Aller au contenu

Configuration Portainer


Messages recommandés

Bonjour,

Suite au manque de possibilité de vérifier "facilement" les màj de mes containers docker via le paquet synology, j'ai essayé de mettre en place Portainer suite aux conseils d'un ami informaticien et de par le fait qu'apparemment @InfoYANN a réussi à le faire tourner (voir sujet paquets alternatifs).
J'ai réussi à configurer le docker de Portainer, j'ai créé un compte d'utilisation et j'ai été invité à créer un "endpoint", si j'ai bien compris il s'agit de pointer vers une instance docker, en l'occurence celle du NAS.

L'écran en question :

image.thumb.png.b60599d0271359c3a556cd191609aef0.png

J'ai naturellement testé de mettre, suivant les indications fournies par l'aide pour chaque champ :

Endpoint URL : ndd.domaine.tld:9000 (port d'exposition de portainer)
Public IP ndd.domaine.tld

Une fois validé, j'essaie de m'y connecter depuis l'onglet Home mais je rencontre l'erreur "Unable to connect to docker environment".

Les logs du container donnent l'erreur suivante :

http error: endpoint snapshot error (endpoint=local, URL=tcp://ndd.domaine.tld:9000) (err=Error response from daemon: 404 page not found)

D'autre part, le script de création du container, et la page web qui y fait référence :

docker create --name=portainer --restart=always -p 9000:9000 -v /volume1/docker/portainer:/data -v /var/run/docker.sock:/var/run/docker.sock portainter/portainer

Je n'ai trouvé que très peu d'infos sur l'utilisation de Portainer sur un NAS Synology, hormis ceci : https://github.com/portainer/portainer/issues/1966

Si ça parle à certains... 🙂

@+

NB : Je ne suis pas certain d'avoir posté dans le bon forum, qu'un modérateur n'hésite pas à me suggérer un meilleur emplacement...

Modifié par shadowking
Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Il n'y a rien à faire de particulier pour installer Portainer. Il se charge tout seul normalement via le daemon (si je me trompe pas) de prendre en compte les autres containers installés.

Au niveau de ma config, voilà ce que j'ai si ça peut t'aider :

Paramètres généraux :

Rien de particulier à part le redémarrage automatique.

Volume :

docker/portainer_data > /data

var/run/docker.sock > /var/run/docker.sock

Paramètres des ports :

9000 > 9000

Liens :

VIDE

Environnement :

PATH > /usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin

************************

Ensuite, au niveau du proxy inversé, j'ai simplement comme toutes mes règles :

https://xxxx.ndd.tld > http://localhost:9000

iQsFyyT.png

Résultat :

rOjnBzs.png

Modifié par InfoYANN
Lien vers le commentaire
Partager sur d’autres sites

J'ai refait toute la manipulation.
Je ne sais pas si c'est le fait d'avoir créé un dossier portainer_data, ou d'avoir supprimé tous les fichiers de configuration, mais il m'a cette fois proposé d'aller chercher l'instance en local, la première fois j'ai dû le zapper et vu qu'il gardait les settings originelles ça devait me cacher ce choix. Du coup effectivement ça se fait tout seul. Par contre apparemment il ne vérifie pas plus les mises à jour que l'application de Synology, du coup je me retrouve à devoir aller voir les tags des différentes images sur dockerhub...
Apparemment il existe une solution qui s'appelle Watchtower ? ça te parlerait ?

Lien vers le commentaire
Partager sur d’autres sites

En même temps, cette application n'a pas pour fonction de surveiller les mises à jour des autres containers mais elle a pour fonction de simplifier la gestion des images, containers etc... en regroupant tout dans une interface web. A l'image de Docker intégré dans DSM mais en mieux (je trouve).

Et non, je ne connais pas Watchtower.

Après, en aparté, je te dirai que je commence à limiter mon utilisation sur Docker. Maintenant, tout ce que je peux faire tourner en html/php etc... sur webstation, je le fais.

Disons que je suis pas encore assez connaisseur sur Docker pour me rassurer au niveau sécurité.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 3 heures, InfoYANN a dit :

En même temps, cette application n'a pas pour fonction de surveiller les mises à jour des autres containers mais elle a pour fonction de simplifier la gestion des images, containers etc... en regroupant tout dans une interface web. A l'image de Docker intégré dans DSM mais en mieux (je trouve).

Et non, je ne connais pas Watchtower.

Après, en aparté, je te dirai que je commence à limiter mon utilisation sur Docker. Maintenant, tout ce que je peux faire tourner en html/php etc... sur webstation, je le fais.

Disons que je suis pas encore assez connaisseur sur Docker pour me rassurer au niveau sécurité.

Par exemple Shaarli ?

