.Shad. Posté(e) le 7 octobre 2018 Partager Posté(e) le 7 octobre 2018 (modifié) Bonjour, Suite au manque de possibilité de vérifier "facilement" les màj de mes containers docker via le paquet synology, j'ai essayé de mettre en place Portainer suite aux conseils d'un ami informaticien et de par le fait qu'apparemment @InfoYANN a réussi à le faire tourner (voir sujet paquets alternatifs). J'ai réussi à configurer le docker de Portainer, j'ai créé un compte d'utilisation et j'ai été invité à créer un "endpoint", si j'ai bien compris il s'agit de pointer vers une instance docker, en l'occurence celle du NAS. L'écran en question : J'ai naturellement testé de mettre, suivant les indications fournies par l'aide pour chaque champ : Endpoint URL : ndd.domaine.tld:9000 (port d'exposition de portainer) Public IP : ndd.domaine.tld Une fois validé, j'essaie de m'y connecter depuis l'onglet Home mais je rencontre l'erreur "Unable to connect to docker environment". Les logs du container donnent l'erreur suivante : http error: endpoint snapshot error (endpoint=local, URL=tcp://ndd.domaine.tld:9000) (err=Error response from daemon: 404 page not found) D'autre part, le script de création du container, et la page web qui y fait référence : docker create --name=portainer --restart=always -p 9000:9000 -v /volume1/docker/portainer:/data -v /var/run/docker.sock:/var/run/docker.sock portainter/portainer Je n'ai trouvé que très peu d'infos sur l'utilisation de Portainer sur un NAS Synology, hormis ceci : https://github.com/portainer/portainer/issues/1966 Si ça parle à certains... 🙂 @+ NB : Je ne suis pas certain d'avoir posté dans le bon forum, qu'un modérateur n'hésite pas à me suggérer un meilleur emplacement... Modifié le 7 octobre 2018 par shadowking 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
unPixel Posté(e) le 7 octobre 2018 Partager Posté(e) le 7 octobre 2018 (modifié) Bonjour, Il n'y a rien à faire de particulier pour installer Portainer. Il se charge tout seul normalement via le daemon (si je me trompe pas) de prendre en compte les autres containers installés. Au niveau de ma config, voilà ce que j'ai si ça peut t'aider : Paramètres généraux : Rien de particulier à part le redémarrage automatique. Volume : docker/portainer_data > /data var/run/docker.sock > /var/run/docker.sock Paramètres des ports : 9000 > 9000 Liens : VIDE Environnement : PATH > /usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin ************************ Ensuite, au niveau du proxy inversé, j'ai simplement comme toutes mes règles : https://xxxx.ndd.tld > http://localhost:9000 Résultat : Modifié le 7 octobre 2018 par InfoYANN 1 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
.Shad. Posté(e) le 7 octobre 2018 Auteur Partager Posté(e) le 7 octobre 2018 J'ai refait toute la manipulation. Je ne sais pas si c'est le fait d'avoir créé un dossier portainer_data, ou d'avoir supprimé tous les fichiers de configuration, mais il m'a cette fois proposé d'aller chercher l'instance en local, la première fois j'ai dû le zapper et vu qu'il gardait les settings originelles ça devait me cacher ce choix. Du coup effectivement ça se fait tout seul. Par contre apparemment il ne vérifie pas plus les mises à jour que l'application de Synology, du coup je me retrouve à devoir aller voir les tags des différentes images sur dockerhub... Apparemment il existe une solution qui s'appelle Watchtower ? ça te parlerait ? 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
unPixel Posté(e) le 7 octobre 2018 Partager Posté(e) le 7 octobre 2018 En même temps, cette application n'a pas pour fonction de surveiller les mises à jour des autres containers mais elle a pour fonction de simplifier la gestion des images, containers etc... en regroupant tout dans une interface web. A l'image de Docker intégré dans DSM mais en mieux (je trouve). Et non, je ne connais pas Watchtower. Après, en aparté, je te dirai que je commence à limiter mon utilisation sur Docker. Maintenant, tout ce que je peux faire tourner en html/php etc... sur webstation, je le fais. Disons que je suis pas encore assez connaisseur sur Docker pour me rassurer au niveau sécurité. