This site uses cookies! Learn More

Ce site utilise des cookies !

En continuant à utiliser ce site, vous vous engagez à nous permettre de stocker des cookies sur votre ordinateur.

 

Si nous utilisons des cookies et retenons des données anonymes, c’est pour nous aider à mieux gérer notre mesure d’audience, aider nos partenaires commerciaux à nous rémunérer et nos partenaires publicitaires à proposer des annonces qui vous correspondent.

 

Grâce à ces cookies, le forum est en mesure de savoir qui écrit un message et utile pour le système d'authentification.

 

En cliquant sur « J'accepte », vous acceptez l'utilisation par NAS-Forum de cookies publicitaires et de mesure d'audience fine.

shadowking

Configuration Portainer

Messages recommandés

Bonjour,

Suite au manque de possibilité de vérifier "facilement" les màj de mes containers docker via le paquet synology, j'ai essayé de mettre en place Portainer suite aux conseils d'un ami informaticien et de par le fait qu'apparemment @InfoYANN a réussi à le faire tourner (voir sujet paquets alternatifs).
J'ai réussi à configurer le docker de Portainer, j'ai créé un compte d'utilisation et j'ai été invité à créer un "endpoint", si j'ai bien compris il s'agit de pointer vers une instance docker, en l'occurence celle du NAS.

L'écran en question :

image.thumb.png.b60599d0271359c3a556cd191609aef0.png

J'ai naturellement testé de mettre, suivant les indications fournies par l'aide pour chaque champ :

Endpoint URL : ndd.domaine.tld:9000 (port d'exposition de portainer)
Public IP ndd.domaine.tld

Une fois validé, j'essaie de m'y connecter depuis l'onglet Home mais je rencontre l'erreur "Unable to connect to docker environment".

Les logs du container donnent l'erreur suivante :

http error: endpoint snapshot error (endpoint=local, URL=tcp://ndd.domaine.tld:9000) (err=Error response from daemon: 404 page not found)

D'autre part, le script de création du container, et la page web qui y fait référence :

docker create --name=portainer --restart=always -p 9000:9000 -v /volume1/docker/portainer:/data -v /var/run/docker.sock:/var/run/docker.sock portainter/portainer

Je n'ai trouvé que très peu d'infos sur l'utilisation de Portainer sur un NAS Synology, hormis ceci : https://github.com/portainer/portainer/issues/1966

Si ça parle à certains... 🙂

@+

NB : Je ne suis pas certain d'avoir posté dans le bon forum, qu'un modérateur n'hésite pas à me suggérer un meilleur emplacement...

Modifié par shadowking

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour,

Il n'y a rien à faire de particulier pour installer Portainer. Il se charge tout seul normalement via le daemon (si je me trompe pas) de prendre en compte les autres containers installés.

Au niveau de ma config, voilà ce que j'ai si ça peut t'aider :

Paramètres généraux :

Rien de particulier à part le redémarrage automatique.

Volume :

docker/portainer_data > /data

var/run/docker.sock > /var/run/docker.sock

Paramètres des ports :

9000 > 9000

Liens :

VIDE

Environnement :

PATH > /usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin

************************

Ensuite, au niveau du proxy inversé, j'ai simplement comme toutes mes règles :

https://xxxx.ndd.tld > http://localhost:9000

iQsFyyT.png

Résultat :

rOjnBzs.png

Modifié par InfoYANN

Partager ce message


Lien à poster
Partager sur d’autres sites

J'ai refait toute la manipulation.
Je ne sais pas si c'est le fait d'avoir créé un dossier portainer_data, ou d'avoir supprimé tous les fichiers de configuration, mais il m'a cette fois proposé d'aller chercher l'instance en local, la première fois j'ai dû le zapper et vu qu'il gardait les settings originelles ça devait me cacher ce choix. Du coup effectivement ça se fait tout seul. Par contre apparemment il ne vérifie pas plus les mises à jour que l'application de Synology, du coup je me retrouve à devoir aller voir les tags des différentes images sur dockerhub...
Apparemment il existe une solution qui s'appelle Watchtower ? ça te parlerait ?

