Et tant que j'y suis, si vous avez des containers recommandés à mettre en place je suis preneur 
A priori Watchtower est un quasi indispensable pour rester à jour (sauf à surveiller tous les jours les mises à jour), s'il y en a d'autres dans les "indispensables" (il me faudrait sûrement un monitoring aussi, au moins pour surveiller les disques, CPU et mémoire de mon hôte Docker)
Et encore merci à tout le monde et plus particulièrement à @Wonderfall !
Bonnes pratiques pour un hôte Docker en "prod"
- Modifié
Je conseille pas tant que ça Watchtower, ça peut mener à des emmerdes. Enfin, pourquoi pas, mais ça dépend vraiment au cas par cas et il faut absolument prendre la bonne habitude de préciser les tags de ses images (exemple : nginx:1.19-alpine et pas juste nginx). Watchtower ou pas, tu auras moins de soucis comme ça.
Pour le monitoring tu peux jeter un coup d'oeil à Netdata : c'est surtout pour du monitoring en temps réel même s'il peut être personnalisé pour remonter un peu plus loin dans le temps. Si tu veux un truc plus complet (mais plus lourd), pourquoi pas s'intéresser à une stack Grafana/Prometheus/Node-exporter/Cadvisor. Attention c'est un peu lourd par contre, et y a trop de configurations pour que je te dise quoi faire (faut que je mette à jour la mienne d'ailleurs...), mais doit y avoir des tuto sur Internet.
@Wonderfall Merci pour les infos, j'ai regardé Diun aussi qui permet seulement d'avertir quand de nouvelles images sont dispo, c'est peut-être mieux d'être juste notifié plutôt que de recevoir automatiquement les images. A voir je vais regarder les 2.
Pour le monitoring c'est vraiment pour voir si mon serveur est up, si les disques ne sont pas pleins et si les ressources (CPU, RAM, réseau) ne sont pas au taquet. Je vais regarder NetData mais je pense que ça peut me suffire, pas besoin d'une usine à gaz pour rien.
Ou Watchtower sans mise à jour sur un serveur de prod :
https://containrrr.dev/watchtower/arguments/#without_updating_containers
Ah intéressant aussi @spider1163 merci, ça permet peut-être de mettre en place Watchtower en version notification et basculer par la suite en version mise à jour si le besoin apparaît sans reprendre toutes les configs des apps
Par contre @spider1163 tu as déjà testé cette config ? J'ai du mal à saisir le sens de cette phrase "Due to Docker API limitations the latest image will still be pulled from the registry.". Si on utilise le tag latest, l'image sera quand même téléchargée même en monit ?
- Modifié
Perso ce que je fais j'ai des flux RSS pour chaque soft que j'utilise, et comme j'utlilise au maximum les versions officielles, je sais que c'est vite à jour. Après même sur un tag fixe tu dois idéalement refaire le conteneur avec une image fraîche de temps en temps histoire d'avoir des paquets à jour (là encore il faut que la maintenance de l'image soit présente, à moins de la construire toi-même) ; faut avoir ça à l'esprit (et on touche au gros point noir de Docker avec l'enfer des dépendances : si t'as une faille OpenSSL tu dois la corriger sur X conteneurs au lieu d'un simple apt update).
@Wonderfall Du coup tu récupères les flux RSS chez chaque éditeur pour suivre les sorties des mises à jour ? Tu n'utilises rien comme Watchtower ou Diun ?
Effectivement c'est vrai que Docker a pas mal de point positif mais j'en oublie les images, et je ne suis pas prêt pour les construire moi-même, je regarderai quand mon infra Docker sera en place et opérationnelle
- Modifié
NicCo Non je n'utilise ni Watchtower ni Diun. Peut-être je devrai mais pour l'instant je suis satisfait avec les RSS pour les mises à jour proprement dites et la "bonne pratique" de mettre à jour les images régulièrement (tout comme généralement on fait apt update/upgrade soi-même plutôt qu'automatique). Après c'est à chacun de voir ce qui lui va...
Pour les RSS sache que la page "releases" de chaque Github t'as un flux atom pour ça. Chez moi j'utilise Miniflux et Miniflux le récupère tout seul après un C/C. Pour les images, tu peux ajouter les flux RSS d'Alpine Linux (souvent utilisé) pour être au courant si y a un gros truc à mettre à jour et donc penser à mettre à jour toutes tes images. Et évidemment Debian, etc.
De façon générale faut se tenir au courant, il n'y a pas d'install & forget même avec Docker. Les flux RSS sont un outil souvent trop sous-estimé pour ça.
@Wonderfall Ok merci, et un autre sujet est-ce que tu as testé Podman ?
NicCo Non pas personnellement., j'attendais que ça mature un peu et de prendre le temps d'essayer un jour. Mais par rapport à Docker c'est plus propre, daemonless et rootless par défaut, ça résout pas mal de ses défauts. Mais Docker a plus de features encore pour l'instant, j'ai pas tout en tête, xataz sera l'expert dessus
- Modifié
Wonderfall Merci pour la réponse, si jamais @xataz passe dans le coin je suis preneur d'infos. En attendant je vais continuer sur Docker, la bascule vers Podman ne semble pas hyper compliquée si jamais