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Balooforever Posté(e) le 7 octobre 2018 Partager Posté(e) le 7 octobre 2018 Il y a 3 heures, InfoYANN a dit : En même temps, cette application n'a pas pour fonction de surveiller les mises à jour des autres containers mais elle a pour fonction de simplifier la gestion des images, containers etc... en regroupant tout dans une interface web. A l'image de Docker intégré dans DSM mais en mieux (je trouve). Et non, je ne connais pas Watchtower. Après, en aparté, je te dirai que je commence à limiter mon utilisation sur Docker. Maintenant, tout ce que je peux faire tourner en html/php etc... sur webstation, je le fais. Disons que je suis pas encore assez connaisseur sur Docker pour me rassurer au niveau sécurité. Par exemple Shaarli ? 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
unPixel Posté(e) le 7 octobre 2018 Partager Posté(e) le 7 octobre 2018 Tout à fait. J'ai exporté mes données de Shaarli docker et j'ai réimporté dans une version php classique installée par mes soins. Et dans Docker, je garde plus que l'essentiel que je ne trouve pas en version script web comme Bitwarden par exemple. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Balooforever Posté(e) le 7 octobre 2018 Partager Posté(e) le 7 octobre 2018 il y a 2 minutes, InfoYANN a dit : Tout à fait. J'ai exporté mes données de Shaarli docker et j'ai réimporté dans une version php classique installée par mes soins. Et dans Docker, je garde plus que l'essentiel que je ne trouve pas en version script web comme Bitwarden par exemple. Après, es ce qu'il y a un gain de sécurité entre un container isolé qui n'a accès en écriture qu'à un répertoire et une utilisateur http avec des droits écritures, honnêtement je ne sais pas. Pour Wallabag, tu l'as passé sur webstation aussi ? 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
unPixel Posté(e) le 7 octobre 2018 Partager Posté(e) le 7 octobre 2018 Pour wallabag, je cherche à le faire mais pas trop le temps ces derniers jours. Je vais m'y remettre ! Citation Après, es ce qu'il y a un gain de sécurité entre un container isolé qui n'a accès en écriture qu'à un répertoire et une utilisateur http avec des droits écritures, honnêtement je ne sais pas. Encore une fois, je ne suis pas un grand connaisseur de Docker bien que je me renseigne beaucoup et je constate plusieurs choses qui me dérangent dans Docker. Les backups sur Docker ne sont pas intuitifs et automatisés. Sur webstation, j'ai à la fois Hyper Backup mais aussi Syncback PRO qui font des sauvegardes périodiques. Question sécurité, je trouve que c'est pas clair sur Docker. Par exemple, on peut voir que le daemon est en root et donc peut tout faire. Il suffit par exemple d'installer Portainer et on voit que sans autoriser quoi que ce soit, l'application peut très bien foutre en l'air toutes les images, containers, configs etc... qui sont dans Docker. Alors que pour webstation, j'installe mon petit script, ma petite bdd limitée à un son utilisateur et c'est fini. Bref, j'ai pas fini d'utiliser Docker mais il faut que je me renseigne un peu plus sur le sujet pour être convaincu. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Balooforever Posté(e) le 7 octobre 2018 Partager Posté(e) le 7 octobre 2018 il y a 11 minutes, InfoYANN a dit : Pour wallabag, je cherche à le faire mais pas trop le temps ces derniers jours. Je vais m'y remettre ! Encore une fois, je ne suis pas un grand connaisseur de Docker bien que je me renseigne beaucoup et je constate plusieurs choses qui me dérangent dans Docker. Les backups sur Docker ne sont pas intuitifs et automatisés. Sur webstation, j'ai à la fois Hyper Backup mais aussi Syncback PRO qui font des sauvegardes périodiques. Question sécurité, je trouve que c'est pas clair sur Docker. Par exemple, on peut voir que le daemon est en root et donc peut tout faire. Il suffit par exemple d'installer Portainer et on voit que sans autoriser quoi que ce soit, l'application peut très bien foutre en l'air toutes les images, containers, configs etc... qui sont dans Docker. Alors que pour webstation, j'installe mon petit script, ma petite bdd limitée à un son utilisateur et c'est fini. Bref, j'ai pas fini d'utiliser Docker mais il faut que je me renseigne un peu plus sur le sujet pour être convaincu. Dépends si tu exécute ton container avec privilèges élevés je pense. Pour les backups, tout dépends ou tu stock les données, normalement une sauvegarde du répertoire docker fonctionne bien 🙂 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
