Noble, serveur, virtualisation

docker

Docker est un logiciel libre (sous licence Apache 2.0) à mi-chemin entre la virtualisation applicative et l'automatisation. Il permet de manipuler des conteneurs de logiciels. Il isole les processus les uns des autres pour créer une virtualisation de haut niveau.
Contrairement aux systèmes de virtualisation, Docker n'embarque pas tout le système d'exploitation invité (tel que le noyau) mais ne s'occupe que de la partie haut niveau. Il utilise le noyau de l'hôte et ne fait fonctionner que le strict nécessaire sur les invités. Ceci allège grandement les images invitées et les ressources nécessaires à leur fonctionnement tout en assouplissant la distribution de celles-ci.

Docker permet ainsi de décrire un environnement complet de développement ou de production pour en faciliter la portabilité. Il est théoriquement spécifiquement orienté serveur (LAMP, NodeJS, CMS, SSG, etc.) mais fonctionne en pratique aussi pour n'importe quel service, utilitaire, ou application en ligne de commande.

Plus simplement, Docker permet de distribuer et donc télécharger, installer et faire fonctionner facilement une application ou un ensemble de services sur n'importe quelle distribution Linux depuis un dépôt d'images standard, Docker Hub. Ceci le rend extrêmement pertinent pour monter un serveur auto-hébergé, dans le but général de déployer rapidement divers outils à usage privé ou semi-privé, pour éventuellement les découvrir en les essayant.¹⁾ En fonction des images choisies et de leurs configurations, sa souplesse et sa fiabilité le rendent tout aussi apte à fournir des services en production, même lorsque ceux-ci sont basés sur des technologies disparates.

Pour mettre en place un serveur LAMP grâce à Docker, n'hésitez pas à consulter ce tutoriel.

Docker n'est pas compatible avec Windows Subsystem for Linux 1. Pour l'utiliser vous devez convertir votre subsystem en version 2 (wsl.exe --set-version ubuntu 2).

Fonctionnement

Containers

Docker fonctionne en compartimentant les containers (qui hébergent chacun un service), et l'hôte, la machine sur laquelle il est installé.

Ces containers sont basés sur des distributions Linux minimalistes (souvent Alpine ou Debian-slim, Ubuntu est aussi disponible), sur lesquelles on passe des commandes pour installer des logiciels ou les configurer. Cela se fait dans un fichier Dockerfile (qui est donc principalement une liste de commandes qui décrit l'image du container, à la manière d'un script bash).
On peut échanger ce fichier Dockerfile et les images générées sur Docker Hub en particulier, ce qui permet aux éditeurs et développeurs de distribuer leurs applications web.
Ceci permet de télécharger des images pré-construites, qui embarquent absolument toutes les dépendances d'un service ou d'une application (on trouve aussi des outils en ligne de commande, qui ne sont pas spécifiques aux serveurs). Une seule ligne de commande suffit à les récupérer (la première fois) et les exécuter (à chaque fois).

La communication de l'intérieur du container avec un autre container ou avec l'hôte doit être paramétrée : les containers sont des bacs à sable, leur contenu est isolé comme derrière un pare-feu global (c'est un principe qu'on retrouve avec Flatpak par exemple, et cela assure une certaine sécurité par design).
Pour utiliser un container on peut faire correspondre un port interne à un port externe, un répertoire interne à un répertoire externe, lui passer les variables d'environnement de son choix, etc. : chaque lien doit être défini par une relation (binding) hôte:container (c'est la syntaxe utilisée).

Selon le paradigme Docker : un processus = un conteneur.
C'est un facteur à prendre en compte pour choisir entre LXC et Docker.