Partager ce message


Lien à poster
Partager sur d’autres sites

En même temps, cette application n'a pas pour fonction de surveiller les mises à jour des autres containers mais elle a pour fonction de simplifier la gestion des images, containers etc... en regroupant tout dans une interface web. A l'image de Docker intégré dans DSM mais en mieux (je trouve).

Et non, je ne connais pas Watchtower.

Après, en aparté, je te dirai que je commence à limiter mon utilisation sur Docker. Maintenant, tout ce que je peux faire tourner en html/php etc... sur webstation, je le fais.

Disons que je suis pas encore assez connaisseur sur Docker pour me rassurer au niveau sécurité.

Partager ce message


Lien à poster
Partager sur d’autres sites
Il y a 3 heures, InfoYANN a dit :

En même temps, cette application n'a pas pour fonction de surveiller les mises à jour des autres containers mais elle a pour fonction de simplifier la gestion des images, containers etc... en regroupant tout dans une interface web. A l'image de Docker intégré dans DSM mais en mieux (je trouve).

Et non, je ne connais pas Watchtower.

Après, en aparté, je te dirai que je commence à limiter mon utilisation sur Docker. Maintenant, tout ce que je peux faire tourner en html/php etc... sur webstation, je le fais.

Disons que je suis pas encore assez connaisseur sur Docker pour me rassurer au niveau sécurité.

Par exemple Shaarli ?

Partager ce message


Lien à poster
Partager sur d’autres sites

Tout à fait. J'ai exporté mes données de Shaarli docker et j'ai réimporté dans une version php classique installée par mes soins. Et dans Docker, je garde plus que l'essentiel que je ne trouve pas en version script web comme Bitwarden par exemple.

Partager ce message


Lien à poster
Partager sur d’autres sites
il y a 2 minutes, InfoYANN a dit :

Tout à fait. J'ai exporté mes données de Shaarli docker et j'ai réimporté dans une version php classique installée par mes soins. Et dans Docker, je garde plus que l'essentiel que je ne trouve pas en version script web comme Bitwarden par exemple. 

Après, es ce qu'il y a un gain de sécurité entre un container isolé qui n'a accès en écriture qu'à un répertoire et une utilisateur http avec des droits écritures, honnêtement je ne sais pas.

Pour Wallabag, tu l'as passé sur webstation aussi ?

Partager ce message


Lien à poster
Partager sur d’autres sites

Pour wallabag, je cherche à le faire mais pas trop le temps ces derniers jours. Je vais m'y remettre !

Citation

Après, es ce qu'il y a un gain de sécurité entre un container isolé qui n'a accès en écriture qu'à un répertoire et une utilisateur http avec des droits écritures, honnêtement je ne sais pas.

Encore une fois, je ne suis pas un grand connaisseur de Docker bien que je me renseigne beaucoup et je constate plusieurs choses qui me dérangent dans Docker.

Les backups sur Docker ne sont pas intuitifs et automatisés.

Sur webstation, j'ai à la fois Hyper Backup mais aussi Syncback PRO qui font des sauvegardes périodiques.

Question sécurité, je trouve que c'est pas clair sur Docker. Par exemple, on peut voir que le daemon est en root et donc peut tout faire.

Il suffit par exemple d'installer Portainer et on voit que sans autoriser quoi que ce soit, l'application peut très bien foutre en l'air toutes les images, containers, configs etc... qui sont dans Docker.

Alors que pour webstation, j'installe mon petit script, ma petite bdd limitée à un son utilisateur et c'est fini.

 

Bref, j'ai pas fini d'utiliser Docker mais il faut que je me renseigne un peu plus sur le sujet pour être convaincu.

