technique:docker:admin:config

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision		 Révision précédente
technique:docker:admin:config [2020/10/13 19:16] qduchemitechnique:docker:admin:config [2023/03/22 15:35] (Version actuelle) qduchemi
Ligne 16: Ligne 16:
 ```bash ```bash
 systemctl enable docker systemctl enable docker
-systemctl start doker+systemctl start docker
 ``` ```
  
Ligne 22: Ligne 22:
  
 Le démon peut se configurer de deux façons : via un fichier *drop-in* `systemd`, ou via un fichier de configuration. Le démon peut se configurer de deux façons : via un fichier *drop-in* `systemd`, ou via un fichier de configuration.
 +
 +<bootnote>La plupart des options de configuration peuvent être inspectée "à chaud" avec la commande `docker system info`.</bootnote>
  
 ### Drop in ### Drop in
 +
 +<bootnote critical>Ne faire cette opération qu'après avoir [[technique:docker:admin:socket-certs|générer les certificats]]. Sinon, on saute à la suivante.</bootnote>
  
 L'installation de Docker livre un fichier de service situé à `/lib/systemd/system/docker.service`.  L'installation de Docker livre un fichier de service situé à `/lib/systemd/system/docker.service`. 
Ligne 66: Ligne 70:
 ```json ```json
 { {
- "live-restore": true, + "log-driver": "local"
-       "no-new-privileges": true, +
- "log-driver": "json-file", +
- "log-opts":+
- "max-size": "100m", +
-     "max-file": "3" +
- }+
 } }
 ``` ```
 +
 +<bootnote web>La rotation des logs se fait automatiquement et on préfère `local` à l'ancien `json-file`. Voir [la documentation officielle](https://docs.docker.com/config/containers/logging/configure/) à ce sujet.</bootnote>
  
 ### Live restore ### Live restore
  
 +<bootnote critical>Tant que [cette issue](https://github.com/moby/moby/issues/41686) ne sera pas résolue, le live restore est **désactivé** sur toutes les machines. En effet, il y a risque de suppression de l'ensemble des données de production lors du lancement de commandes de type `docker volume prune`.</bootnote>
 Cette fonctionnalité permet de laisser les conteneurs Docker allumés lorsque le démon est éteint, pour une maintenance, un changement de configuration ou une mise à jour mineure. Cette fonctionnalité permet de laisser les conteneurs Docker allumés lorsque le démon est éteint, pour une maintenance, un changement de configuration ou une mise à jour mineure.
  
Ligne 85: Ligne 86:
  
 Une fois cette fonctionnalité activée, on peut modifier un paramètre de configuration (par exemple passer en mode `debug`), et redémarrer le démon Docker, sans interruption de service. Une fois cette fonctionnalité activée, on peut modifier un paramètre de configuration (par exemple passer en mode `debug`), et redémarrer le démon Docker, sans interruption de service.
- 
-### No new privileges 
- 
-Cette fonctionnalité permet d'empêcher l'escalade de privilèges au sein d'un conteneur une fois qu'il est lancé. 
- 
-Par exemple, si un conteneur est lancé avec un utilisateur non-privilégié, il ne pourra jamais obtenir les super-pouvoirs de `root`, même s'il utilise un binaire avec `setuid` ou bien que quelqu'un essaye d'exécuter un `bash` en tant que `root` avec `docker exec`. 
- 
-<bootnote>L'activation de cette option la rend vraie **par défaut** sur tous les conteneurs, il est toujours possible de la désactiver manuellement pour un conteneur en particulier, à son lancement.</bootnote> 
  
 ### Rotation de logs ### Rotation de logs
Ligne 101: Ligne 94:
  
 <bootnote web>On se référera à la documentation officielle : https://docs.docker.com/config/daemon/</bootnote> <bootnote web>On se référera à la documentation officielle : https://docs.docker.com/config/daemon/</bootnote>
 +
 +## À la fin
 +
 +On lance Docker et on l'active au démarrage :
 +
 +```
 +systemctl enable --now docker
 +```
  • technique/docker/admin/config.1602609389.txt.gz
  • de qduchemi