unPixel Posté(e) le 7 octobre 2018 Partager Posté(e) le 7 octobre 2018 Non, aucun de mes containers n'ont les privilèges élevés ! Sauf que tout n'est pas dans le dossier backup. Par exemple, pour Wallabag, je n'arrive pas à faire correspondre les données dans le dossier de mon choix et je n'arrive d'ailleurs pas à trouver le dossier ou sont les données en SSH. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Balooforever Posté(e) le 7 octobre 2018 Partager Posté(e) le 7 octobre 2018 Normalement il faut lier le répertoire data : /volumeX/docker/Wallabag/data:/var/www/wallabag/data 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
.Shad. Posté(e) le 7 octobre 2018 Auteur Partager Posté(e) le 7 octobre 2018 Il y a 4 heures, InfoYANN a dit : En même temps, cette application n'a pas pour fonction de surveiller les mises à jour des autres containers mais elle a pour fonction de simplifier la gestion des images, containers etc... en regroupant tout dans une interface web. A l'image de Docker intégré dans DSM mais en mieux (je trouve). Et non, je ne connais pas Watchtower. Après, en aparté, je te dirai que je commence à limiter mon utilisation sur Docker. Maintenant, tout ce que je peux faire tourner en html/php etc... sur webstation, je le fais. Disons que je suis pas encore assez connaisseur sur Docker pour me rassurer au niveau sécurité. Oui je trouve Portainer bien plus intuitif aussi que l'appli DSM. Une version web classique existe peut-être je t'avoue que je n'ai pas regardé. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
unPixel Posté(e) le 7 octobre 2018 Partager Posté(e) le 7 octobre 2018 il y a 12 minutes, Balooforever a dit : Normalement il faut lier le répertoire data : /volumeX/docker/Wallabag/data:/var/www/wallabag/data J'avais essayé mais ça ne fonctionnait pas. Il ne faisait pas le changement. il y a 5 minutes, shadowking a dit : Oui je trouve Portainer bien plus intuitif aussi que l'appli DSM. Une version web classique existe peut-être je t'avoue que je n'ai pas regardé. Une version web classique ? de Docker ? Non. Tout est en ligne de commande normalement. Si tu veux ensuite l'interface web, tu dois l'installer toi même avec une application comme Portainer. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Balooforever Posté(e) le 7 octobre 2018 Partager Posté(e) le 7 octobre 2018 il y a 27 minutes, InfoYANN a dit : J'avais essayé mais ça ne fonctionnait pas. Il ne faisait pas le changement. Une version web classique ? de Docker ? Non. Tout est en ligne de commande normalement. Si tu veux ensuite l'interface web, tu dois l'installer toi même avec une application comme Portainer. Pour info, tu peux facilement voir ce que fait un container Docker, c'est finalement assez simple (il faut regarder sur Github les sources). Pour les droits, l'agent Docker n'a accès qu'au répertoire Docker (malgré les droits Root), par contre je pense qu'en cas de compromission, il y a possibilité d'un accès inter-docker même si normalement limité vu que chaque container à son propre user (PID/GID) 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
unPixel Posté(e) le 7 octobre 2018 Partager Posté(e) le 7 octobre 2018 Citation Pour info, tu peux facilement voir ce que fait un container Docker, c'est finalement assez simple (il faut regarder sur Github les sources). Pas compris. Tu veux dire qu'on doit en permanence et limite tous les jours s'assurer nous même à la mano sur chaque containers qu'il y a une MAJ en visitant tous les liens Github ?! Si c'est ça, bah y'a quand même un soucis ! On est en 2018 quand même... Citation Pour les droits, l'agent Docker n'a accès qu'au répertoire Docker (malgré les droits Root), par contre je pense qu'en cas de compromission, il y a possibilité d'un accès inter-docker même si normalement limité vu que chaque container à son propre user (PID/GID) Chaque container n'a pas son propre user. Tu vois ça ou sur ton NAS que chaque container utilise son propre compte utilisateur stp ? 