326 lines
10 KiB
Markdown
326 lines
10 KiB
Markdown
\newpage
|
||
|
||
Mon premier conteneur
|
||
---------------------
|
||
|
||
Afin de tester la bonne marche de notre installation, lançons notre premier
|
||
conteneur avec la commande :
|
||
|
||
<div lang="en-US">
|
||
```bash
|
||
docker container run hello-world
|
||
```
|
||
</div>
|
||
|
||
Cette commande va automatiquement exécuter une série d'actions pour nous,
|
||
comme indiqué dans le message affiché en retour :
|
||
|
||
D'abord, le daemon va rechercher s'il possède localement l'image
|
||
*hello-world*. Si ce n'est pas le cas, il va aller récupérer les différentes
|
||
couches de l'image sur le registre par défaut (celui de Docker). Il assemble
|
||
ensuite les images en ajoutant une couche en lecture/écriture, propre au
|
||
conteneur. Enfin, il lance la commande par défaut, telle que définie dans les
|
||
métadonnées de l'image.
|
||
|
||
Nous pouvons directement utiliser le client pour rechercher une image sur le
|
||
registre, en utilisant la commande `search` :
|
||
|
||
<div lang="en-US">
|
||
```bash
|
||
docker search mariadb
|
||
```
|
||
</div>
|
||
|
||
Il est possible de mettre à jour les images locales, ou télécharger les couches
|
||
d'images qui nous intéressent, en utilisant la commande `pull` :
|
||
|
||
<div lang="en-US">
|
||
```bash
|
||
docker image pull ubuntu
|
||
```
|
||
</div>
|
||
|
||
|
||
::::: {.warning}
|
||
|
||
Les registres publics tels quel le Docker Hub mettent à disposition des images
|
||
officielles, mais aussi des images créées par la communauté. Chaque utilisateur
|
||
est libre d'envoyer une image qu'il a lui-même créée : soit car l'éditeur ne
|
||
proposait pas d'image et que quelqu'un s'est dévoué pour la faire, soit parce
|
||
qu'il avait des besoins plus spécifiques qui n'étaient pas couverts par l'image
|
||
originale. Il est important de garder en tête que vous téléchargez des
|
||
exécutables, et bien qu'ils s'exécutent dans un environnement isolé, ils
|
||
peuvent contenir du code malveillant.
|
||
|
||
**De la même manière que vous devez être attentif aux binaires que vous
|
||
exécutez sur votre machine et au contexte de leurs téléchargements, ici
|
||
assurez-vous d'avoir confiance dans la personne affiliée à l'image.**
|
||
|
||
:::::
|
||
|
||
### Arguments de la ligne de commande
|
||
|
||
Remarquez comment on interagit avec chaque *objet Docker* : dans la ligne de
|
||
commande, le premier mot clef est le type d'objet (`container`, `image`,
|
||
`service`, `network`, `volume`, ...) ; ensuite, vient l'action que l'on
|
||
souhaite faire dans ce cadre.[^oldcall]
|
||
|
||
[^oldcall]: cela n'a pas toujours été aussi simple, cette syntaxe n'existe que
|
||
depuis la version 1.13 (janvier 2017). C'est pourquoi, lorsque vous ferez
|
||
des recherches sur internet, vous trouverez de nombreux articles utilisant
|
||
l'ancienne syntaxe, sans le type d'objets : `docker images` au lieu de
|
||
`docker image ls`, `docker run` au lieu de `docker container run`, ...
|
||
|
||
L'ancienne syntaxe est dépréciée, mais il reste actuellement possible de
|
||
l'utiliser.
|
||
|
||
Par exemple, pour consulter la liste des images dont nous disposons localement
|
||
(soit parce qu'on les a téléchargées, soit parce que nous les avons créées
|
||
nous-même), on utilise la commande `ls` sous le type d'objets `image` :
|
||
|
||
<div lang="en-US">
|
||
```bash
|
||
docker image ls
|
||
```
|
||
</div>
|
||
|
||
|
||
### *Image ID*, nom, tag
|
||
|
||
Chaque image est identifiable par son *Image ID* : il s'agit d'un long
|
||
identifiant unique. Chaque modification qui est apportée à l'image
|
||
générera un *Image ID* différent. Un peu comme un identifiant de
|
||
commit dans Git.
|
||
|
||
Pour s'y retrouver, on utilise habituellement les noms des images :
|
||
`hello-world` est ainsi le nom de l'image
|
||
`1b26826f602946860c279fce658f31050cff2c596583af237d971f4629b57792`.
|
||
|
||
Lorsque, comme dans le cas d'Ubuntu, il y a plusieurs *versions* disponibles,
|
||
il est possible de préciser la version au moyen d'un *tag*. En consultant la
|
||
documentation[^hubDocUbuntu] qui accompagne chaque conteneur, nous pouvons
|
||
constater la présence de plusieurs versions d'Ubuntu : `trusty`, `xenial`,
|
||
`focal` ou `bionic`.
|
||
|
||
[^hubDocUbuntu]: Pour voir la documentation des images d'Ubuntu, consultez
|
||
<https://hub.docker.com/_/ubuntu>
|
||
|
||
Par convention, lorsque l'on souhaite désigner un tag en particulier,
|
||
on utilise la syntaxe suivante :
|
||
|
||
<div lang="en-US">
|
||
```
|
||
ubuntu:focal
|
||
```
|
||
</div>
|
||
|
||
Par exemple, pour lancer un conteneur Ubuntu Focal, on utilisera :
|
||
|
||
<div lang="en-US">
|
||
```
|
||
docker container run ubuntu:focal
|
||
```
|
||
</div>
|
||
|
||
|
||
Chaque nom d'image possède au moins un tag associé par défaut : *latest*. C'est
|
||
le tag qui est automatiquement recherché lorsque l'on ne le précise pas en
|
||
lançant l'image.
|
||
|
||
|
||
### Exécuter un programme dans un conteneur
|
||
|
||
Maintenant que nous avons à notre disposition l'image d'un conteneur Ubuntu,
|
||
nous allons pouvoir jouer avec !
|
||
|
||
La commande `run` de Docker prend comme derniers arguments le programme à
|
||
lancer dans le conteneur ainsi que ses éventuels arguments. Essayons d'afficher
|
||
un Hello World :
|
||
|
||
<div lang="en-US">
|
||
```bash
|
||
docker container run ubuntu /bin/echo "Hello World"
|
||
```
|
||
</div>
|
||
|
||
Dans notre exemple, c'est bien le `/bin/echo` présent dans le conteneur qui est
|
||
appelé. Ce n'est pas le programme `/bin/echo` de la machine hôte qui a été
|
||
transféré dans le conteneur.
|
||
|
||
Pour nous en convaincre, nous pouvons tenter d'exécuter un programme qui n'est
|
||
pas présent sur notre machine, mais bien uniquement dans le conteneur. Si vous
|
||
n'utilisez pas [Alpine Linux](https://www.alpinelinux.org), vous pourriez
|
||
tenter d'utiliser son gestionnaire de paquet `apk`, via :
|
||
|
||
<div lang="en-US">
|
||
```bash
|
||
docker container run alpine /sbin/apk stats
|
||
```
|
||
</div>
|
||
|
||
|
||
### Images vs. conteneurs
|
||
|
||
À chaque fois que nous lançons un `run`, un nouveau conteneur est créé.
|
||
L'image fournie comme argument est utilisée comme un modèle de base pour le
|
||
conteneur et est recopiée grâce à un mécanisme de *Copy-On-Write*: c'est donc
|
||
très rapide et ne consomme pas beaucoup d'espace disque.
|
||
|
||
Étant donné que chaque conteneur est créé à partir d'un modèle, cela signifie
|
||
que lorsque nous exécutons une commande modifiant les fichiers d'un conteneur,
|
||
cela ne modifie pas l'image de base. La modification reste contenue dans la
|
||
couche propre au conteneur dans l'UnionFS.
|
||
|
||
Dans le schéma ci-après, on considère les images comme étant la partie figée de
|
||
Docker à partir desquelles on peut créer des conteneurs.
|
||
|
||
Si l'on souhaite qu'une modification faite dans un conteneur (par exemple
|
||
l'installation d'un paquet) s'applique à d'autres conteneurs, il va falloir
|
||
créer une nouvelle image à partir de ce conteneur.
|
||
|
||
![Images vs. conteneurs](img-vs-cntr.png "Images vs. conteneurs"){ width=85% }
|
||
|
||
|
||
### Programme par défaut
|
||
|
||
Chaque image vient avec un certain nombre de métadonnées, notamment le
|
||
programme à exécuter par défaut si l'on ne le précise pas dans la ligne de
|
||
commande.
|
||
|
||
C'est grâce à cela que vous n'avez pas eu besoin de préciser de programme
|
||
lorsque vous avez lancé l'image `hello-world` :
|
||
|
||
<div lang="en-US">
|
||
```bash
|
||
docker container run hello-world
|
||
```
|
||
</div>
|
||
|
||
Il est commun que le programme le plus attendu/approprié soit lancé par défaut,
|
||
il est donc tout naturel que pour l'image `hello-world`, ce soit `/hello` :
|
||
|
||
<div lang="en-US">
|
||
```bash
|
||
docker container run hello-world /hello
|
||
```
|
||
</div>
|
||
|
||
L'image ne contenant que ce programme, vous ne pourrez pas y lancer de shell :
|
||
|
||
<div lang="en-US">
|
||
```
|
||
42sh$ docker container run hello-world /bin/sh
|
||
docker: Error response from daemon: OCI runtime create failed:
|
||
container_linux.go:349: starting container process caused
|
||
"exec: \"/bin/sh\": stat /bin/sh: no such file or directory"
|
||
```
|
||
</div>
|
||
|
||
Pour les images `alpine` et `ubuntu`, le programme par défaut est un shell
|
||
(`/bin/ash` pour `alpine` et `/bin/bash` pour `ubuntu`), mais il y a une
|
||
subtilité : il faut ajouter les options `--interactive` et `--tty` pour ne pas
|
||
que `docker` nous rende la main tout de suite :
|
||
|
||
<div lang="en-US">
|
||
```bash
|
||
42sh$ docker container run alpine
|
||
42sh$ echo $?
