs d'un conteneur est visible avec :

 docker inspect --format='{{.LogPath}}' nom_du_conteneur

Pour supprimer les logs de tous les conteneurs sur Linux :

docker compose stop
 find /var/lib/docker/containers/ -type f -name "*.log" -delete
docker compose up -d

Pour ne supprimer les logs que d'un seul conteneur :

docker compose stop mon_conteneur
sudo rm $(sudo docker inspect --format='{{.LogPath}}' mon_conteneur)
docker compose up -d mon_conteneur

Sur Windows, comme les logs sont dans le fichier C:\ProgramData\DockerDesktop\vm-data\DockerDesktop.vhdx, il faut d'abord se connecter à la VM Docker pour exécuter cette commande^[7]. Exemple en DOS :

docker run --privileged -it -v /var/run/docker.sock:/var/run/docker.sock jongallant/ubuntu-docker-client 
docker run --net=host --ipc=host --uts=host --pid=host -it --security-opt=seccomp=unconfined --privileged --rm -v /:/host alpine /bin/sh
chroot /host

Kubernetes est un logiciel open-source sorti en 2015 pour orchestrer de plusieurs conteneurs avec des options de quotas, scalabilité horizontale, déploiement sans coupure de service et relance automatique en cas d'indisponibilité. Pour ces raisons, il est plus orienté pour la production que pour le développement^[1], de plus il nécessite d'utiliser des images Docker déjà construites.

La configuration peut être stockée dans des fichiers .yaml et modifiée par la commande kubectl^[2], ou via l'interface graphique Dashboard^[3]. De plus, il est nécessaire de lancer un cluster contenant les conteneurs via kubeadm^[4].

Sur Debian ou ses dérivés^[5] :

 sudo apt-get install -y apt-transport-https ca-certificates curl gpg
 curl -fsSL https://pkgs.k8s.io/core:/stable:/v1.29/deb/Release.key | sudo gpg --dearmor -o /etc/apt/keyrings/kubernetes-apt-keyring.gpg
 echo 'deb [signed-by=/etc/apt/keyrings/kubernetes-apt-keyring.gpg] https://pkgs.k8s.io/core:/stable:/v1.29/deb/ /' | sudo tee /etc/apt/sources.list.d/kubernetes.list

 sudo apt-get update
 sudo apt-get install -y kubelet kubeadm kubectl
 sudo apt-mark hold kubelet kubeadm kubectl

Test :

kubectl --help

Pour éviter de taper chaque commande, il existe une interface graphique gratuite nommée k9s, pouvant exploiter la conf de kubectl : https://k9scli.io/topics/install/.

Cela nécessite le gestionnaire de paquets Homebrew :

 /bin/bash -c "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh)"

Puis :

 brew install derailed/k9s/k9s

Par exemple on peut déclencher un cronjob avec "t" ou rentrer dans un conteneur en shell avec "s".

Un pod désigne un groupe de conteneur géré par Kubernetes^[6].

Un replica set désigne un ensemble de pods, dont le nombre maximum peut y être défini.

Liste de variables d'environnement chiffrées, généralement des mots de passe.

Ils sont chiffrés via "kubeseal", à partir d'un fichier YAML non versionné contenant les chaines encodées en base64.

Ce fichier contient plusieurs paramètres, par exemple le type. Il en existe huit, "opaque" étant celui par défaut^[7].

La commande de chiffrement quant-à-elle permet de définir le scope des secrets^[8] :

• strict (par défaut) : le nom et le namespace ne peuvent pas changer sans rechiffrer.
• namespace-wide : utilisable dans tout le namespace.
• cluster-wide : utilisable dans tout le cluster.

Toutefois on peut aussi les mettre dans le .yaml. Ex : metadata:

 annotations:
   sealedsecrets.bitnami.com/cluster-wide: "true"

Lance un conteneur dédié à une tâche planifiée (cron), à chaque fois qu'elle tourne^[9].

Accès à l'application (DNS).

Persistent volume : stocke des données indépendamment du redémarrage des pods.

Liste des éléments du serveur :

kubectl get -A all

Pour voir le log de la sortie standard d'un conteneur :

kubectl logs -f mon_conteneur

Pour rentrer dans un conteneur :

kubectl exec -it mon_conteneur -- /bin/bash

Pour augmenter le nombre de pods dans un replicatset. Par exemple si on peut passer le nombre de 2 à 3 sur "mysql"^[10] :

kubectl scale --current-replicas=2 --replicas=3 deployment/mysql

Par exemple si un conteneur ne se lance pas ou se relance toutes les secondes, un motif plus précis qu'en console peut se trouver dans les logs.

Pour le démon :

 tail /var/log/docker.log 

docker compose logs

Ces deux commandes acceptent l'argument "-f" pour les afficher en temps réel.

docker compose logs nom_du_conteneur

ou :

docker logs nom_du_conteneur

Si le conteneur est amené à modifier les fichiers du volume, par défaut il a les droits root de la machine hôte.

Pour éviter cela, on peut faire un chown www-data dans Dockerfile, ou utiliser UID 1000 (si le compte utilisé par la machine hôte est local).

docker inspect -f '{{range .NetworkSettings.Networks}}{{.IPAddress}}{{end}}' nom_du_conteneur
# ou
docker inspect --format='{{.NetworkSettings.Networks.apps.IPAddress}}' nom_du_conteneur # où "apps" est le nom du réseau

docker image inspect --format 'Modèle:Json .' "nom_du_conteneur"

Linux :

docker rm -f $(docker ps -a -q); docker rmi -f $(docker images -q); docker network rm $(docker network ls -q)

Windows :

docker rm -f $(docker ps -a -q); docker rmi -f $(docker images -q); docker network rm $(docker network ls -q)

La partie network peut être exécutée indépendamment, par exemple en cas de message ERROR: Pool overlaps with other one on this address space.

Utiliser "winpty". Ex :

docker exec -it php7.3-fpm bash

Sinon^[1] :

docker exec -it <container> bash
cd bin
tr -d '\015' <console >console.new
mv console console.old
mv console.new console

Vérifier que le partage Windows a bien été fait : clic droit, Settings, Resources, File Sharing, C: (puis relancer Docker Desktop).

Si ça n'a jamais fonctionné : ajouter son compte au groupe "docker" et redémarrer la machine hôte.

Si ça n'a jamais fonctionné : ajouter son compte dans le groupe "docker-users", et redémarrer la machine hôte.

C'est peut-être lié à la plage d'IP de Docker, remettre celle par défaut.

Si ça marchait sur Windows 10 pro dans un Active Directory et que ça ne fonctionne plus en dehors de l'AD ou en VPN, c'est un bug avec Docker Desktop 2.1.0.5 qui semble résolu dans la 2.1.6.1. En effet, seul un admin de l'AD peut autoriser le partage des volumes, et le port 445 doit être ouvert.

Pour tester si ça marche :

 docker run -v c:/Users:/data alpine ls data

Dans Docker Desktop, partager le volume concerné.

Redémarrer Docker Desktop.

Sinon c'est un processus PHP qui gonfle à outrance à cause du code.

Relancer Docker Desktop.

Décocher Use the WSL 2 based engine dans les options et relancer Docker Desktop^[2].

Redémarrer Docker Desktop.

Sous Git Bash dans Windows, il faut préfixer le chemin local par "/". Ex : docker run -it --rm -v /${PWD}:/wkDir $IMAGE_TAG yarn dev^[3]

Le chemin d'accès dans docker-compose.yml n'est pas compris. Cela se produit pas exemple quand on met des antislashs à la place des slashs.

Cela peut se produire quand des conteneurs testés sur Linux sont utilisés sur Windows.

Il faut changer les retours chariots du fichier appelé par "ENTRYPOINT" dans le Dockerfile, de CRLF (Windows) vers LF (Unix). Ex : dos2unix php7.4-fpm/bin/custom-docker-php-entrypoint

Puis reconstruire et relancer le conteneur.

On peut aussi lancer "dos2unix" automatiquement depuis le dockerfile sur une copie de l'exéutable^[4].

S'il s'agit d'un dépôt Git, on peut aussi le sauvegarder autrement depuis Linux^[5] :

• lancer git config core.autocrlf false
• créer un fichier .gitattributes^[6] contenant text eol=lf

Cela peut se produire quand des conteneurs testés sur Windows sont utilisés sur Linux.

Il faut changer leur donner les droits d'exécution (chmod +x).

Puis reconstruire et relancer le conteneur.

Forcer la reconstruction :

DOCKER_BUILDKIT=0 docker compose build

sudo usermod -aG docker $USER

Si ça ne marche pas, relancer docker en administrateur.

Deux processus utilisent le même port.

• Si c'est deux conteneurs, dans Docker Compose, si l'un des deux avait été retiré, il était peut-être configuré en restart: always et il faut le remettre dans docker-compose.yml pour le stopper.
• Si l'un vient de la machine hôte, l'identifier avec sudo netstat -tulpn | grep ':80 ' puis le stopper.

Impossible de lancer un conteneur sur Windows :

• Soit Docker n'a pas accès au volume, et il faut cocher la case "Shared drives" dans Docker Desktop, ou lancer la commande suivante en acceptant le partage :

docker run --rm -v c:/Users:/data alpine ls /data

• Soit Docker n'a pas accès aux ports de ses conteneurs, et il faut fermer les processus qui les utilisent. Il peut même s'agir d'une deuxième instance de Docker.

/etc/init.d/docker start

Si le démon ne se lance pas, upgrader l'OS et redémarrer. Sinon, réinstaller Docker.

Revoir la plage d'IP définie dans le paragraphe "networks" de docker-compose.yml.

C'est un bug connu (sur Linux et Windows) quand composer installe certains paquets^[7]. On ne peut supprimer le fichier qu'en fermant tout Docker (sous Windows en tout cas, il ne suffit pas de le redémarrer).

Cela se produit (en cas de réécriture d'historique ?), repartir d'une branche propre avant de relancer "composer install". Sinon, le lancer dans une VM et récupérer le dossier vendor.

Sur certains dépôts privés, pour faire un docker pull il faut préalablement se loguer. Ex :

 docker login -u mon_utilisateur -p mon_mdp mon_url

Échapper le $ interprété dans docker-compose.yml. Par exemple, remplacer :

CORS_ALLOW_ORIGIN: "^https?://.*?$"

par :

CORS_ALLOW_ORIGIN: "^https?://.*?$$"

Mapper l'URL définie dans cette commande de package.json, avec 0.0.0.0 dans docker-compose.yml :

    extra_hosts:
      - "my_url:0.0.0.0"