Reprise du message précédent :
Certains utilisent Nextcloud ? Si oui, vous pourriez partager votre docker-compose ?
J'ai essayé plusieurs configurations mais j'ai toujours des erreurs dès l'installation, soit sur .htaccess, soit sur d'autres choses...
Merci !

Dès que j'ai un moment je regarde pour te partager ça.

Merci

Je suis plus que nouveau sur docker, donc y'a sans doute des trucs que je loupe, mais j'ai une question de pratique.
 
Chez nous, l'usage habituelle de docker pour déployer des images "publiques" c'est  
_ clone du projet depuis github
_ nouvelle branche (clone de la branche master)
_ modifications (config et autres) dans cette nouvelle branche et lancement de la composition
 
Lors d'une mise à jour, la méthode est :
_ git pull de la version master
_ merge du master vers la branche en prod
 
Sachant qu'on ne fait pas de développement sur les versions, on se contente de les lancer et de les utiliser. Aucune modification du code.
 
Ca me parait pas une bonne manière de le faire.
Pour moi, on crée le docker-compose et on le lance, il se charge de récupérer les bonnes images et c'est bon. Et en cas de mise à jour du projet, on fait un docker pull et les images sont mises à jour.
Et ça me semble suffisant.
 
Mais je n'ai pas les arguments pour développer plus le propos. Notamment je n'ai pas la réponse à la question sur ce qui se passe en cas de mise à jour (par le projet utilisé) du docker-compose (nouveaux paramètres et autres)...
 
Une bonne âme pourrait m'éclairer ?
(Et pardon par avance si les questions sont pas au niveau, je débarque un peu là-dedans sans formation préalable et j'essaie de raccrocher les wagons...)

Faudrait des exemples parce que c'est pas clair pour moi votre workflow

C'est quoi les modifs sur les images ?
Ca ne peut pas se faire que via du paramétrage ?

Vous tagguez comment vos images quand vous les buildez ?

EDIT: Ah et oui, bien sûr : c'est quoi le problème que tu cherches à résoudre au juste, plus que la question sur la manière de faire qui ne te semble pas bonne (autrement dit : en quoi elle ne te semble pas bonne ?)

Les modifications, c'est uniquement le docker-compose.yml, pour adapter aux paramètres dont on a besoin (chemins locaux, paramètres de connexion à la bdd, ce genre de choses)
 
Les branches sont tagguées "master" (celle qui est récupérée), le nom de notre entité pour celle en prod et un random nom pour les éventuels tests.
 
Mon "problème" est vraiment une question de méthodologie...
Pour faire une analogie, j'ai l'impression que pour imprimer il déplace une imprimante réseau, la branche sur son ordi, imprime et la remet en place...
Ou qu'il utilise un char d'assaut pour aller chercher son pain.
 
Je ne vois pas l'intérêt de cloner des projet via git pour ensuite ne modifier que les docker-compose...

Pour faire de l'infra as code?

Non. Je pense qu'il y a un peu de cette idée derrière, mais ça en reste strictement à ce que j'ai indiqué, sur cette partie y'a pas d'automatisation...

On accepte les débutants ici ?  
 
Mon usage de docker est clairement dans un cadre maison et en particulier avec la découverte de Home Assistant et de OMV. J'ai vite vu les à côtés de ces systèmes et la nécessité d'installer docker pour ça (Traefik, Pi-hole, Nextcloud etc..).  
 
On va dire que ma source principale est le site smarthomebeginner qui explique la création d'un serveur homemade en docker. Récemment passé sous HaOS (le côté plugin est quand même un sacré plus dans Home Assistant..), j'ai quand même réussi à lancer des conteneurs via l'addon portainer exterieur à Home Assistant, solution qui semble me convenir.  
 
Au moment de vouloir rendre mon HA accessible de l'exterieur, je me suis d'abord dirigé vers Tailscale, mais j'ai envie de repasser par Traefik pour acceder à mes différents services. C'est alors que je suis tombé sur des articles concernant la sécurité de docker.  
 
Au départ je rajoutais mon utilisateur au groupe docker mais j'ai vu que ça pouvait poser des problèmes de sécurité (en m'ajoutant dans le groupe docker, les conteneurs n'ont accès qu'aux fichiers dont le groupe d'appartenance est "docker" non ?)  
 
J'ai donc essayé de me renseigner sur les utilisateurs et en remontant quelques pages j'ai vu la fonctionalité ici même des user namespaces.  
 
Si j'ai bien compris la chose:  
 
Un docker si il n'est pas paramétré comme les images de linuxserver par exemple utilisera dans son conteneur root soit UID 0. Partageant le même kernel que l'hote, un fichier modifié sur par exemple un volume persistant sera donc effectué avec l'uid hote 0 soit root.  
 
On peut donc modifier le fichier config de docker et utiliser  

 
Puis modifier le fichier subuid pour mettre par exemple:

 
Ainsi root dans le conteneur ira créer et modifier des fichiers dans l'hote avec "monutilisateurdocker" tandis que les autres fichiers du conteneurs auront des ID à partir de 231072 par exemple ?  
 
Donc dans le cas de volumes persistants et de fichiers de configuration, je peux donc faire:  
 
1 création d'un utilisateur mondockerhost
2 création de mes fichiers de configuration et changement de propriétaire pour que les fichiers appartiennent à mondockerhost et au groupe mondockerhost  
3 mondification de la config de docker et des subuid et subgid pour que docker utilise par défaut mondockerhost pour l'écriture sur les fichiers persistants  
 
Est-ce que jusque la ça va ?  
 
Merci de votre futur, temps de lecture et de réponse

Je pense que tu mélanges plusieurs choses.

Rajouter ton user au groupe docker, ben ça rajoute ton user au groupe docker. Ca n'a aucun impact sur ce que tes conteneurs peuvent faire ou accéder, mais alors vraiment aucun. Quand des articles mentionnent que c'est un potentiel problème de sécurité, c'est que donner un accès au groupe docker à un utilisateur, c'est dans la plupart des cas (puisque y a des contournements/atténuation possibles mais pas le cas par défaut) équivalent à lui donner un accès sudo (de part la possibilité de monter des volumes et de lancer des process en root). Ce qui dans ton cas n'est probablement pas un problème, puisque tu es l'admin de ta machine/VM.

Les usernamespaces, c'est bien pour une machines multi-utilisateurs Docker, et pour empêcher ceux-ci entre autres de pouvoir devenir root. Ou pour contourner le problème des images docker qui lance leur process en root (de nos jours la plupart des images correctes ne le font plus).

Sinon pour ton exemple je n'ai pas compris ce que tu souhaites faire ou quel problème tu essaie de corriger/contourner.

Question sécurité sur docker:

J'ai créé ma propre image qui exécute un binaire quelconque récupéré sur internet. Je ne suis pas l'auteur de ce binaire et je ne lui fais donc pas confiance.

Outre les stratégies habituelles (réduire la surface d'attaque, nonroot, etc), est-ce qu'il y a un moyen d'éviter qu'un binaire malicieux puisse récupérer du code et l'exécuter ? Sachant que le binaire "safe" a besoin d'accéder à internet et à besoin de pouvoir écrire des données. Est-ce que supprimer les droits d'écritures partout sauf /tmp et supprimer les droits d'exécution sur /tmp fonctionnerait ?