Non-persistance

Une autre particularité de Docker est le fait que pour permettre ce fonctionnement, tous les containers doivent être réinitialisés à chaque lancement.
Toutes les données devant être persistées, fichiers et bases de données, doivent se trouver ailleurs, généralement sur l'hôte ou dans un volume spécifique.
Il s'agit d'une stricte séparation entre le logiciel générique et les fichiers utiles, propres à notre instance.
D'où l'intérêt primordial des correspondances (bindings) hôte:container ou volume:container décrites au-dessus. On ne conserve jamais rien d'utile seulement dans un container, il doit toujours pouvoir être considéré comme une sorte de moteur applicatif vierge, qu'il est inutile de sauvegarder !

Docker Compose

Tout ces paramètres peuvent évidemment rendre la ligne de commande assez longue !
C'est là l'intérêt du fichier docker-compose.yml qui les décrit en YAML, un format particulièrement simple et lisible.

Un seul fichier docker-compose.yml permet de décrire plusieurs containers (pour un serveur LAMP par exemple Apache, PHP-FPM, MariaDB, MailHog, etc.).
Le déploiement d'un environnement complet pour une, voire plusieurs application(s) web peut alors se résumer à la récupération d'un docker-compose.yml (parfois accompagné d'autres fichiers : Dockerfile, fichiers de configuration destinés à être copiés dans le container, etc.) suivie de la commande :

docker compose up

La définition complète de l'environnement pèse ainsi seulement quelques kilooctets, et son partage ou sa migration vers une nouvelle machine sont extrêmement rapides et faciles.

Installation

Docker est disponible dans les dépôts officiels APT d'Ubuntu.
Il est aussi distribué par ses développeurs dans des versions plus récentes sur leur propre dépôt APT.
Il existe aussi un paquet snap maintenu par Canonical.

Podman est une alternative à Docker, qui en reprend presque exactement le fonctionnement et les commandes. Il est moins répandu mais il se propose d'en améliorer la sécurité en permettant son utilisation sans privilège administrateur.²⁾

Dépôts APT Ubuntu

Docker est disponible dans les dépôts officiels d'Ubuntu.
Pour l'installer il suffit donc d'installer le paquet docker.io, et le paquet docker-compose-v2 pour profiter de Docker Compose.

Si on préfère Podman à Docker, il suffit d'installer à la place les paquets podman et podman-compose.

Dépôt APT Docker

C'est la méthode officiellement recommandée par les développeurs de Docker,³⁾ et celle qui permet de disposer des versions les plus à jour.

Vous trouverez ces informations concernant l'installation de Docker sur Ubuntu en anglais sur son site officiel. N'hésitez pas à consulter cette page pour vérifier l'actualité des informations traduites ci-dessous.

Désinstaller les anciennes versions :

Les autre versions de Docker sont ou étaient appelées docker, docker.io ou docker-engine. Si celles-ci sont installées, désinstallez-les !
Pour vérifier ce qui est installé lié à docker :

apt list -i ~ndocker

puis supprimer :

sudo apt autoremove docker.io docker-compose

Le contenu de /var/lib/docker/, y compris les images, les conteneurs, les volumes et les réseaux, sont préservés. Si vous n'avez pas besoin de sauvegarder vos données existantes et que vous souhaitez commencer par une installation propre, reportez-vous à (en) uninstall Docker Engine.

Voir aussi éventuellement :

snap list | grep docker

Ajouter la clé GPG officielle de Docker :

sudo apt update
sudo apt install ca-certificates curl
sudo install -m 0755 -d /etc/apt/keyrings
sudo curl -fsSL https://download.docker.com/linux/ubuntu/gpg -o /etc/apt/keyrings/docker.asc
sudo chmod a+r /etc/apt/keyrings/docker.asc

Ajouter le dépôt aux sources APT :

echo \
  "deb [arch=$(dpkg --print-architecture) signed-by=/etc/apt/keyrings/docker.asc] https://download.docker.com/linux/ubuntu \
  $(. /etc/os-release && echo "${UBUNTU_CODENAME:-$VERSION_CODENAME}") stable" | \
  sudo tee /etc/apt/sources.list.d/docker.list > /dev/null
sudo apt update

Installer les paquets docker :

sudo apt install docker-ce docker-ce-cli containerd.io docker-buildx-plugin docker-compose-plugin

Snap

Docker est disponible en snap depuis Snapcraft. Ce snap est généralement plus à jour que le paquet deb des dépôts APT Ubuntu, mais un peu moins que celui du dépôt APT Docker.

