Toujours dans la série des tutoriels utiles pour essayer de vous apprendre à mieux gérer vos conteneurs Docker (pour rappel, les articles suivants peuvent vous aider à vous lancer), nous allons voir, au travers de cet article, les bases et bonnes pratiques de la gestion des volumes, sauvegardes et mises à jour.

La gestion des données

Après avoir créé vos premiers conteneurs Docker, vous vous êtes peut-être posés la question de savoir ce qu'il advient des données utilisées par ces derniers. Alors par défaut, les données contenues dans le conteneur disparaissent tout simplement avec lui lors de sa destruction. Cela peut vous convenir et être voulu dans certains cas, mais il est parfois nécessaire que les données soient stockées de façon permanente, pour les retrouver plus tard, on va dire que les données sont persistantes. Prenons l'exemple d'une application ayant une base de données utilisateurs, elle ne doit pas être supprimée si on détruit le conteneur contenant le moteur de la base de données !

Docker offre plusieurs manières de rendre persistantes les données utilisées par les conteneurs : les volumes de données, que nous allons voir en détails, ou encore les conteneurs de données.

L’idée est de stocker les données du conteneur dans un répertoire spécifique du serveur qui héberge votre instance Docker. Ce stockage , appelé volume de données, permet de rendre les données indépendantes du conteneur. Le volume permet également de partager les données entre plusieurs conteneurs.

Les fonctionnalités apportées par les volumes de données dans Docker sont les suivantes :

  • La création d'un conteneur initialise le volume. Dans le cas où l’image depuis laquelle vous créez votre conteneur contient déjà des données à l’initialisation du volume, alors elles sont copiées dans le volume créé.
  • Un volume de données peut être utilisé par plusieurs conteneurs ainsi que par le système hôte Docker.
  • Les volumes de données sont persistants même si les conteneurs sont supprimés.
  • Il est facile de sauvegarder un volume de données.

Nous allons voir les différentes méthodes pour créer un volume de données.

Tout d'abord, si vous utilisez Docker en CLI, vous pouvez utiliser la commande suivante pour créer un volume :

docker volume create volume-test

Vous pouvez lister les volumes existants :

docker volume ls
DRIVER              VOLUME NAME
local               volume-test

Et inspecter un volume pour avoir plus de détails sur celui-ci :

docker volume inspect volume-test
[
    {
        "CreatedAt": "2020-08-11T00:40:16+02:00",
        "Driver": "local",
        "Labels": {},
        "Mountpoint": "/volume1/@docker/volumes/volume-test/_data",
        "Name": "volume-test",
        "Options": {},
        "Scope": "local"
    }
]

Et voici la commande pour supprimer un volume (après vous être assuré qu'il n'était plus utilisé par un conteneur bien entendu) :

docker volume rm volume-test

Si vous créez un conteneur avec un volume qui n'existe pas, Docker le crée automatiquement pour vous. L'exemple suivant monte le volume volume-test sur le répertoire /app dans le conteneur.

docker run -d --name devtest -v volume-test:/app nginx:latest

Et si vous faites une inspection du conteneur avec la commande docker inspect devtest , vous pourrez voir dans la section Mounts la Source et la Destination, qui correspondent aux répertoires du volume sur l'hôte Docker et dans le conteneur, et que le volume est en lecture-écriture (RW).

"Mounts": [
            {
                "Type": "volume",
                "Name": "volume-test",
                "Source": "/volume1/@docker/volumes/volume-test/_data",
                "Destination": "/app",
                "Driver": "local",
                "Mode": "z",
                "RW": true,
                "Propagation": ""
            }
        ],

Vous pouvez arrêter puis supprimer le conteneur. Pour rappel, le volume n'est pas supprimé à la suppression du conteneur, vous devez le supprimer manuellement.

docker container stop devtest
docker container rm devtest
docker volume rm volume-test

Si vous créez un conteneur avec un volume, et que le répertoire du conteneur qui est monté sur ce volume contient déjà des données, ces données seront copiées sur le volume.