Lien vers le commentaire
Partager sur d’autres sites

il y a 2 minutes, InfoYANN a dit :

Tout à fait. J'ai exporté mes données de Shaarli docker et j'ai réimporté dans une version php classique installée par mes soins. Et dans Docker, je garde plus que l'essentiel que je ne trouve pas en version script web comme Bitwarden par exemple. 

Après, es ce qu'il y a un gain de sécurité entre un container isolé qui n'a accès en écriture qu'à un répertoire et une utilisateur http avec des droits écritures, honnêtement je ne sais pas.

Pour Wallabag, tu l'as passé sur webstation aussi ?

Lien vers le commentaire
Partager sur d’autres sites

Pour wallabag, je cherche à le faire mais pas trop le temps ces derniers jours. Je vais m'y remettre !

Citation

Après, es ce qu'il y a un gain de sécurité entre un container isolé qui n'a accès en écriture qu'à un répertoire et une utilisateur http avec des droits écritures, honnêtement je ne sais pas.

Encore une fois, je ne suis pas un grand connaisseur de Docker bien que je me renseigne beaucoup et je constate plusieurs choses qui me dérangent dans Docker.

Les backups sur Docker ne sont pas intuitifs et automatisés.

Sur webstation, j'ai à la fois Hyper Backup mais aussi Syncback PRO qui font des sauvegardes périodiques.

Question sécurité, je trouve que c'est pas clair sur Docker. Par exemple, on peut voir que le daemon est en root et donc peut tout faire.

Il suffit par exemple d'installer Portainer et on voit que sans autoriser quoi que ce soit, l'application peut très bien foutre en l'air toutes les images, containers, configs etc... qui sont dans Docker.

Alors que pour webstation, j'installe mon petit script, ma petite bdd limitée à un son utilisateur et c'est fini.

 

Bref, j'ai pas fini d'utiliser Docker mais il faut que je me renseigne un peu plus sur le sujet pour être convaincu.

Lien vers le commentaire
Partager sur d’autres sites

il y a 11 minutes, InfoYANN a dit :

Pour wallabag, je cherche à le faire mais pas trop le temps ces derniers jours. Je vais m'y remettre !

Encore une fois, je ne suis pas un grand connaisseur de Docker bien que je me renseigne beaucoup et je constate plusieurs choses qui me dérangent dans Docker.

Les backups sur Docker ne sont pas intuitifs et automatisés.

Sur webstation, j'ai à la fois Hyper Backup mais aussi Syncback PRO qui font des sauvegardes périodiques.

Question sécurité, je trouve que c'est pas clair sur Docker. Par exemple, on peut voir que le daemon est en root et donc peut tout faire.

Il suffit par exemple d'installer Portainer et on voit que sans autoriser quoi que ce soit, l'application peut très bien foutre en l'air toutes les images, containers, configs etc... qui sont dans Docker.

Alors que pour webstation, j'installe mon petit script, ma petite bdd limitée à un son utilisateur et c'est fini.

 

Bref, j'ai pas fini d'utiliser Docker mais il faut que je me renseigne un peu plus sur le sujet pour être convaincu.

Dépends si tu exécute ton container avec privilèges élevés je pense.

Pour les backups, tout dépends ou tu stock les données, normalement une sauvegarde du répertoire docker fonctionne bien 🙂

Lien vers le commentaire
Partager sur d’autres sites

Non, aucun de mes containers n'ont les privilèges élevés !

Sauf que tout n'est pas dans le dossier backup. Par exemple, pour Wallabag, je n'arrive pas à faire correspondre les données dans le dossier de mon choix et je n'arrive d'ailleurs pas à trouver le dossier ou sont les données en SSH.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 4 heures, InfoYANN a dit :

En même temps, cette application n'a pas pour fonction de surveiller les mises à jour des autres containers mais elle a pour fonction de simplifier la gestion des images, containers etc... en regroupant tout dans une interface web. A l'image de Docker intégré dans DSM mais en mieux (je trouve).

Et non, je ne connais pas Watchtower.

Après, en aparté, je te dirai que je commence à limiter mon utilisation sur Docker. Maintenant, tout ce que je peux faire tourner en html/php etc... sur webstation, je le fais.

Disons que je suis pas encore assez connaisseur sur Docker pour me rassurer au niveau sécurité.

Oui je trouve Portainer bien plus intuitif aussi que l'appli DSM.
Une version web classique existe peut-être je t'avoue que je n'ai pas regardé.

