Introduction Docker engine Docker Compose Docker Swarm

Introduction à Docker

Alexandre Ancel <[Link]@[Link]>

Contenu original :
Johan Moreau <[Link]@[Link]>

IRCAD / IHU Strasbourg - Institut de Chirurgie Guidée par l’Image

04 juillet 2017 / 06 juillet 2017

1 / 71
Introduction Docker engine Docker Compose Docker Swarm

Plan

1 Introduction
Un conteneur : kezako ?
Docker, la petite histoire

2 Docker engine

3 Docker Compose

4 Docker Swarm

2 / 71
Introduction Docker engine Docker Compose Docker Swarm

Un conteneur : kezako ?

3 / 71
Introduction Docker engine Docker Compose Docker Swarm

Un conteneur (jolie métaphore), c’est quoi ?

Les mêmes idées que la virtualisation, mais sans virtualisation :

Agnostique sur le contenu et le transporteur
Isolation et automatisation
Principe d’infrastructure consistante et répétable
Peu d’overhead par rapport à une VM ! 1

En gros, un super chroot (ou un jails BSD plus

sympa) : Un des points forts de Solaris depuis plusieurs
années. Techno existante aussi chez Google depuis
longtemps. Rien de neuf, mais pourtant ...

Certains parlent de virtualisation ”niveau OS” ou

”légère”, isolation applicative
1
[Link]
4 / 71
Introduction Docker engine Docker Compose Docker Swarm

Différences entre VM et conteneur

5 / 71
Introduction Docker engine Docker Compose Docker Swarm

2
Liaison avec le noyau Linux et autres OS
Une belle évolution de Linux :
Mount namespace (Linux 2.4.19)
PID namespace (Linux 2.6.24) - x PID/process
Net namespace (Linux 2.6.19-2.6.24)
User namespace (Linux 2.6.23-3.8)
IPC namespace (Linux 2.6.19-2.6.30)
UTS namespace (Linux 2.6.19) - host et domain
cgroups (Linux 2.6.24) - gérer la limitation de ressource
AUFS/BTRFS: FS/couche, mode union, copy on write

En gros, les éléments noyaux sont en place depuis Linux 2.6.32

Minimum requis pour la stabilité des fonctionnalités : 3.10
Mais natif depuis 2016 sur OSX et Windows
2
[Link]
6 / 71
Introduction Docker engine Docker Compose Docker Swarm

Qu’est ce que Docker vous permet de faire ?

Proposer/diffuser des applications dans un
environnement maitrisé (Docker/Dockerfiles)
Problèmes de versions et de dépendances pour une application
Versions de dépendances : Version spécifique d’OS,
installations personnelles ...
Proposer un package binaire universel
Documenter la procédure d’installation pour soi-même ou les
curieux
⇒ Répétabilité, consistance
Déployer un ensemble d’applications (docker-compose)
Description du fonctionnement d’un ensemble de services et de
leurs interactions
Par exemple: Apache + PHP + Mariadb + Redis
Passage à l’échelle d’un ensemble d’applications
(docker-compose/swarm) : multi-hôtes
Augmenter le nombre de service lancé avec répartition de
charge entre plusieurs machines.
7 / 71
Introduction Docker engine Docker Compose Docker Swarm

Docker, la petite histoire

8 / 71
Introduction Docker engine Docker Compose Docker Swarm

De dotcloud à docker
La petite histoire :
DotCloud 3 équivalent FR à Heroku (PAAS)
Construit sur LXC et AUFS + dev. kernel linux
Développement interne d’un cli en python (dc)
Pas mal de soucis sur la gestion des conteneurs:
coucurrence ...

Docker - vers la simplification :

Projet jeune en Golang 4 : 1er commit le 18/01/2013
Dans le top15 sur GitHub (approche les 800 contributeurs) en 2015
21 millions de téléchargement fin 2014
Linux 64bits avec LXC/libcontainer 5
3
[Link]
introduction-to-docker-december-2014-tour-de-france-bordeaux-special-edition
4
[Link]
5
[Link]
9 / 71
Introduction Docker engine Docker Compose Docker Swarm

En fait docker, c’était pour rire, bienvenu à Moby

10 / 71
Introduction Docker engine Docker Compose Docker Swarm

Docker
Terminologie :
client/server : outil utilisant l’API du serveur/Daemon
index : répertoire public ([Link]
image : conteneur en lecture seule (couches = snapshot)
conteneur : élément manipulable

Analogie avec le développement objet :

Images équivalentes aux classes
Les couches sont équivalentes à l’héritage
Les conteneurs sont des instances

11 / 71
Introduction Docker engine Docker Compose Docker Swarm

Docker

Les points forts :

Installation simple (Linux, OSX,
Windows) 6
Ligne de commande très sympathique
(docker help)
Langage de description des images (avec
notion de parent)
Communauté très active (trop ?)
API pour pilotage, écosystème jeune mais
déjà énorme :
Gui 7 , Orchestration, hébergement
cloud, intégration continue, OS, ...