Prenons pour exemple le même conteneur nginx, qui dans son répertoire /usr/share/nginx/html contient une page d'accueil  index.html.

docker run -d --name=nginxtest -v nginx-vol:/usr/share/nginx/html nginx:latest

Un petit coup de docker inspect nginx-vol vous permet de voir le répertoire sur l'hôte Docker où est stocké le volume.

docker volume inspect nginx-vol
[
    {
        "CreatedAt": "2020-08-11T01:17:35+02:00",
        "Driver": "local",
        "Labels": null,
        "Mountpoint": "/volume1/@docker/volumes/nginx-vol/_data",
        "Name": "nginx-vol",
        "Options": null,
        "Scope": "local"
    }
]

Et vous pouvez voir que des fichiers existent déjà alors que nous venons tout juste de créer le conteneur :

ls /volume1/@docker/volumes/nginx-vol/_data
50x.html  index.html

Les commandes suivantes arrêteront le conteneur, le supprimeront, et enfin supprimerons le volume :

docker container stop nginxtest
docker container rm nginxtest
docker volume rm nginx-vol

Vous savez maintenant gérer les volumes Docker en CLI ! Voyons maintenant comment faire via Portainer, le portail de gestion de vos containers (je vous conseille de lire l'article sur sa mise en place et son utilisation).

La création d'un volume est très simple. Rendez-vous dans le menu Volumes, puis cliquez sur Créer un volume. Donnez un nom à celui-ci, puis valider la création.

Vous reviendrez alors sur la page listant les volumes existants et retrouverez celui que vous venez de créer.

Pour supprimer un ou plusieurs volume(s), sélectionnez le(s) et cliquer sur "Supprimer".

La sauvegarde des données

Maintenant que vous avez vu comment créer et utiliser les volumes Docker avec vos conteneurs, il vous sera plus aisé de procéder à leur sauvegarde. Vous pouvez utiliser la crontab pour lancer un script qui copiera une archive des volumes de données, un outil de sauvegarde comme Duplicati (lui-même lancé dans un conteneur), ou encore utiliser l'outil Hyper Backup sur Synology. Dans tous les cas, il est recommandé de réaliser ses sauvegardes sur un support externe, à minima un disque dur externe branché sur votre NAS, voire même sur un autre NAS Synology qui est hébergé chez un membre de votre famille, ou encore vers un serveur externe.

En premier lieu, nous allons étudier ce que recommande Docker dans sa documentation, en créant un nouveau conteneur qui monte les volumes à sauvegarder avec l'option --volume-from. Docker recommande dans ce cas de stopper le ou les conteneur(s) d'origine qui utilise(nt) ce volume. Il est ensuite possible de faire une archive du conteneur ainsi créé, ce qui vous permettra de la copier sur une destination externe.

Prenons en exemple le conteneur Bitwarden (voir l'article pour mettre en place ce gestionnaire de mot de passe). Je ne vois pas l'intérêt de créer un nouveau conteneur pour monter le volume, on peut directement faire une archive du répertoire du volume, il suffit d'en connaitre l'emplacement (et pour ça vous devez utiliser la commande docker volume inspect data-bitwarden).

docker container stop bitwarden-server
tar -cvf /volume1/docker/backups/backup_data-bitwarden.tar /volume1/@docker/volumes/data-bitwarden/_data/
docker container start bitwarden-server

Une fois les archives de vos volumes réalisées, vous devez bien entendu les externaliser, et cela peut être fait avec un des 2 outils que je vous présente juste après, Duplicati ou Hyper Backup selon votre environnement.

Enfin, la méthode que j'utilise est de sauvegarder tout le contenu du dossier partagé docker avec l'outil Hyper Backup, sur un disque USB, un second NAS Synology chez moi, et 2 autres NAS Synology qui sont chez des membres différents de ma famille.
Pour installer Hyper Backup sur votre NAS Synology, rendez-vous dans le Centre de Paquets, et cherchez le paquet Hyper Backup, puis cliquez sur Installer. Vous retrouverez ensuite l'icône d'Hyper Backup dans le menu des applications.

Au premier lancement, Hyper Backup vous proposera de créer une première tâche, ce que nous allons faire !

  • Sélectionnez la destination de la sauvegarde (Disque dur & USB ici) puis cliquez sur Suivant. Je suis du genre à multiplier les sauvegardes, j'en fait 1 sur un disque dur branché en USB, 1 sur un second Nas chez moi, et une dernière sur un Nas hébergé dans de la famille, à plus de 50km de mon domicile. On peut croire que ce n'est pas utile, jusqu'au jour où on perd des données...
  • Sélectionnez le dossier cible de la sauvegarde, et indiquez le nom du répertoire qui sera créé pour la contenir, puis cliquez sur Suivant.
  • Sélectionnez le répertoire que vous voulez sauvegarder, docker dans notre cas, puis cliquez sur Suivant.
  • Ce panneau permet de sauvegarder la configuration des applications de votre NAS Synology. Il n'y a pas d'application à sauvegarder dans ce cas, cliquez juste sur Suivant.
  • Donnez un nom à la tâche de sauvegarde, réglez la fréquence et l'heure de la sauvegarde, puis cliquez sur Suivant. Des options sont disponibles pour compresser ou non la sauvegarde, planifier une vérification de l'intégrité de celle-ci ou encore activer le chiffrement côté client.
  • Dans le panneau sur les paramètres de rotation, vous devez définir si vous souhaitez garder toutes les sauvegardes effectuées, mais cela prendrait trop de place dans le temps ou si Hyper Backup doit garder uniquement un nombre défini de versions de la sauvegarde. J'ai choisi d'utiliser la méthode de recyclage "Smart Recycle", qui adopte une certaine intelligence dans la gestion de la rotation, en conservera les sauvegardes des dernières 24 heures, heure par heure, celles du dernier mois, quotidiennement, et hebdomadairement pour tout ce qui remonte à plus d'un mois. En choisissant 50 versions, cela permet d'avoir une rotation sur environ 6 mois.
  • Cliquez sur Appliquer pour finaliser la création de la tâche de sauvegarde. A la question du lancement immédiat de la sauvegarde, cliquez sur Oui.

Avoir une sauvegarde est une bonne chose, mais il est encore mieux de valider que cette-ci fonctionne correctement. Je vous recommande dans un premier temps d'activer les notifications en cas d'erreur dans les tâches Hyper Backup. Et enfin, faites un test de restauration de ces données !

Une sauvegarde n'a de valeur que si elle a été testée avec succès.

Mettre à jour ses conteneurs

Que ce soit pour profiter de nouvelles fonctionnalités, corriger des bugs, appliquer des patchs de sécurité, vous pouvez être amenés à mettre à jour vos conteneurs Docker. Je dirais même qu'il faut les mettre à jour réguièrement. Le processus de mise à jour d'un conteneur Docker est relativement simple et rapide.

Il vous faudra tout d'abord télécharger la nouvelle image correspondante à votre conteneur, soit en spécifiant une version précise, soit en utilisant le tag latest pour obtenir la dernière version disponible.

docker pull nginx:latest

Vous pouvez ensuite arrêter le conteneur, et même le supprimer. Comme on l'a vu juste avant, vous ne perdrez rien si vous utilisez un volume pour stocker les fichiers qui doivent être persistants.

docker container stop nginxtest
docker container rm nginxtest

Enfin, recréez votre conteneur avec son volume et la nouvelle image.

docker run -d --name=nginxtest -v nginx-vol:/usr/share/nginx/html nginx:latest

Un petit nettoyage s'impose pour ne être pollué par un tas d'images anciennes et que vous n'utiliserez plus. Il est de toute façon possible de télécharger à nouveau une image d'une ancienne version, en précisant celle-ci lors du téléchargement.

docker image prune

Dans le cas d'un docker-compose, la procédure est similaire. Vous commencez par télécharger la ou les nouvelle(s) image(s) souhaitée(s) ou vous pouvez mettre à jour toutes les images d'un docker-compose. Pour rappel, il faut être dans le répertoire où se situe le fichier docker-compose.yml.

docker pull nginx:latest
docker-compose pull

Relancez vos containers. Et procédez au nettoyage des images obsolètes.

docker-compose up -d
docker image prune

Les étapes dans Portainer sont les même que celles décrites au-dessus, mais graphiquement.