On peut simplement installer l'application Docker depuis le centre d'applications (Snap Store), ou installer le paquet docker en ligne de commande :

snap install docker

Docker Compose est inclus.

Docker Desktop

Il existe aussi Docker Desktop qui inclut beaucoup de chose donc Docker Compose, Kubernetes… et une interface graphique… MAIS la page https://docs.docker.com/desktop/install/linux-install/ (EN) précise bien que sous Linux, cela nécessite une machine virtuelle pour fonctionner, ce qui est un peu dommage… libre à vous !

Pour profiter d'une interface graphique il est probablement bien plus pratique d'utiliser Portainer, lui-même étant distribué en image Docker !

Configuration

Dans un environnement privé, vous pouvez éventuellement ajouter votre utilisateur au groupe docker afin de manipuler les containers sans avoir à utiliser sudo systématiquement :

N'ajoutez pas votre utilisateur au groupe docker sur un serveur accessible publiquement : cette méthode pose un problème de sécurité. Il devient en effet possible d'élever les privilèges de l'utilisateur sans entrer à nouveau de mot de passe. Si vous êtes sur un serveur en production n'entrez pas cette commande et utilisez la commande sudo docker au lieu de docker pour l'ensemble des opérations.

sudo usermod -aG docker $USER

Vous devez fermer et rouvrir votre session pour que les changements prennent effet.

Une fois Docker installé, vous pouvez lancer le service :

sudo service docker start

et vérifier s'il fonctionne correctement (n'oubliez pas le sudo devant la commande docker si vous n'avez pas ajouté votre utilisateur au groupe docker) :

docker run hello-world

À la première exécution, Docker ne doit pas trouver l'image de l'application hello-word en local. Il va alors tenter de télécharger la dernière version. En cas de réussite, il exécute l'application qui affiche une simple page d'explication sur la sortie standard et s'arrête.

Utilisation

Manipulation d’images

Prendre une Debian sur le dépôt officiel de Docker et se connecter dessus :

docker pull debian
docker run -i -t debian /bin/bash

Faire tout ce qu’on veut sur la nouvelle image

root@xxxxxx# …

Et sauvegarder les changements

root@xxxxxx# exit
docker commit xxxxxx le_nom_de_l_image

Supprimer une image :

docker image rm id_ou_nom_de_l_image

ou:

docker rmi id_ou_nom_de_l_image

Manipulation de conteneurs

JOB1=$(docker run -d conteneur)
docker logs $JOB1
docker stop $JOB1

Voir les conteneurs actifs ou les lister tous ou lister id des actifs :

docker container ps
docker container ps -a
docker container ps -q

Supprimer un conteneur ou supprimer tous les conteneurs :

docker container rm $JOB1
docker container rm id_du_conteneur
docker container rm $(docker container ps -a -q)

Manipulation de volumes

Créer un volume

docker volume create le_nom_du_volume

Lister les volumes

docker volume ls

Supprimer un ou plusieurs volumes (-f pour forcer la suppression)

docker volume rm le_nom_du_volume1 le_nom_du_volume2

Supprimer les volumes orphelins vue que avec l'utilisation progressive de docker il y'aura pas mal de volumes orphelins qui prendraient beaucoup d'espace disque

docker volume rm $(docker volume ls -qf dangling=true)

Import, export

Une des grandes forces de Docker est de pouvoir exporter et importer très facilement les images.

Exporter un container en tar.gz :

docker export 419eed6ff306 > nginx.tgz

Importer un tar.gz :

docker import - nginx < nginx.tgz

Automatisation avec un Dockerfile

Le dockerfile est un fichier texte qui inclut une liste d'actions à exécuter pour construire une image.