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Balooforever Posté(e) le 8 octobre 2018 Partager Posté(e) le 8 octobre 2018 Il y a 15 heures, InfoYANN a dit : Pas compris. Tu veux dire qu'on doit en permanence et limite tous les jours s'assurer nous même à la mano sur chaque containers qu'il y a une MAJ en visitant tous les liens Github ?! Si c'est ça, bah y'a quand même un soucis ! On est en 2018 quand même... Chaque container n'a pas son propre user. Tu vois ça ou sur ton NAS que chaque container utilise son propre compte utilisateur stp ? Non, ce que je voulais dire c'est que si tu te demande ce que fait le container, c'est finalement juste un bête fichier à lire sur GitHub pour avoir les infos sur ce qu'il va faire en s'executant Pour l'user, c'est au niveau du container que tu le vois (et au niveau des répertoires dans le dossier Docker), si l'ID correspond à un de tes utilisateurs, il aura les droits de ton utilisateur, sinon uniquement les droits sur son répertoire 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
unPixel Posté(e) le 8 octobre 2018 Partager Posté(e) le 8 octobre 2018 Sauf que certains containers utilisent leurs propres base de données avec un mysql lite par exemple. Et certains containers comme Searx par exemple fonctionnent sans ID car pas d'utilisateurs pour l'application. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Balooforever Posté(e) le 8 octobre 2018 Partager Posté(e) le 8 octobre 2018 Il y a 1 heure, InfoYANN a dit : Sauf que certains containers utilisent leurs propres base de données avec un mysql lite par exemple. Et certains containers comme Searx par exemple fonctionnent sans ID car pas d'utilisateurs pour l'application. Quand je parle d'utilisateur, je parle du compte utilisé par le container pour exécuter les processus à l'intérieur du container 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
unPixel Posté(e) le 8 octobre 2018 Partager Posté(e) le 8 octobre 2018 (modifié) J'irai regarder ça. Tu es sûr que de base, les containers n'ont un accès via le daemon root ? Modifié le 8 octobre 2018 par InfoYANN 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
kanjusei Posté(e) le 10 octobre 2018 Partager Posté(e) le 10 octobre 2018 Bonjour, les images docker peuvent tournées avec un user limité. C'est le mainteneur qui décide et construit l'image , qui décide aussi de faire une image propre ( sans root) ou avec root. pour Watchtower voici le docker-compose . version: "3" services: watchtower: image: v2tec/watchtower volumes: - /var/run/docker.sock:/var/run/docker.sock - /root/.docker/config.json:/config.json command: --interval 30 A lire avant d'installer . https://github.com/v2tec/watchtower/wiki/Synology-DSM-Installation-Guide 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
unPixel Posté(e) le 10 octobre 2018 Partager Posté(e) le 10 octobre 2018 Donc si je comprend bien le docker-compose, ça passe par root. C'est bien ça ? 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Balooforever Posté(e) le 10 octobre 2018 Partager Posté(e) le 10 octobre 2018 il y a 8 minutes, InfoYANN a dit : Donc si je comprend bien le docker-compose, ça passe par root. C'est bien ça ? Oui tout comme toute execution d'une instance docker 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
unPixel Posté(e) le 10 octobre 2018 Partager Posté(e) le 10 octobre 2018 Bah c'est pas ce que j'ai compris du message de kanjusei 🙄 Je cite : Citation C'est le mainteneur qui décide et construit l'image , qui décide aussi de faire une image propre ( sans root) ou avec root. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
kanjusei Posté(e) le 11 octobre 2018 Partager Posté(e) le 11 octobre 2018 (modifié) Il y a 3 heures, InfoYANN a dit : Bah c'est pas ce que j'ai compris du message de kanjusei 🙄 Je cite : Moi je lance le docker-compose a partir d'un terminal lancé en root, mais si le docker file est construit de manière a aucun processus root, par exemple ce lien. https://github.com/xataz/docker-rtorrent-rutorrent Infoyann teste en construisant l'image que j'ai cité plus haut dans le lien, tu verras avec htop que tu auras aucun processus root. Modifié le 11 octobre 2018 par kanjusei 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
unPixel Posté(e) le 11 octobre 2018 Partager Posté(e) le 11 octobre 2018 C'est déjà le cas chez moi en effet. Via htop, j'ai par exemple Emby et Plex en test qui tourne sous le même user créé par mes soins et ne sont pas root. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.