Partager ce message


Lien à poster
Partager sur d’autres sites
il y a 11 minutes, InfoYANN a dit :

Pour wallabag, je cherche à le faire mais pas trop le temps ces derniers jours. Je vais m'y remettre !

Encore une fois, je ne suis pas un grand connaisseur de Docker bien que je me renseigne beaucoup et je constate plusieurs choses qui me dérangent dans Docker.

Les backups sur Docker ne sont pas intuitifs et automatisés.

Sur webstation, j'ai à la fois Hyper Backup mais aussi Syncback PRO qui font des sauvegardes périodiques.

Question sécurité, je trouve que c'est pas clair sur Docker. Par exemple, on peut voir que le daemon est en root et donc peut tout faire.

Il suffit par exemple d'installer Portainer et on voit que sans autoriser quoi que ce soit, l'application peut très bien foutre en l'air toutes les images, containers, configs etc... qui sont dans Docker.

Alors que pour webstation, j'installe mon petit script, ma petite bdd limitée à un son utilisateur et c'est fini.

 

Bref, j'ai pas fini d'utiliser Docker mais il faut que je me renseigne un peu plus sur le sujet pour être convaincu.

Dépends si tu exécute ton container avec privilèges élevés je pense.

Pour les backups, tout dépends ou tu stock les données, normalement une sauvegarde du répertoire docker fonctionne bien 🙂

Partager ce message


Lien à poster
Partager sur d’autres sites

Non, aucun de mes containers n'ont les privilèges élevés !

Sauf que tout n'est pas dans le dossier backup. Par exemple, pour Wallabag, je n'arrive pas à faire correspondre les données dans le dossier de mon choix et je n'arrive d'ailleurs pas à trouver le dossier ou sont les données en SSH.

Partager ce message


Lien à poster
Partager sur d’autres sites
Il y a 4 heures, InfoYANN a dit :

En même temps, cette application n'a pas pour fonction de surveiller les mises à jour des autres containers mais elle a pour fonction de simplifier la gestion des images, containers etc... en regroupant tout dans une interface web. A l'image de Docker intégré dans DSM mais en mieux (je trouve).

Et non, je ne connais pas Watchtower.

Après, en aparté, je te dirai que je commence à limiter mon utilisation sur Docker. Maintenant, tout ce que je peux faire tourner en html/php etc... sur webstation, je le fais.

Disons que je suis pas encore assez connaisseur sur Docker pour me rassurer au niveau sécurité.

Oui je trouve Portainer bien plus intuitif aussi que l'appli DSM.
Une version web classique existe peut-être je t'avoue que je n'ai pas regardé.

Partager ce message


Lien à poster
Partager sur d’autres sites
il y a 12 minutes, Balooforever a dit :

Normalement il faut lier le répertoire data : /volumeX/docker/Wallabag/data:/var/www/wallabag/data

J'avais essayé mais ça ne fonctionnait pas. Il ne faisait pas le changement.

il y a 5 minutes, shadowking a dit :

Oui je trouve Portainer bien plus intuitif aussi que l'appli DSM.
Une version web classique existe peut-être je t'avoue que je n'ai pas regardé.

Une version web classique ? de Docker ? Non. Tout est en ligne de commande normalement. Si tu veux ensuite l'interface web, tu dois l'installer toi même avec une application comme Portainer.

Partager ce message


Lien à poster
Partager sur d’autres sites
il y a 27 minutes, InfoYANN a dit :

J'avais essayé mais ça ne fonctionnait pas. Il ne faisait pas le changement.

Une version web classique ? de Docker ? Non. Tout est en ligne de commande normalement. Si tu veux ensuite l'interface web, tu dois l'installer toi même avec une application comme Portainer.

Pour info, tu peux facilement voir ce que fait un container Docker, c'est finalement assez simple (il faut regarder sur Github les sources).