|
||
0
|
||
```
|
||
</div>
|
||
|
||
<div lang="en-US">
|
||
```bash
|
||
42sh$ docker container run --interactive --tty alpine
|
||
/ # _
|
||
```
|
||
</div>
|
||
|
||
En fait, comme on a vu que le programme `docker` n'est qu'un client du daemon,
|
||
c'est toujours le daemon qui exécute directement les commandes et gère les
|
||
entrées et sorties standards et d'erreur. Avec l'option `--interactive`, on
|
||
s'assure que l'entrée standard ne sera pas fermée (`close(2)`). Nous demandons
|
||
également l'allocation d'un TTY, sans quoi `bash` ne se lancera pas en mode
|
||
interractif[^bashnointer].
|
||
|
||
[^bashnointer]: Mais il sera possible de l'utiliser sans allouer de TTY, comme
|
||
dans cet exemple :
|
||
|
||
<div lang="en-US">
|
||
```
|
||
42sh$ cat cmd
|
||
echo foo
|
||
42sh$ cat cmd | docker run -i busybox
|
||
foo
|
||
```
|
||
</div>
|
||
|
||
L'option `-i` reste néanmoins nécessaire pour que l'entrée standard soit
|
||
transmise au conteneur.
|
||
|
||
Rassurez-vous, on peut les abréger en `-i` et `-t` :
|
||
|
||
<div lang="en-US">
|
||
```bash
|
||
42sh$ docker container run -it alpine
|
||
/ # _
|
||
```
|
||
</div>
|
||
|
||
|
||
### Les paramètres
|
||
|
||
Vous avez remarqué le placement des options `--tty` et `--interactive` ? Avant
|
||
le nom de l'image, elles sont utilisées par Docker pour modifier le comportement
|
||
du `run`. En fait, tout comme `git(1)` et ses sous-commandes, chaque niveau de
|
||
commande peut prendre des paramètres :
|
||
|
||
<div lang="en-US">
|
||
```bash
|
||
docker DOCKER_PARAMS container run RUN_OPTS image IMAGE_CMD IMAGE_ARGS …
|
||
```
|
||
</div>
|
||
|
||
Par exemple :
|
||
|
||
<div lang="en-US">
|
||
```bash
|
||
docker -H unix:///run/docker.sock container run -it alpine /bin/ash -c \
|
||
"echo foo"
|
||
```
|
||
</div>
|
||
|
||
Ici, l'option `-H` sera traitée par le client Docker (pour définir
|
||
l'emplacement du point de communication avec le daemon), tandis que les options
|
||
`-it` seront utilisées lors du traitement du `run`. Quant au `-c`, il sera
|
||
simplement transmis au conteneur comme argument au premier `execve(2)` du
|
||
conteneur.
|
||
|
||
|
||
### Lister les conteneurs
|
||
|
||
Avant de quitter notre conteneur, regardons, à l'aide d'un autre terminal,
|
||
l'état de notre conteneur. La commande suivante permet d'obtenir la liste des
|
||
conteneurs en cours d'exécution :
|
||
|
||
<div lang="en-US">
|
||
```
|
||
42sh$ docker container ls
|
||
CONTAINER ID IMAGE COMMAND CREATED STATUS NAMES
|
||
4c39fc049cd1 ubuntu "/bin/bash" 6 minutes ago Up 5 minutes bold_gates
|
||
```
|
||
</div>
|
||
|
||
|
||
### Sortir d'un conteneur
|
||
|
||
Pour mettre fin à l'exécution d'un conteneur, il convient de terminer le
|
||
premier processus lancé dans celui-ci.
|
||
|
||
Si vous faites face à une invite de commande, le classique `exit` ou `^D`
|
||
mettra fin au *shell*, qui était le premier processus lancé de notre conteneur,
|
||
comme le montre la colonne `COMMAND`. Nous retrouvons juste après notre invite
|
||
habituelle, dans l'état où nous l'avions laissée avant de lancer notre
|
||
conteneur. En effet, le conteneur était alors le processus fils lancé par notre
|
||
shell.
|