La mise à jour des conteneurs Docker peut également être automatisée, à l'aide de Watchtower. Ce dernier est un logiciel libre, disponible en tant que conteneur (oui, lui aussi) qui va vérifier à intervalle régulier si des nouvelles versions de vos conteneurs sont disponibles, les télécharger, et relancer vos conteneurs avec les mêmes paramètres, volumes et variables d'environnement, qu'ils soient autonomes ou fassent partie d'un docker-compose. Attention, faire des mises à jour en automatique sans connaitre au préalable les modifications apportées peut être risqué.

Pour le mettre en place et donc automatiser la mise à jour de vos conteneurs, commencez par télécharger l'image adéquate.

docker pull containrrr/watchtower

Puis on crée le conteneur depuis l'image, en montant un volume spécifique, le démon Docker, ce qui permet à Watchtower d'interagir avec les conteneurs, les démarrer ou les stopper, supprimer les images...

docker run \
    --name watchtower \
    --volume /var/run/docker.sock:/var/run/docker.sock \
    containrrr/watchtower

Plusieurs options peuvent être utilisées, --cleanup pour le nettoyage des images obsolètes, --schedule pour planifier, avec un cron (sur 6 caractères), la vérification des mises à jour.

docker run \
    --name watchtower \
    --volume /var/run/docker.sock:/var/run/docker.sock \
    --cleanup \
    --schedule "0 0 4 * * *" \
    containrrr/watchtower

Si votre besoin est ponctuel, vous pouvez utiliser l'option --run-once, et également spécifier le nom du container à mettre à jour.

docker run -d \
  --name watchtower \
  -v /var/run/docker.sock:/var/run/docker.sock \
  containrrr/watchtower \
  --run-once \
  nginxtest

Vous pouvez ensuite vérifier les logs de Watchtower.

docker logs watchtower
time="2020-08-11T17:52:00Z" level=info msg="Running a one time update."
time="2020-08-11T17:52:06Z" level=info msg="Checking containers for updated images"
time="2020-08-11T17:52:06Z" level=info msg="Found new nginx:latest image (sha256:6f93e08450c460b73fb3c2818b5b8407789d0fbb714afc4f48f66711d8ac76c2)"
time="2020-08-11T17:52:12Z" level=info msg="Stopping /nginxtest (92c7d6c012081d33a8b6622e6b3ed8f46cc344a4709f42e5fb0583324ea4197a) with SIGTERM"
time="2020-08-11T17:52:13Z" level=info msg="Creating /nginxtest"

Il vous est également possible d'utiliser des labels pour indiquer quelles images vous autorisez Watchtower à mettre à jour. Cela permet de garder un certain contrôle en limitant les mises à jour automatiques sur les conteneurs que vous jugez moins sensibles ou pour lesquels vous avez des attentes particulières.

Il y a 2 manières de procéder. Pour la première, vous choisissez de spécifier que certains de vos conteneurs doivent être ignorés par Watchtower. Pour cela, il vous suffira d'ajouter dans chacun des conteneurs concernés le label com.centurylinklabs.watchtower.enable avec la valeur false.

La deuxième possibilité est d'indiquer à Watchtower, avec l'option --label-enable, qu'il doit surveiller les conteneurs contenant le label com.centurylinklabs.watchtower.enable avec la valeur true. C'est ce choix que j'ai préféré, cela me permet en cas d'oubli de configuration du label, d'être protégé d'une mise à jour involontaire.

Enfin, voici le docker-compose que j'utilise pour Watchtower, où vous retrouverez les différentes options que je vous ai expliqué :

version: "2"

services:
  watchtower:
    image: containrrr/watchtower
    container_name: watchtower
    hostname: watchtower
    environment:
      - PUID=1026
      - PGID=100
      - TZ=Europe/Paris
      - WATCHTOWER_CLEANUP=true
      - WATCHTOWER_REMOVE_VOLUMES=true
      - WATCHTOWER_SCHEDULE=5 5 5 * * *
      - WATCHTOWER_LABEL_ENABLE=true
    volumes:
      - /var/run/docker.sock:/var/run/docker.sock
    restart: always

Conclusion

J'espère que vous en avez appris un peu plus sur les volumes au sein de Docker, leur utilité, l'importance de les sauvegarder régulièrement, ainsi que sur la méthodologie de mise à jour des conteneurs.

Vous pourrez retrouver plus d'informations sur la gestion des volumes et leur sauvegarde dans la documentation officielle Docker ou encore les options possibles de Watchtower.