6
[Link]
7
[Link]
12 / 71
Introduction Docker engine Docker Compose Docker Swarm

Évidement, il faut vivre : CE vs EE8

8
RBAC LDAP/AD, gestion des images avancées, scan d’images, etc ...
13 / 71
Introduction Docker engine Docker Compose Docker Swarm

Version en [Link]

14 / 71
Introduction Docker engine Docker Compose Docker Swarm

Plan

1 Introduction

2 Docker engine
Les commandes de bases
Les images
La persistance des données
Le réseau
La sécurité
Des exemples

3 Docker Compose

4 Docker Swarm

15 / 71
Introduction Docker engine Docker Compose Docker Swarm

Les commandes de bases

16 / 71
Introduction Docker engine Docker Compose Docker Swarm

Préambule

Utilisation de docker
Sudo ou non ? Groupe docker
Syntaxe de la commande
A l’ancienne:
$ d o c k e r <command> <o p t i o n s > <image> <commande>

Exemple:
$ d o c k e r r u n h e l l o −w o r l d

Avec les regroupements logiques (management commands)

depuis la version 1.139 :
$ d o c k e r <management command> <command> <o p t i o n s > <image>

Exemple:
$ d o c k e r c o n t a i n e r r u n h e l l o −w o r l d

9
[Link]
17 / 71
Introduction Docker engine Docker Compose Docker Swarm

Docker 10110

$ d o c k e r c o n t a i n e r r u n − i −t u b un t u / b i n / b a s h

run : on veut lancer le conteneur

-i -t : on veut un terminal et être interactif avec lui
ubuntu : l’image à utiliser pour ce conteneur
/bin/bash : on lance bash
$ d o c k e r c o n t a i n e r r u n − i −t u b un t u / b i n / b a s h
r o o t @ 0 b c 8 2 3 5 6 b 5 2 d 9 :/# c a t / e t c / i s s u e
Ubuntu 1 4 . 0 4 . 2 LTS
r o o t @ 0 b c 8 2 3 5 6 b 5 2 d 9 :/# e x i t

10
Les images de base sont très légères pas de ifconfig (net-tools)/ping(iputils-ping)
18 / 71
Introduction Docker engine Docker Compose Docker Swarm

Démarrage d’un conteneur

En quoi consiste le démarrage du container:

Recherche de l’image
⇒ Si l’image n’existe pas en local, alors téléchargement via le
hub. Construction du système de fichiers au sens Linux
Démarrage du container
Configuration de l’adresse IP du container
⇒ Ainsi que de la communication entre l’extérieur et le
container
Capture des messages entrées-sorties

19 / 71
Introduction Docker engine Docker Compose Docker Swarm

1 seul processus

Philosophiquement, n’exécute qu’un seul processus à la fois

un container = une application (ou processus)
pas d’exécution de daemons, de services, ssh, etc.
même le processus init n’existe pas
sinon l’utilisation des outils particuliers tels que supervisord,
forever, ...

docker c o n t a i n e r top mycontainer

d o c k e r c o n t a i n e r i n s p e c t −−f o r m a t { { . S t a t e . P i d }} ‘ d o c k e r p s −q ‘

20 / 71
Introduction Docker engine Docker Compose Docker Swarm

Docker in the shell : Images

Les principales commandes :

Listing 1: Gestion des images

# L a n c e l e daemon d o c k e r ( S i p a s de c o n f i g u r a t i o n en s e r v i c e )
s u d o / u s r / b i n / d o c k e r −d &

# R e c h e r c h e une image d a n s l a r e g i s t r y ( I m p o r t a n c e du ” / ” )
d o c k e r s e a r c h u bu n t u

# R e c u p e r a t i o n de l a d e r n i e r e image s t a c k b r e w / u bu n t u i m a g e s
d o c k e r image p u l l s t a c k b r e w / u bu n t u