Lien vers le commentaire
Partager sur d’autres sites

il y a 12 minutes, Balooforever a dit :

Normalement il faut lier le répertoire data : /volumeX/docker/Wallabag/data:/var/www/wallabag/data

J'avais essayé mais ça ne fonctionnait pas. Il ne faisait pas le changement.

il y a 5 minutes, shadowking a dit :

Oui je trouve Portainer bien plus intuitif aussi que l'appli DSM.
Une version web classique existe peut-être je t'avoue que je n'ai pas regardé.

Une version web classique ? de Docker ? Non. Tout est en ligne de commande normalement. Si tu veux ensuite l'interface web, tu dois l'installer toi même avec une application comme Portainer.

Lien vers le commentaire
Partager sur d’autres sites

il y a 27 minutes, InfoYANN a dit :

J'avais essayé mais ça ne fonctionnait pas. Il ne faisait pas le changement.

Une version web classique ? de Docker ? Non. Tout est en ligne de commande normalement. Si tu veux ensuite l'interface web, tu dois l'installer toi même avec une application comme Portainer.

Pour info, tu peux facilement voir ce que fait un container Docker, c'est finalement assez simple (il faut regarder sur Github les sources).

Pour les droits, l'agent Docker n'a accès qu'au répertoire Docker (malgré les droits Root), par contre je pense qu'en cas de compromission, il y a possibilité d'un accès inter-docker même si normalement limité vu que chaque container à son propre user (PID/GID)

Lien vers le commentaire
Partager sur d’autres sites

Citation

Pour info, tu peux facilement voir ce que fait un container Docker, c'est finalement assez simple (il faut regarder sur Github les sources).

Pas compris. Tu veux dire qu'on doit en permanence et limite tous les jours s'assurer nous même à la mano sur chaque containers qu'il y a une MAJ en visitant tous les liens Github ?! Si c'est ça, bah y'a quand même un soucis ! On est en 2018 quand même...

Citation

Pour les droits, l'agent Docker n'a accès qu'au répertoire Docker (malgré les droits Root), par contre je pense qu'en cas de compromission, il y a possibilité d'un accès inter-docker même si normalement limité vu que chaque container à son propre user (PID/GID)

Chaque container n'a pas son propre user. Tu vois ça ou sur ton NAS que chaque container utilise son propre compte utilisateur stp ?

Lien vers le commentaire
Partager sur d’autres sites

Il y a 15 heures, InfoYANN a dit :

Pas compris. Tu veux dire qu'on doit en permanence et limite tous les jours s'assurer nous même à la mano sur chaque containers qu'il y a une MAJ en visitant tous les liens Github ?! Si c'est ça, bah y'a quand même un soucis ! On est en 2018 quand même...

Chaque container n'a pas son propre user. Tu vois ça ou sur ton NAS que chaque container utilise son propre compte utilisateur stp ?

Non, ce que je voulais dire c'est que si tu te demande ce que fait le container, c'est finalement juste un bête fichier à lire sur GitHub pour avoir les infos sur ce qu'il va faire en s'executant

Pour l'user, c'est au niveau du container que tu le vois (et au niveau des répertoires dans le dossier Docker), si l'ID correspond à un de tes utilisateurs, il aura les droits de ton utilisateur, sinon uniquement les droits sur son répertoire

Lien vers le commentaire
Partager sur d’autres sites

Il y a 1 heure, InfoYANN a dit :

Sauf que certains containers utilisent leurs propres base de données avec un mysql lite par exemple.

Et certains containers comme Searx par exemple fonctionnent sans ID car pas d'utilisateurs pour l'application. 

Quand je parle d'utilisateur, je parle du compte utilisé par le container pour exécuter les processus à l'intérieur du container

Lien vers le commentaire
Partager sur d’autres sites

Bonjour, les images docker peuvent tournées avec un user limité. C'est le mainteneur qui décide et construit l'image , qui décide aussi de faire une image propre ( sans root) ou avec root.

pour Watchtower voici le docker-compose  .

version: "3"
services:
 watchtower:
    image: v2tec/watchtower
    volumes:
      - /var/run/docker.sock:/var/run/docker.sock
      - /root/.docker/config.json:/config.json
    command: --interval 30

A lire avant d'installer .

https://github.com/v2tec/watchtower/wiki/Synology-DSM-Installation-Guide

Lien vers le commentaire
Partager sur d’autres sites

Il y a 3 heures, InfoYANN a dit :

Bah c'est pas ce que j'ai compris du message de kanjusei 🙄

 

Je cite :

 

Moi je lance le docker-compose a partir d'un terminal lancé en root, mais si le docker file est construit de manière a aucun processus root,  par exemple ce lien.

https://github.com/xataz/docker-rtorrent-rutorrent

Infoyann teste en construisant l'image que j'ai cité plus haut dans le lien, tu verras avec htop que tu auras aucun processus root.

 

Modifié par kanjusei
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.