Par exemple une image simpliste de Apache pourrait ressembler à ça :

# Apache et PHP dans un container
#
# VERSION               0.0.1
#

FROM     debian:wheezy
MAINTAINER Adminrezo "admin@adminrezo.fr"

ENV DEBIAN_FRONTEND noninteractive

# Depots, mises a jour et installs

RUN (apt-get update && apt-get upgrade -y -q && apt-get dist-upgrade -y -q && apt-get -y -q autoclean && apt-get -y -q autoremove)
RUN apt-get install -y -q apache2 libapache2-mod-php5 php5 supervisor
RUN rm /var/www/index.html
ADD index.php /var/www/index.php

# Config de Apache

ENV APACHE_RUN_USER www-data
ENV APACHE_RUN_GROUP www-data
ENV APACHE_LOG_DIR /var/log/apache2

EXPOSE 80

# Demarrage des services

RUN mkdir -p /var/log/supervisor
ADD apache.conf /etc/supervisor/conf.d/apache.conf

CMD source /etc/apache2/envvars && exec /usr/sbin/apache2 -DFOREGROUND

MAINTAINER : nom et mail de mainteneur du conteneur
FROM : image de base (ubuntu, debian)
VOLUME : Point de montage
RUN : commande à exécuter pour installer le conteneur.
ENTRYPOINT : commande qui s’exécute au démarrage du conteneur (une seule sera exécutée).
CMD : commande qui s’exécute au démarrage du conteneur.
ADD : Copier un fichier du répertoire courant dans le filesystem du conteneur.
USER : utilisateur qui exécute les commandes dans le conteneur.
EXPOSE : Port(s) à exposer à l’exterieur.

Construire un conteneur :

docker build -t nom_du_conteneur .

Divers

Date et heure

La date et l'heure du conteneur est basée sur celle du système hôte. Cependant il est possible de constater un écart d'heure entre le système et le conteneur. Ceci est dû au fait que le conteneur peut-être configuré sur un autre fuseau horaire (timezone).

Date de votre système et fuseau :
```
date
cat /etc/timezone
```

Date du conteneur et fuseau :

sudo docker attach CONTENEUR
date
cat /etc/timezone

ou :

docker exec CONTENEUR bash -c "date ;  cat /etc/timezone"

Réglage du fuseau depuis le conteneur
```
sudo docker attach CONTENEUR 
sudo dpkg-reconfigure tzdata
```
(se détacher du conteneur : CTRL-p CTRL-q)

Cette technique ci-dessus n'est pas forcément pertinente/persistante. Préférer ce qui suit :

Créer un conteneur avec la time Zone configurée. Pour cela utiliser la variable d'environnement "TZ" (voir ce post )
```
docker run -e TZ=Europe/Amsterdam debian:jessie date
```

Dans le Dockerfile : ajouter la ligne

ENV TZ Europe/Amsterdam

ou encore :

ENV TZ=America/Los_Angeles
RUN ln -snf /usr/share/zoneinfo/$TZ /etc/localtime && echo $TZ > /etc/timezone

Désinstallation

Pour supprimer cette application, il suffit de supprimer son paquet. Selon la méthode choisie, la configuration globale de l'application est conservée ou supprimée. Les journaux du système, et les fichiers de préférence des utilisateurs dans leurs dossiers personnels sont toujours conservés.

Voir aussi

docker_lamp Mettre en place un serveur web (LAMP) à base de conteneurs docker
Comment installer Gitlab-ce avec Docker pour son poste de travail
Tutoriels et articles en français sur Docker
Documentation officielle
Tutoriel sur developpez.com (mis à jour en mai 2017)
Docker et les containers sous Debian 8 (oct 2014)
Podman, une alternative à Docker

Contributeurs : Chacmool, chamblard, krodelabestiole

¹⁾

Voir le sujet Docker : pour ou contre ? sur le forum

²⁾

Voir Podman vs. Docker : quel moteur de conteneur choisir ?

³⁾

Install using the apt repository

Table des matières