# A f f i c h e l ’ h i s t o r i q u e d ’ une image
d o c k e r image h i s t o r y s t a c k b r e w / u b un t u

# A f f i c h e l a l i s t e des images l o c a l e s
docker images

21 / 71
Introduction Docker engine Docker Compose Docker Swarm

Docker in the shell : Conteneurs

Les principales commandes :
Listing 2: Gestion des conteneurs
# I n s t a n c i e un c o n t e n e u r a p a r t i r d ’ une image en mode i n t e r a c t i f
d o c k e r c o n t a i n e r r u n − i −t s t a c k b r e w / u b un t u / b i n / b a s h
d o c k e r c o n t a i n e r r u n − i −t −−rm −−name myUbuntu u b u nt u / b i n / b a s h

# L i e n de 2 c o n t e n e u r s
d o c k e r c o n t a i n e r r u n − t i −− l i n k r e d i s : db −−name webapp u bu n t u b a s h

# L a n c e un c o n t e n e u r en a r r i e r e p l a n
d o c k e r c o n t a i n e r r u n −d −p 8 8 8 8 : 8 0 u b un t u # e x p o r t 8888 on m a s t e r

# A f f i c h e l e s c o n t e n e u r s a c t i f s (−a p o u r l e s a f f i c h e r s tous )
d o c k e r c o n t a i n e r ps
d o c k e r c o n t a i n e r l o g s myUbuntu
d o c k e r c o n t a i n e r e x e c myUbuntu / b i n / b a s h

docker c o n t a i n e r s t a r t myUbuntu # R e l a n c e un c o n t e n e u r
docker c o n t a i n e r a t t a c h myUbuntu # R e p r e n d r e l a main
docker c o n t a i n e r s t o p myUbuntu # SIGTERM s u i v i d ’ un SIGKILL
docker c o n t a i n e r k i l l myUbuntu # SIGKILL d i r e c t e m e n t
22 / 71
Introduction Docker engine Docker Compose Docker Swarm

Les images

23 / 71
Introduction Docker engine Docker Compose Docker Swarm

Docker hub

Le hub public :
Dépôt public (push/pull gratuit)
Dépôt d’images officielles (sans ”/”), et d’images tiers,
Systèmes d’exploitation:
debian, ubuntu, centos ...
Mention spéciale: alpine: Micro-distribution
alpine:3.5 : 36.5 Mo
ubuntu:16:04 : 184 Mo
Services conteneurisés:
php, nginx, mariadb, ...
Collection de services supplémentaires :
Builds automatisés (lier des dépôts github/bitbucket pour
lancer un build suite à un commit)
[Link]: Référentiel d’image version entreprise

24 / 71
Introduction Docker engine Docker Compose Docker Swarm

Couches d’une image Docker

Performance (*5)
Ré-utilisabilité
Lecture seule donc :
diff et versioning

25 / 71
Introduction Docker engine Docker Compose Docker Swarm

Tag et espace de nom des images

Les images peuvent avoir des tags :

Les tags symbolisent des différences de version d’une image
C’est le tag :latest qui est utilisé par défaut
Les images disposent de trois espaces de nom :
Racine : ubuntu
Utilisateur et organisations : frapsoft/ts-node
Auto-hébergées (le serveur) : localhost:5000/myapache

26 / 71
Introduction Docker engine Docker Compose Docker Swarm

Création d’images Docker11

Différentes méthodes en ligne de commande:
image import : charge une archive de fichiers, comme couche
de base
container commit : crée une nouvelle couche (+ image)
depuis un conteneur
image build : script de suite de commandes de création
automatisée d’image
Description et construction : Dockerfiles

Listing 4: Exécution d’un build Docker

$ d o c k e r b u i l d −t readme −f D o c k e r f i l e .
Listing 3: Docker- S e n d i n g b u i l d c o n t e x t t o Do c k e r daemon 3 . 0 7 2
file S t e p 1/2 : FROM d e b i a n : wheezy
−−−> b b d 6 2 9 5 6 f a c 7
FROM d e b i a n : wheezy S t e p 2/2 : ADD README. md /tmp/
ADD README. md /tmp/ −−−> U s i n g c a c h e
−−−> 28 e c 2 d e e a 0 b a
S u c c e s s f u l l y b u i l t 28 e c 2 d e e a 0 b a
11 27 / 71
Introduction Docker engine Docker Compose Docker Swarm

Instructions (DSL) du Dockerfile

Les instructions sont peu nombreuses :

Image de base (ou scratch) : FROM,
Environnement :
LABEL, MAINTAINER, ENV, USER, WORKDIR, ARG,
Ajouts de fichiers (contexte) : ADD, COPY,
Commande à la construction de l’image : RUN,
Commandes au lancement du conteneur :
CMD, ENTRYPOINT12 ,
Ports/volumes accessibles: EXPOSE, VOLUME,
Autres commandes:
ONBUILD, STOPSIGNAL, HEALTHCHECK, SHELL
...
12
commande de base != de CMD, commande par défaut
28 / 71
Introduction Docker engine Docker Compose Docker Swarm

Commande RUN

Pour chaque instruction RUN, un conteneur temporaire

(8xxxxxxxx) est créé depuis l’image de base.
La commande RUN est exécutée dans ce conteneur,
Le conteneur est commité en une image intermédiaire
(7yyyyyyyy),
Le conteneur intermédiaire (8xxxxxxxx) est supprimé, Le
résultat, l’image intermédiaire, servira d’image de base pour
l’étape suivante,
etc..

29 / 71
Introduction Docker engine Docker Compose Docker Swarm

Point d’entrée: ENTRYPOINT/CMD

Combinaisons:
ENTRYPOINT ou CMD:
Spécifie la commande à lancer au démarrage
ENTRYPOINT et CMD:
La commande prend alors la forme:
${ENTRYPOINT} ${CMD}
CMD est, dans ce cas, surchargeable au lancement avec run
Formes de lancement (valable aussi pour RUN):
Forme shell (mod. SHELL) : RUN echo hello
⇒ /bin/sh -c echo hello
Forme exec : RUN [”echo”, ”hello”]
⇒ echo hello
Forme shell :
l’application ne recevra pas les signaux envoyés par stop et kill

30 / 71
Introduction Docker engine Docker Compose Docker Swarm

Exercice : Créez un conteneur ping avec argument

En partant de l’image alpine

Créez un Dockerfile appelant ping et prenant en paramètre du
conteneur le host (localhost par défaut)

31 / 71
Introduction Docker engine Docker Compose Docker Swarm

Exercice

Listing 5: Dockerfile pour ping

FROM a l p i n e
ENTRYPOINT [ ” p i n g ” ]
CMD [ ” l o c a l h o s t ” ]

32 / 71
Introduction Docker engine Docker Compose Docker Swarm

13 14
Multi-stage build

Être capable d’avoir plusieurs FROM dans un Dockerfile

Récupérer des artefacts issus des ”stages” précédents les
nièmes FROM
L’intérêt réside dans la réduction du poids d’une image
Cela est utile pour des artefacts ”construits” dans dans des
stages de l’image (ou pour réduire des installations trop
lourdes)
Nécessite une version récente de docker (17.05)

13
[Link] & Builder
pattern
14
Présent que sur les dernières versions (edge ou 17.05), sinon voir Builder Pattern avec un shell script
33 / 71
Introduction Docker engine Docker Compose Docker Swarm

Multi-stage build & Builder pattern15

Builder pattern Multi-stage builds
FROM g o l a n g : l a t e s t FROM g o l a n g : l a t e s t
COPY h e l l o . go . COPY h e l l o . go .
RUN go b u i l d −o h e l l o h e l l o . go RUN go b u i l d −o h e l l o h e l l o . go

FROM a l p i n e : l a t e s t
FROM a l p i n e : l a t e s t
COPY −−from=0 . / h e l l o .
COPY h e l l o .
CMD [ ” . / h e l l o ” ]
CMD [ ” . / h e l l o ” ]

d o c k e r image b u i l d −−t a g hgo : bp \

−− f i l e D o c k e r f i l e 1 .

docker container create \

−−name hgo−bp hgo : bp
docker container \
cp hgo−bp : / go / h e l l o . / h e l l o

d o c k e r image b u i l d \
−−t a g hgo : l a t e s t \
−− f i l e D o c k e r f i l e 2 .
15
[Link] 34 / 71
Introduction Docker engine Docker Compose Docker Swarm

La persistance des données

35 / 71
Introduction Docker engine Docker Compose Docker Swarm

Volume

Sortir du système image/read-only et conteneur/writable

Pour profiter des performances natives d’I/O disques,
Pour ne pas intégrer les modifications de fichiers dans une
couche (Pour ne pas commiter)

Interêt:
Conserver des données quand un conteneur est supprimé
Partager des fichiers/dossiers entre conteneurs
Partager des fichiers/dossiers entre hôte et conteneurs

Options:
Utilisation du -v (–volume)
Utilisation du –volumes-from (Masquage possible dans le
conteneur)

36 / 71
Introduction Docker engine Docker Compose Docker Swarm

Volume

Initialisation du volume à la création du conteneur avec copie

des données.
Volumes anonymes (docker inspect):
$ d o c k e r r u n −t −i −v / d a t a ubuntu / b i n / b a s h

Volumes nommés :
$ d o c k e r volume c r e a t e −−name dataVolume
$ d o c k e r r u n −t −i −v dataVolume : / d a t a ubuntu / b i n / b a s h