Pour les droits, l'agent Docker n'a accès qu'au répertoire Docker (malgré les droits Root), par contre je pense qu'en cas de compromission, il y a possibilité d'un accès inter-docker même si normalement limité vu que chaque container à son propre user (PID/GID)

Partager ce message


Lien à poster
Partager sur d’autres sites
Citation

Pour info, tu peux facilement voir ce que fait un container Docker, c'est finalement assez simple (il faut regarder sur Github les sources).

Pas compris. Tu veux dire qu'on doit en permanence et limite tous les jours s'assurer nous même à la mano sur chaque containers qu'il y a une MAJ en visitant tous les liens Github ?! Si c'est ça, bah y'a quand même un soucis ! On est en 2018 quand même...

Citation

Pour les droits, l'agent Docker n'a accès qu'au répertoire Docker (malgré les droits Root), par contre je pense qu'en cas de compromission, il y a possibilité d'un accès inter-docker même si normalement limité vu que chaque container à son propre user (PID/GID)

Chaque container n'a pas son propre user. Tu vois ça ou sur ton NAS que chaque container utilise son propre compte utilisateur stp ?

Partager ce message


Lien à poster
Partager sur d’autres sites
Il y a 15 heures, InfoYANN a dit :

Pas compris. Tu veux dire qu'on doit en permanence et limite tous les jours s'assurer nous même à la mano sur chaque containers qu'il y a une MAJ en visitant tous les liens Github ?! Si c'est ça, bah y'a quand même un soucis ! On est en 2018 quand même...

Chaque container n'a pas son propre user. Tu vois ça ou sur ton NAS que chaque container utilise son propre compte utilisateur stp ?

Non, ce que je voulais dire c'est que si tu te demande ce que fait le container, c'est finalement juste un bête fichier à lire sur GitHub pour avoir les infos sur ce qu'il va faire en s'executant

Pour l'user, c'est au niveau du container que tu le vois (et au niveau des répertoires dans le dossier Docker), si l'ID correspond à un de tes utilisateurs, il aura les droits de ton utilisateur, sinon uniquement les droits sur son répertoire

Partager ce message


Lien à poster
Partager sur d’autres sites

Sauf que certains containers utilisent leurs propres base de données avec un mysql lite par exemple.

Et certains containers comme Searx par exemple fonctionnent sans ID car pas d'utilisateurs pour l'application.

Partager ce message


Lien à poster
Partager sur d’autres sites
Il y a 1 heure, InfoYANN a dit :

Sauf que certains containers utilisent leurs propres base de données avec un mysql lite par exemple.

Et certains containers comme Searx par exemple fonctionnent sans ID car pas d'utilisateurs pour l'application. 

Quand je parle d'utilisateur, je parle du compte utilisé par le container pour exécuter les processus à l'intérieur du container

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour, les images docker peuvent tournées avec un user limité. C'est le mainteneur qui décide et construit l'image , qui décide aussi de faire une image propre ( sans root) ou avec root.

pour Watchtower voici le docker-compose  .

version: "3"
services:
 watchtower:
    image: v2tec/watchtower
    volumes:
      - /var/run/docker.sock:/var/run/docker.sock
      - /root/.docker/config.json:/config.json
    command: --interval 30

A lire avant d'installer .

https://github.com/v2tec/watchtower/wiki/Synology-DSM-Installation-Guide

Partager ce message


Lien à poster
Partager sur d’autres sites
Il y a 3 heures, InfoYANN a dit :

Bah c'est pas ce que j'ai compris du message de kanjusei 🙄

 

Je cite :

 

Moi je lance le docker-compose a partir d'un terminal lancé en root, mais si le docker file est construit de manière a aucun processus root,  par exemple ce lien.

https://github.com/xataz/docker-rtorrent-rutorrent

Infoyann teste en construisant l'image que j'ai cité plus haut dans le lien, tu verras avec htop que tu auras aucun processus root.

 

Modifié par kanjusei

Partager ce message


Lien à poster
Partager sur d’autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant