Comprendre la gestion des services
Attention:
Prérequis : les articles de cette section.
Préambule
Par service, on entend la plupart des applications tournant sur les serveurs de Picasoft, qu’ils soient publics, comme Mattermost, ou “privés”, comme le serveur LDAP ou le serveur mail. Ces services sont majoritairement gérés par Docker. Une rule of thumb est ce tout ce qui touche à l’administration système d’une machine, avec une configuration très spécifique (pare-feu, serveur SSH…) sera installé directement sur la machine, sans Docker.
Pour le reste, qui pourrait être lancé sur une machine virtuelle quelconque, on privilégiera Docker (qui a justement l’avantage de construire des images qui peuvent être lancées de n’importe où, sans configuration spécifique adaptée au système d’exploitation).
Note:
Pour gérer les conteneurs Docker, nous utilisons Docker Compose. Les fichiers permettant de construire les images, de créer les conteneurs et de configurer les services sont sauvegardés dans leurs dépôts Git. Chaque dépôt se suffit à lui-même pour lancer le service Picasoft en question. Ils sont accessibles ici : https://gitlab.utc.fr/picasoft/projets .
Note:
Traditionnellement, ils sont clonés dans le répertoire /DATA/docker/services
sur les machines virtuelles.
Objectifs
Historiquement, Picasoft procède de la manière suivante :
- Rédiger les Dockerfiles et la configuration sur sa machine personnelle, ou sur une machine virtuelle,
- Construire les images Docker à partir de ces fichiers sur une machine quelconque, puis les tagger et pousser manuellement sur un registre privé,
- Gérer un fichier Compose global par machine virtuelle, qui contient la configuration et les secrets.
Cette approche pose plusieurs problèmes.
Question:
Comment savoir ce qu’il y a dans une image, si on perd le Dockerfile ? Quel Dockerfile correspond à quelle version de l’image ? Si on perd l’accès à la machine, comment récupérer la configuration, remonter rapidement le service ? Comment versionner les changements de configuration ? Revenir à la version d’il y a deux semaines ?
L’objectif de ces dépôts est de rendre possible le déploiement de n’importe quel service Picasoft avec la procédure suivante :
- Cloner le bon dépôt
- Se rendre dedans
- Lancer un
docker-compose up -d
pour démarrer le service
Son objectif secondaire est de pouvoir revenir à l’état antérieur d’un service. En versionnant toute la configuration nécessaire, revenir à une ancienne version du service revient à :
- Cloner le dépôt
- Checkout le commit correspondant
- Lancer le service normalement
Son dernier objectif est de permettre de rendre publics nos fichiers Compose et la configuration, sans exposer les secrets (mots de passe, etc).
Mis à part les données à proprement parler du service, il n’y a donc aucune différence entre un service lancé sur une de nos machines et un service lancé à partir de ce dépôt sur une machine quelconque, ce qui s’inscrit dans la philosophie Docker.
Contenu des dépôts
Chaque dépôt correspond à un service Picasoft au sens large, c’est-à-dire à un ensemble de conteneurs liés entre eux techniquement (e.g. Mattermost et sa base de données) et/ou sémantiquement (e.g. sites web statiques, relai et boîte à mail).
Note:
Chaque service a son propre fichier Compose, lui permettant d’être déployé indépendamment des autres.
Ainsi, chaque dépôt contient, selon les situations :
- Zéro, un ou plusieurs
Dockerfile
permettant de construire des images personnalisées pour Picasoft, - Un fichier
docker-compose.yml
permettant de lancer le service, - Si possible, un ou des fichiers de configuration permettant de personnaliser le service selon nos besoins,
- Un fichier d’exemple de secrets (mots de passe…) nécessaires au lancement du service,
- Un
README.md
résumant les paramètres modifiables sur le dépôt, les mécanismes pour en rajouter, etc, - Pour les images maison, un
CHANGELOG.md
résumant les modifications faites au fil des versions.
Utiliser les dépôts sur les machines
Attention:
Cette section ne concerne que les services qui ne sont pas encore présents sur la machine virtuelle où l’on veut le déployer.
Si la machine virtuelle est toute nouvelle, on créé le dossier où l’on clonera les services :
mkdir /DATA/docker/services
On clone le dépôt :
cd /DATA/docker/services git clone https://gitlab.utc.fr/picasoft/projets/services/<NOM-DU-DEPOT>
Le dépôt sera partagé et les fichiers doivent être éditables par tous les membres de Picasoft.
Or, avec Git, tout git pull
va associer les nouveaux fichiers écrits au compte qui effectue la commande, avec des permissions d’écriture uniquement pour ce membre (pour plus de détails, se référer à la documentation Git et comprendre la notion de umask
).
Une solution pour rendre le dépôt “partagé” (i.e. éditable par tous les membres du groupe docker
), quelles que soient les permissions initiales, est la suivante.
Éditer /DATA/docker/services/<NOM-DU-DEPOT>/.git/config
, et ajouter, sous [core]
:
sharedrepository = group
Ainsi, le dépôt sera “partagé”, c’est-à-dire que les fichiers créés seront en théorie partagé avec le groupe propriétaire du dépôt, qui devrait être docker
. Voir la documentation.
Pour être certain que les fichiers créés manuellement sur la machine par les utilisateurs soient accessibles par le groupe docker
, on entrera la commande suivante :
- snippet.bash
sudo setfacl -Rdm g:docker:rwx /DATA/docker/services/
Ainsi, les fichiers créés auront le groupe docker
par défaut ainsi que les permissions d’écriture pour le groupe.
On terminera, pour être sûr·e, par :
- snippet.bash
sudo chgrp -R docker /DATA/docker/services sudo chmod -R g+w /DATA/docker/services sudo chmod g-w /DATA/docker/services/<NOM-DU-DEPOT>/.git/objects/pack/* find /DATA/docker/services -type d -exec sudo chmod g+s {} \;