@@ -256,7 +256,9 @@ Configuration dans daemon.json, `sudo vim /etc/docker/daemon.json ` :
Recharger le daemon via `sudo systemctl reload docker`
#### Configurer le Daemon Docker pour écouter sur le port 2376
#### Activer l'accès à l'API du daemon Docker via tcp
Deux ports sont possibles : 2375 (HTTP uniquement) ou 2376 (HTTP avec ou sans TLS).
Dans `/etc/docker/daemon.json` ajouter la configuration des sockets pour `dockerd` :
...
...
@@ -267,9 +269,15 @@ Dans `/etc/docker/daemon.json` ajouter la configuration des sockets pour `docker
}
```
#### Configurer un registry
> **Notes** :
> - L'utilisation de `tcp://0.0.0.0:2376` n'est en théorie pas sécurisée car elle permet à n'importe quel machine de parler au daemon Docker. Néanmoins, dans le cadre de mon infrastructure, cela ne pose pas de problème, puisqu'il est facile de limiter les accès aux machines du cluster elles-mêmes via des règles de firewall. j’ajouterais également, que le port 2376 n'étant accessible que via le VLAN des noeuds Docker, les risques sont assez réduis surtout en comparaison de la simplification qu'ils permettent dans la gestion du cluster.
> - Je n'ai pas activé le TLS sur le port 2376 à ce stade et ce principalement pour 2 raisons : il n'est pas nécessaire pour les raisons citées plus haut (VLAN + firewall), il requiert un certificat pour lequel il me semble préférable d'attendre qu'une CA "interne" aux Data Center SIPR soit disponible (l'alternative étant un certificat auto-signé).
#### Configurer un registry non sécurisé
Dans `/etc/docker/daemon.json` ajouter la configuration du registry (voir plus loin pour l'installation du registry) :
Par défaut, Docker refuse d'utiliser un registry qui ne serait pas accessible via HTTPS. Il est toutefois possible de définir des regitries non sécurisé directement dans la configuration du daemon.
Dans `/etc/docker/daemon.json` ajouter la configuration du registry (l'installation du registry est décrite plus loin) :
```json
{
...
...
@@ -278,7 +286,7 @@ Dans `/etc/docker/daemon.json` ajouter la configuration du registry (voir plus l
}
```
#### Configurer les métriques pour prometheus
#### Configurer les métriques pour le monitoring
Dans `/etc/docker/daemon.json` ajouter la configuration pour l'accès aux métriques qui seront nécessaires pour un futur monitoring :
...
...
@@ -291,6 +299,8 @@ Dans `/etc/docker/daemon.json` ajouter la configuration pour l'accès aux métri
}
```
> **Note** : la question du monitoring sera abordée dans le chapitre Perspectives
#### Fichier daemon.json complet
Voici le fichier `daemon.json` complet :
...
...
@@ -1124,10 +1134,4 @@ Exécution de la commande
newsite /path/to/site/envfile
```
### Pour aller plus loin : secret et config
Dans une future implémentation, il sera possible de rendre ce proxy plus robuste via l'utilisation de `docker secret` et `docker config` au lieu du montage des volumes en bind. Doit être combiné avec un volume nommé afin de garantir la pérennité des configurations en cas de redémarrage du service. Les fichiers de configuration statiques devront être intégrés dans l'image.
Les avantages de cette approche sont multiples : plus besoin de partager un volume via NFS pour les configurations, sécurisation des fichiers sensibles tels que les clés privées et certificats x509, isolation des configurations par rapport à la machine hôte...