Montage inter-conteneur:
$ d o c k e r volume c r e a t e −−name dataVolume
$ d o c k e r r u n −t −i −v dataVolume : / d a t a : rw −−name myUbuntu ubuntu / b i n / b a s h
$ d o c k e r r u n −t −i −−v o l u m e s−from myUbuntu ubuntu / b i n / b a s h

Montage depuis le système hôte :

$ d o c k e r r u n −t −i −v ${PWD} : / d a t a : r o ubuntu / b i n / b a s h

37 / 71
Introduction Docker engine Docker Compose Docker Swarm

Exercice: Volumes

Créer un conteneur Ubuntu avec un volume initialisé avec le

contenu de /etc (du conteneur)
Utiliser un second conteneur pour faire une archive du
contenu du volume créé et récuperez cette archive sur votre
système avec un point de montage

38 / 71
Introduction Docker engine Docker Compose Docker Swarm

Exercice: Volumes

Créer un conteneur Ubuntu avec un volume initialisé avec le

contenu de /etc (du conteneur)
#! / b i n / b a s h

d o c k e r c o n t a i n e r c r e a t e − t i −v myEtc : / e t c \
−−name myUbuntu u b u nt u

Utiliser un second conteneur pour faire une archive que vous

récuperez sur votre système avec un point de montage
#! / b i n / b a s h

d o c k e r c o n t a i n e r r u n −d −−rm \
−v myEtc : / d a t a \
−v $ {PWD} : / backup u b u nt u \
b a s h −c ’ cd / d a t a && t a r c z v f / backup / backup . t a r . gz . ’

39 / 71
Introduction Docker engine Docker Compose Docker Swarm

Le réseau

40 / 71
Introduction Docker engine Docker Compose Docker Swarm

Network - au démarrage
Au démarrage du daemon docker:
création du bridge ”docker0”
une adresse IP privé ainsi qu’une adresse MAC sont assignées
au bridge
configuration des tables de routage (route et iptables)
Toute création de container entraı̂ne la création de deux
paires d’interfaces:
une dans le container : eth*
une autre dans la machine hôte : veth*
toutes les deux reliées au bridge et fonctionne comme un pipe
génération d’une adresse IP ainsi qu’une adresse MAC pour le
container
configuration de la route par défaut dans le container
41 / 71
Introduction Docker engine Docker Compose Docker Swarm

Network

Publication des ports internes :

–publish-all, -P
Pensez au docker inspect dans ce cas !
-p x:y
Liens entre conteneurs (deprecated) :
d o c k e r r u n −d −−name mydb m y s q l
d o c k e r r u n −d −−name myphp −− l i n k mydb : m y s q l php
d o c k e r r u n −d −− l i n k myphp : php −p 8 0 : 8 0 my−n g i n x −img

Isolation des réseaux conteneurs (+ DNS interne) :

d o c k e r n e t w o r k c r e a t e −−s u b n e t 1 0 . 0 . 9 . 0 / 2 4 −−o p t e n c r y p t e d myNetwo
d o c k e r r u n −d −−n e t w o r k myNetwork −−name mydb m y s q l

42 / 71
Introduction Docker engine Docker Compose Docker Swarm

Exercice : Accédez à votre application en réseau

En utilisant l’image php:7.0-apache

Afficher l’[Link] contenant :
<?php echo ”Hello tout le monde”;?>

43 / 71
Introduction Docker engine Docker Compose Docker Swarm

Exercice

Listing 6: Lancer un conteneur Php avec un montage

d o c k e r r u n −d −p 8 0 8 0 : 8 0 −−rm −−name my−a p a c h e 2 \
−v ”$PWD: / v a r /www/ h t m l ” php : 7 . 0 − a p a c h e

44 / 71
Introduction Docker engine Docker Compose Docker Swarm

Exercice : Netcat

Utilisation de la commande netcat pour faire communiquer 2

hôtes (image alpine)
Côté serveur:
w h i l e t r u e ; do nc −v −l −p 1234 ; done

Coté client:
<cmd> | nc <IP ou hostname> 1234

Envoyez, par exemple, le nom d’hote et la date.

45 / 71
Introduction Docker engine Docker Compose Docker Swarm

Exercice

d o c k e r r u n −d −−rm −−name a l p i n e 1 a l p i n e \
/ b i n / s h −c ’ w h i l e t r u e ; do nc −v − l −p 1234 ; done ’

# Does n o t work
d o c k e r r u n − t i −−rm −−name a l p i n e 2 a l p i n e \
/ b i n / s h −c ’ c a t / e t c / i s s u e | nc a l p i n e 1 1 2 3 4 ’

# Works ( w i t h I P o f a l p i n e 1 )
d o c k e r r u n − t i −−rm −−name a l p i n e 2 a l p i n e \
/ b i n / s h −c ’ c a t / e t c / i s s u e | nc 1 7 2 . 1 7 . 0 . 3 1 2 3 4 ’

# Works
d o c k e r r u n − t i −−rm −−name a l p i n e 2 −− l i n k a l p i n e 1 a l p i n e \
/ b i n / s h −c ’ c a t / e t c / i s s u e | nc a l p i n e 1 1 2 3 4 ’

# With n e t w o r k s
docker network c r e a t e n e t n c s r v
d o c k e r r u n −d −−rm −−name a l p i n e 1 −−n e t w o r k n e t n c s r v a l p i n e \
/ b i n / s h −c ’ w h i l e t r u e ; do nc −v − l −p 1234 ; done ’
d o c k e r r u n −d −−rm −−name a l p i n e 2 −−n e t w o r k n e t n c s r v a l p i n e \
/ b i n / s h −c ’ c a t / e t c / i s s u e | nc a l p i n e 1 1 2 3 4 ’ 46 / 71
Introduction Docker engine Docker Compose Docker Swarm

Exercice : Créez un Dockerfile et accédez à votre

application en réseau

Récupérez (git clone)

[Link]
master/Python/FlaskBasic
Partez d’une image alpine
Copier le répertoire récupéré dans le conteneur (avec
arborescence)
Installer pip :
apk add −−u p d a t e py2−p i p

Installer les dépendances :

pip i n s t a l l −−no−c a c h e−d i r −r / u s r / s r c / app / r e q u i r e m e n t s . t x t

Lancer l’application [Link] avec python.

47 / 71
Introduction Docker engine Docker Compose Docker Swarm

Exercice

Listing 7: Dockerfile pour Flask

# o u r b a s e image
FROM a l p i n e : l a t e s t
# I n s t a l l p y t h o n and p i p
RUN apk add −−u p d a t e py2−p i p

# Make m i s s i n g d i r e c t o r i e s
RUN m k d i r −p / u s r / s r c / app / t e m p l a t e s

# i n s t a l l Python m o d u l e s n e e d e d by t h e Python app

COPY . / r e q u i r e m e n t s . t x t / u s r / s r c / app /
RUN p i p i n s t a l l −−no−c a c h e −d i r −r / u s r / s r c / app / r e q u i r e m e n t s . t x t

# c o p y f i l e s r e q u i r e d f o r t h e app t o r u n
COPY . / app . py / u s r / s r c / app /
COPY . / t e m p l a t e s / i n d e x . h t m l / u s r / s r c / app / t e m p l a t e s

# t e l l t h e p o r t number t h e c o n t a i n e r s h o u l d e x p o s e
EXPOSE 5000

# run the a p p l i c a t i o n
CMD [ ” p y t h o n ” , ” / u s r / s r c / app / app . py ” ]
48 / 71
Introduction Docker engine Docker Compose Docker Swarm

Network
Reverse-proxy :
nginx ([Link]
traefik16 ([Link] HAProxy,
...

16
[Link] image sous [Link]
49 / 71
Introduction Docker engine Docker Compose Docker Swarm

La sécurité

50 / 71
Introduction Docker engine Docker Compose Docker Swarm

Sécurité

Produit jeune, niveau théorique plus faible qu’un hyperviseur

Qualité des images, nouveaux outils :
Lynis : [Link]
Docker-bench-security :[Link]
Possibilité de limiter l’accès aux ressources : Seccomp17 (profil
apparmor, ...), capabilities18 (example : cap-drop ALL ,
cap-add CHOWN)
Registry privée

17
[Link]
18
[Link]
51 / 71
Introduction Docker engine Docker Compose Docker Swarm

Sécurité: Accès root et volumes

Problème:
Par défaut, root dans un conteneur
on peut monter n’importe quel volume
$ d o c k e r r u n −t −i −v / e t c : / d a t a a l p i n e

Modifications des fichiers du système hôte (environnement,

configuration ...)
Solutions:
Attention à qui sont donnés les doits pour l’accès à docker !19
OK pour une machine personnelle, moins pour des machines
de calcul (Singularity)
Créer des utilisateurs dans les conteneurs (USER)
Utiliser l’option ”–user”

19
[Link]
52 / 71
Introduction Docker engine Docker Compose Docker Swarm

Public vs private Registry

Private Registry :
Stocke et distribue les images Docker
De nombreux Registry hébergés disponibles:
Docker Hub, AWS ECR, ...
Peut être self-hosted avec plusieurs intégrations pour le
stockage:
Local, AWS S3, Ceph, OpenStack Swift, ...

53 / 71
Introduction Docker engine Docker Compose Docker Swarm

Exercice : Private Registry

Lancez une registry ([Link] /registry/) en

localhost sur le port 5000 avec un stockage local
Récupérez l’image hello-world
Mettre un tag sur l’image ci-dessus pour votre registry
Poussez cette nouvelle image vers votre registry

54 / 71
Introduction Docker engine Docker Compose Docker Swarm

Exercice : Private Registry

Listing 9: Unsecure private registry language

#!/ b i n / s h
e c h o ’DOCKER\ OPTS=”−−i n s e c u r e − r e g i s t r y [Link]:5000” ’ \
>> / e t c / d o c k e r / d o c k e r

d o c k e r r u n −d −p 5 0 0 0 : 5 0 0 0 −−name r e g i s t r y \
−v $ ( pwd ) / r e g i s t r y −d a t a : / v a r / l i b / r e g i s t r y r e g i s t r y : 2

d o c k e r t a g h e l l o −w o r l d 1 2 7 . 0 . 0 . 1 : 5 0 0 0 / h e l l o −w o r l d

d o c k e r p us h 1 2 7 . 0 . 0 . 1 : 5 0 0 0 / h e l l o −w o r l d

55 / 71
Introduction Docker engine Docker Compose Docker Swarm

Haute-disponibilité vs Migration

Stratégie :
Les conteneurs ne sont pas migrables à chaud
Choix d’une architecture scalable permettant la
haute-disponibilité, tout en négligeant la perte d’un noeud
L’architecture logiciel doit tenir compte sur de ce design

56 / 71
Introduction Docker engine Docker Compose Docker Swarm

Des exemples

57 / 71
Introduction Docker engine Docker Compose Docker Swarm

Exemples DevOps
pour ”le Dev” :
Multiples environnements (tests, dev, branches, ...)
Compilation/Exécution multi-[os—jvm—tools—...]
Utilisation de conteneurs pré-chargés avec des data pour les
tests
Outils spécifiques disponibles : plugins IntelliJ, Eclipse 20 , ...
pour ”l’Ops” :
Rapidité de déploiement
Force les bonnes pratiques (microservice, description donc
documentation, ...)
Déploiement récurrent de serveur
Gestion des vulnérabilités : mise à jour d’une des couches,
test, ...
20
[Link]
58 / 71
Introduction Docker engine Docker Compose Docker Swarm

Exemple pour tout le monde

Quoi :
Les évangélistes Docker font quasiment tout tourner en
conteneur
Permet de limiter la contagion virale depuis un logiciel
Moyen de tester des applications en gardant un système clean
Permet de garder propre l’OS sous jacent :
Latex, environnement lourd, nombreuses dépendances
Exemple 21 : Latex, Irssi, Mutt, Spotify, Skype

21
[Link]
59 / 71
Introduction Docker engine Docker Compose Docker Swarm

Exemple: Sandbox pour navigateurs

# d o c k e r r u n −t −i −p 22 m a g g l a s s 1 / d o c k e r−b r o w s e r−o v e r−s s h

IP a d d r e s s : [Link]
P a s s w o r d : N24DjBM86gPubuEE
Firefox : s s h −X webuser@172 . 1 7 . 0 . 4 f i r e f o x
G o o g l e Chrome : s s h −X webuser@172 . 1 7 . 0 . 4 g o o g l e−chrome −−no−s a n d b o x

Ou via module VNC dans Chrome :

[Link]

60 / 71
Introduction Docker engine Docker Compose Docker Swarm

Plan

1 Introduction

2 Docker engine

3 Docker Compose

4 Docker Swarm

61 / 71
Introduction Docker engine Docker Compose Docker Swarm

Docker Compose

Installation et ligne de commande

Lancer une stack de conteneur via 1
fichier : [Link]
⇒ ”meta-Dockerfile”
”Compose” gère des groupes et les
liens
Configuration en YAML (Simplicité)

Installation et ligne de commande

Installation simple
docker-compose run — up — stop — rm — build

62 / 71
Introduction Docker engine Docker Compose Docker Swarm

Docker Compose: Syntaxe

v e r s i o n : ”2”

services :
service name 1 :
image : <image name 1 >
ports :
− ” 80:80 ”
volumes :
− ./ s e r v i c e . conf :/ etc / s e r v i c e / s e r v i c e . conf
command : −−v e r b o s e

whoami :
image : <image name 1 >
b u i l d : . / path / to / d o c k e r f i l e
depends on :
− service name 1
environment :
− MY ENV VAR=e n v i r o n e m e n t