salut la compagnie
 
j'essaie d'installer hadoop via docker
 
et j'ai un probleme
 
le package npm ne veut pas s'installer
 
 
j'ai ce message d'erreur
 
#21 14.42 WARN engine npm@8.1.2: wanted: {"node":"^12.13.0 || ^14.15.0 || >=16"} (current: {"node":"4.2.6","npm":"3.5.2"})
#21 14.42 WARN engine npm@8.1.2: wanted: {"node":"^12.13.0 || ^14.15.0 || >=16"} (current: {"node":"4.2.6","npm":"3.5.2"})
#21 19.74 /usr/local/lib
#21 19.74 `-- (empty)
#21 19.74  
#21 19.75 npm ERR! Linux 5.10.16.3-microsoft-standard-WSL2
#21 19.75 npm ERR! argv "/usr/bin/nodejs" "/usr/bin/npm" "install" "npm@latest" "-g"
#21 19.75 npm ERR! node v4.2.6
#21 19.75 npm ERR! npm  v3.5.2
#21 19.75 npm ERR! path /usr/local/lib/node_modules/.staging/@gar/promisify-ebaab35a
#21 19.75 npm ERR! code ENOENT
#21 19.75 npm ERR! errno -2
#21 19.75 npm ERR! syscall rename
#21 19.75  
#21 19.75 npm ERR! enoent ENOENT: no such file or directory, rename '/usr/local/lib/node_modules/.staging/@gar/promisify-ebaab35a' -> '/usr/local/lib/node_modules/npm/node_modules/@gar/promisify'
#21 19.75 npm ERR! enoent ENOENT: no such file or directory, rename '/usr/local/lib/node_modules/.staging/@gar/promisify-ebaab35a' -> '/usr/local/lib/node_modules/npm/node_modules/@gar/promisify'
#21 19.75 npm ERR! enoent This is most likely not a problem with npm itself
#21 19.75 npm ERR! enoent and is related to npm not being able to find a file.
#21 19.75 npm ERR! enoent  
#21 19.77  
#21 19.77 npm ERR! Please include the following file with any support request:
#21 19.77 npm ERR!     /root/npm-debug.log
#21 19.77 npm ERR! code 1
 
 
sur de nombreux sites, ils disent  
 
was also facing the same issue, I tried the steps below:
 
Delete package-lock.json
Delete Node Modules folder
Try installing it using below command (should be in open network)
 
mais ca ne marche pas car le fichier package-lock.json nest trouvable nulle part
quelqu'un a une piste ?

Tu lui donnes aussi un volume?

Même à l'intérieur du conteneur?

 
 
bin j'ai cherché et yen a un dans un repertoire un peu folklo
 
genre /usr/share/npm et /usr/share/node_modules
 
 
mais meme si jessaie de virer le package-lock.json dans ces repertoires je peux pas car protégé en écriture et meme en essayant de forcer (chmod ou --force) ca marche pas
 
 
donc je suis coincé

Quelle version de DockerHub utilises-tu?

Oui le message semble indiquer que la version de npm que tu veux installer (latest) est pas compatible avec ta version de node :
WARN engine npm@8.1.2: wanted: {"node":"^12.13.0 || ^14.15.0 || >=16"} (current: {"node":"4.2.6","npm":"3.5.2"})

 
 
oui c'est ce que j'etais en train de me dire
 
mais quand je dl la derniere version de node et que j'unzip ca marche pas
 
je fais which node et j'obtiens rien
j'ai dl ca
https://nodejs.org/en/download/
 
 
 je le mets soit dans usr/bin ou dans usr/local et rien a faire ca marche pas
le which ndoe renvoie du vide
 

 
 
 
j'ai installé la version cette semaine venant du site web principal donc j'imagine la derniere  

Faudrait voir le Dockerfile pour éventuellement le modifier pour installer la bonne version de Node.

Mais si tu utilises l'image node, pourquoi tu veux installer node dedans ?
Je comprends pas

C'est ce que j'allais dire. Aucun intérêt à installer node, part d'une image de base qui l'a

Je pensais à une base ubuntu ou alpine je sais pas pk

Oui volume monté sur /tmp

Je ne sais pas si c'est toujours d'actualité, mais il y a le userns-remap:
https://docs.docker.com/engine/security/userns-remap/

Bonjour,
Désolé pour ma question de gros débutant : je voudrais savoir si Docker peut correspondre à mes besoins.Je dois faire tourner sur une même machine, Home Assistant, Plex Server, Frigate, peut-être davantage prochainement.
Ma machine est tout juste commandée : un Zotac ECM73070C avec un i7 10700 et une RTX3070. J'ajoute en plus un double TPU Coral M2 pour Frigate.Je me plonge donc tout naturellement dans les différentes doc de Docker, mais n'y connaissant rien en Linux, c'est compliqué.Si Docker peut répondre à mes besoins, que dois-je installer comme OS de base ? Une distribution Linux ou bien Windows ?
Merci.

C'est un serveur ou ta machine principale ?

Ce sera un serveur.

Bon, je connais pas frigate ni ce tpu, j'ai google vite fait, si ça fait son job correctement avec l'ensemble des besoins que tu as présenté tu vas utiliser 0.01% du CPU et 1% de la 3070 pour le transcodage de plex.

Ouep c’est probablement overkill mais c’est le but, comme ça pas besoin de se poser la question de si le hardware suit.  
 
En revanche c’est un peu plus la jungle en terme d’os et de logiciel pour moi.  
 
Si j’ai bien compris, j’ai le choix entre Windows + Docker Desktop ou une distrib + Docker Hub c’est bien ça ? Quelle est la différence concrètement ?

Que frigate et le TPU ne marcherons probablement pas sur un Windows + docker desktop (et switch en mode container linux, nécessaire aussi pour HA).
 
Une debian ou ubuntu par exe avec docker (community edition, dockerhub n'a rien n'a voir) serait tout à fait indiqué.
Pour le transcodage, si tu imagines passer par la RTX, bah c'est encore un autre problème ca (linux tout comme windows), surtout que tu devras exposer ta RTX au container - et donc plus de CG hormis l'écran de plex en gros.

Ah oui la GTX c’est pour Plex à la base.
Hormis durant la phase de paramétrage, je n’aurais pas d’écran connecté sur le PC. J’y aurai quand même accès à distance ? Je vais pas être directement en ligne de commande comme dans les films, si ?  

sisi

L’i7 a une partie graphique et un port hdmi dédié donc je suis sauvé ?  

pas con ouais
après installer une interface graphique sur un serveur linux...

Non mais j’y connais rien en Linux, le serveur sera dans le local technique et difficile d’accès. Tant que la maintenance peut se faire à distance c’est good.

Par contre comment je me décide entre Debian et Ubuntu ? Et je dois viser une version précise ? Serveur ?

Toujours pris pas habitude une Debian pour mes serveurs

Donc ce n'est qu'une question d'habitude/préférence, mais ça fera le job exactement de la même façon pour Docker ?
Il n'y a qu'une version unique qui existe pour Debian ? Pas de version serveur ?

Ma config pour te donner des idées , sachant que j'étais full Windows zéro Linux quand je l'ai montée :

- serveur = debian avec proxmox.
-- 1 machine virtuelle debian avec docker pour les petites applications genre home assistant et.
-- 1 machine virtuelle Windows pour les apps Windows.
-- 1 machine virtuelle pour chaque application qui a des besoins spécifiques.

L'avantage c'est que tu envoies le hardware que tu veux sur la machine que tu veux. J'envoie la carte son sur la machine Windows, les NICs (réseau) sur la VM firewall, etc.

Et surtout, quand tu fais une boulette sur une vm, en deux clics tu restaures l'image précédente et roule. Chose qui m'arrive occasionnellement vu la quiche que je suis sous linusque

Pourquoi intercaler Proxmox entre Debian et Docker ?

Ça me permet de remettre en service la vm avec les 15 conteneurs en 5mn sur la première machine venue si mon host tombe en rade, que ce soit hard ou système.