technique:docker:picasoft:new

**Ceci est une ancienne révision du document !**

Créer un nouveau service

Préambule

Cette page donne quelques pistes pour lancer un nouveau service, versionné sur le dépôt dockerfiles (voir gestion des services).

L’idée de ce dépôt est de rendre nos services indépendants des machines virtuelles sur lesquels ils sont lancés, c’est-à-dire qu’à partir de ce dépôt, on devrait pouvoir remonter sans aucun problème un service sur une machine quelconque (sauf les données, bien sûr).

Le dossier template est une bonne base pour commencer un nouveau service.

Attention:

Si on utilise pas d’image maison, il n’est pas nécessaire d’utiliser un Dockerfile.

A Savoir:

Pour le contenu des fichiers Dockerfile et docker-compose.yml, on se référera au guide des bonnes pratiques pour les Dockerfile et au guide des bonnes pratiques pour Compose en cas de doute.

Pour savoir si vous avez versionné tout les fichiers nécessaires et automatisé le démarrage du service, posez-vous la question suivante :

Question:

Si je fais un git pull sur n’importe quelle machine puis un docker-compose up -d, est-ce-que mon service démarre correctement ?

Si non, voici quelques pistes.

Choix des fichiers à versionner

La seule exception concerne les opérations nécessaires pour créer les secrets (voir plus bas).

Fichiers nécessaires

Pour chaque service, on aura au moins :

  • Un README.md, qui explique de quoi il s’agit, comment lancer le service, comment le mettre à jour, etc. On pourra s’inspirer des services existants.
  • Un docker-compose.yml, qui permet de lancer le service sur les machines de Picasoft. Les images utilisées doivent toujours avoir un tag de version précis (voir bonnes pratiques).

Image personnalisée

Important:

S’il existe un Dockerfile sur un dépôt Git distant mais pas d’image poussée sur un registre Docker, mais que ce Dockerfile nous convient, il n’est pas nécessaire de le copier. On pourra utiliser un contexte de build avec une URL de dépôt (voir conseils généraux pour Compose).

Si on utilise un Dockerfile personnalisé, il faut rajouter :

  • Un ou plusieurs Dockerfile, qui permet(tent) de construire l’image.
  • Un CHANGELOG.md, qui indique les modifications effectuées au fil des versions.

Question:

Que faire s’il existe déjà une image Docker pour le service qu’on veut mettre en place, mais qu’on a besoin de le customiser ? Il y a deux solutions :

  • Soit on part de l’image officielle, avec un FROM, et on travaille dessus en rajoutant des fichiers, en enlevant des paquets… Cette solution a l’inconvénient de multiplier les layers inutiles, et d’augmenter la taille de l’image.
  • Soit on copie le Dockerfile de l’image officielle (c’est le cas pour Mattermost), et on fait nos modifications. Cette solution a pour inconvénient de devoir se synchroniser avec les modifications du Dockerfile officiel à chaque mise à jour, s’il contient des améliorations ou corrections importantes.

Le Dockerfile peut contenir des directives COPY pour ajouter des fichiers à l’image. S’il s’agit d’un ou deux fichiers de configuration, ou d’un peu de code pour personnaliser une page d’accueil, aucun souci pour les versionner directement sur le dépôt.

Important:

Si vous avez besoin de copier le code d’un service entier, il est préférable de créer un dépôt spécifique qui contiendra le code du service, et de faire un git pull dans le Dockerfile, ou de récupérer une release avec un wget. En effet, le dépôt dockerfiles ne contient en théorie que de la configuration pour Docker, pas le code des services.

Fichiers de configuration

Il est préférable de versionner la configuration du service sur ce dépôt, pour pouvoir relancer rapidement le service sur une machine quelconque sans devoir récupérer la configuration sur l’ancienne machine.

Attention:

Si la configuration est souvent modifiée via l’interface d’administration du service, il est préférable de ne pas la versionner. Par exemple, Mattermost utilise un fichier config.json, mais on le modifie essentiellement à travers la Console Administrateur (interface graphique). Versionner ce fichier obligerait à modifier la configuration “à la main”, puis à redémarrer Mattermost à chaque changement de paramètres.

Note:

Etherpad utilise un fichier config.json qui n’est pas modifiable via une interface graphique, et qui est pris en compte uniquement au démarrage. C’est donc un bon fichier à versionner.

La rule of thumb est donc la suivante : on versionnera tous les fichiers qui ne sont pas modifiés dynamiquement quand le service est lancé.

Attention:

Si le fichier de configuration est versionné et qu’on le modifie dans l’entrypoint (par exemple pour y injecter des secrets), on en fera une copie au démarrage du service, on remplacera les valeurs des secrets et on dira au service d’utiliser cette copie, afin de ne pas modifier la version versionnée.

Cas particuliers

Initialisation manuelle

Certaines images pré-construites demandent d’effectuer des opérations manuellement avant de les lancer pour la première fois (initialisation de base de données, etc). Toujours dans la logique de pouvoir monter un service avec un simple docker-compose up -d, on évitera de demander aux administrateurs de services de lancer des commandes supplémentaires.

Dans ce cas, on pourra créer un entrypoint qui effectue ces opérations si jamais le service est lancé pour la première fois, puis qui lance le service normalement.

Note:

Il ne faut pas hésiter à créer une image personnalisée basée sur l’image officielle “juste” pour ajouter un entrypoint personnalisé ! Ça ne coûte pas grand chose, ça fait gagner du temps, et ça évite les erreurs (exemple : une instruction d’initialisation de base de donnée sur une instance qui tourne déjà).

A Savoir:

On pourra marquer le fait qu’un service a déjà été initialisé en créant un fichier “marqueur” dans un volume. Voir Plume pour un exemple. D’autres techniques sont possibles :)

Modification du fichier de configuration au démarrage

Un autre cas particulier est celui de la configuration du service. Si :

  • Les fichiers de configuration ne sont pas versionnables (car modifiés via l’interface graphique…),
  • Que les variables d’environnement ne permettent pas nativement de modifier la configuration,
  • Mais qu’on a besoin de modifier la configuration lors de l’initialisation,

Alors on créera nos propres variables d’environnement et un entrypoint personnalisé. C’est ce qu’on fait pour Mattermost : config.json n’est pas versionné, mais l’entrypoint récupère la configuration via l’environnement et l’injecte dans config.json.

Gestion des secrets

Un service a souvent besoin de secrets pour démarrer. Par secrets, on entend souvent mot de passe, ou clé privée.

Important:

On utilise systématiquement des variables d’environnement dans des fichiers non-versionnés pour les secrets. On ne peut pas les mettre dans le fichier Compose ou dans le Dockerfile, car ces fichiers sont versionnés, et donc publics.

On créera un dossier secrets, puis des fichiers en <service>.secrets.example qui contiennent une variable d’environnement par ligne, ainsi qu’une valeur d’exemple. Ces fichiers sont versionnés. Ils seront ensuite copiés en .secrets sur la machine de production, les valeurs sont remplacées, et injectées dans le conteneur via la directive env_file de Compose. Tout ceci est expliqué dans les bonnes pratiques.

Note:

Il peut arriver qu’un service ne prenne pas en charge les variables d’environnement pour les secrets. Dans ce cas, on utilisera un entrypoint personnalisé pour injecter les variables d’environnement dans le fichier de configuration.

On trouvera un exemple dans pica-metrics-bot, où l’on voit que le fichier de configuration contient des marqueurs (INFLUXDB_USER par exemple). Ce fichier est copié au démarrage (pour éviter de modifier le fichier versionné), puis les marqueurs sont remplacés au démarrage du service par les valeurs des variables d’environnement correspondantes.

Que faire ensuite ?

Une fois que tout est prêt, vous pouvez tester votre service.

  • technique/docker/picasoft/new.1602580460.txt.gz
  • de qduchemi