63 / 71
Introduction Docker engine Docker Compose Docker Swarm

Docker Compose
docker run −d −−name db mysql

db :
image : m y s q l
environment :
MYSQL ROOT PASSWORD : p a s s w o r d
docker run −d −−name phpfpm −−link db:mysql jprjr/php-fpm

phpfpm :
image : j p r j r / php−fpm
volumes :
− . : / srv / http
− t i m e z o n e . i n i : / e t c / php / c o n f . d/ t i m e z o n e . i n i
links :
− db : m y s q l
docker run −d −−link phpfpm:phpfpm −p 80:80 my-nginx

nginx :
build : .
links :
− phpfpm : phpfpm
ports :
− 80:80
64 / 71
Introduction Docker engine Docker Compose Docker Swarm

Exercice : Docker Compose

Créer un fichier [Link] qui:

Créé un conteneur avec une base de données mysql
[Link] /mysql/
Créé un conteneur avec phpmyadmin et le lie à la base de
données
[Link]
Créer une nouvelle base dans mysql avec phpmyadmin:
Vérifiez que celle-ci a été créée dans le conteneur:
commande: mysql -u root -p
mysql: show databases;

65 / 71
Introduction Docker engine Docker Compose Docker Swarm

Exercice : Docker Compose

v e r s i o n : ”2”

services :
my−mysql−s e r v e r :
image : m y s q l
environment :
− MYSQL ROOT PASSWORD=r o o t

my−phpmyadmin−s e r v e r :
image : phpmyadmin / phpmyadmin
depends on :
− my−mysql−s e r v e r
environment :
− MYSQL ROOT PASSWORD=r o o t
− PMA HOST=my−mysql−s e r v e r
ports :
− ” 8080:80 ”

66 / 71
Introduction Docker engine Docker Compose Docker Swarm

Plan

1 Introduction

2 Docker engine

3 Docker Compose

4 Docker Swarm

67 / 71
Introduction Docker engine Docker Compose Docker Swarm

Docker Swarm22

Docker en multihost
Possiblement windows/linux
Faire passer des services à l’échelle
Tagger des machines: lieux (France, US
...), type (production, dev ...)
2 versions : docker swarm et docker-swarm
(ancien)
docker swarm (depuis 1.12) :
docker swarm init – join – ps

22
[Link] [Link]
68 / 71
Introduction Docker engine Docker Compose Docker Swarm

Docker Machine23

Permet d’utilise docker sur d’anciennes

version de Windows/Mac
Provisionne et configure Docker sur un
serveur distant
Fonctionne avec la plupart des cloud
providers
AWS / GCE / Azure / DO / IBM
Fonctionne aussi avec des technologies
standards
Hyper-V (Windows) / HyperKit (MacOS)
OpenStack / vCenter

23
Remplace boot2docker même si celui est toujours disponible
69 / 71
Introduction Docker engine Docker Compose Docker Swarm

Docker Machine24

Utilisation de docker swarm en local (avec docker-machine):

d o c k e r −m a c h i n e c r e a t e −d v i r t u a l b o x manager1
d o c k e r −m a c h i n e s s h manager1
d o c k e r swarm i n i t −−a d v e r t i s e −a d d r = . . .
d o c k e r −m a c h i n e c r e a t e −d v i r t u a l b o x s l a v e 1
d o c k e r −m a c h i n e s s h s l a v e 1
d o c k e r swarm j o i n . . .
d o c k e r −m a c h i n e c r e a t e −d v i r t u a l b o x s l a v e 2
d o c k e r −m a c h i n e s s h s l a v e 2
d o c k e r swarm j o i n . . .

Depuis le manager:

d o c k e r node l s
d o c k e r s e r v i c e c r e a t e −−name whoami −− r e p l i c a s 1 \
−p 8 0 : 8 0 0 0 j w i l d e r / whoami
docker s e r v i c e l s
24
[Link]
70 / 71
Introduction Docker engine Docker Compose Docker Swarm

Le document :
Cette présentation a été faite avec des outils opensource et
libre dans le but de présenter des outils de construction
d’applications eux-aussi opensource.
N’hésitez pas à nous envoyer vos remarques ou corrections à:
[Link] sur [Link] ou
[Link] sur [Link]
Ce document est distribué sous licence Creative Commons
Attribution-ShareAlike 2.0

71 / 71