En revanche, même si tout fonctionne très bien localement, lorsque l’on déploie les opérations d’intégration continue sur CircleCI, il arrive très souvent (surtout au début) que l’on rencontre des difficultés de configuration ou des problèmes de permissions spécifiques à l’environnement d’exécution.

Je vais donc vous présenter ici deux solutions qui peuvent vous aider à vous en sortir rapidement.

Exécuter CircleCI localement

CircleCI propose un client permettant d’exécuter ses jobs localement. Cet outil permet de lancer manuellement et localement les jobs presque comme s’ils s’exécutaient directement dans l’environnement distant.

Je dis bien presque, parce qu’il va y avoir quelques différences liées au réseau et à la configuration de votre machine, mais dans la majorité des cas, ces différences seront transparentes.

Installation et configuration

La première étape consiste, évidemment, à installer ce client. Je vous invite donc à consulter la documentation d’installation propre à votre système.

Ensuite, vous allez devoir le configurer pour lui permettre d’accéder à votre environnement CircleCI, à vos paramètres et à vos permissions.

Il vous faut tout d’abord générer un Personal API Token directement sur le site.

Une fois ce token récupéré, configurez CircleCI-Cli :

$> circleci setup

Et donc, lui donner le token quand il vous le demande.

Exécution d’un job sur la machine locale

Une fois la configuration terminée, vous pourrez lancer les jobs que vous souhaitez en vous rendant dans votre projet :

$> circleci local execute <JOB_NAME>

Avec le nom d'un job défini dans votre fichier `.circleci/config.yml`

Dans la majorité des cas, cela vous permettra de tester votre configuration CircleCI sans avoir à pousser votre configuration à chaque changement et attendre de voir ce qui se passe sur l’interface web.

Debugger directement sur CircleCI via une connection ssh

CircleCI propose une autre solution pour déboguer les jobs récalcitrants. En effet, il est possible de relancer un job en échec en ouvrant une connexion SSH qui vous permet de vous connecter directement à l’instance où s’exécute le job et de le déboguer en temps réel.

Pour celà, rendez-vous sur la page du job en erreur, puis en haut à droite, déplier le menu sous “Rerun”, et vous verrez l’option “Rerun job with SSH”

Cette action va relancer le job en question en ouvrant une connexion SSH sur l’environnement d’exécution du job.

• Cette connection n’est disponible que pendant 1h.
• Pour se connecter, vous aurez besoin d’une clé SSH, en général, il s’agit de celle utilisée par Git sur votre répertoire (CircleCI aura récupéré la clé publique).

Dans le log de nouveau Job vous verrez un bloc supplémentaire “Enable SSH” à l’intérieur duquel vous trouverez les informations nécessaires à vous connecter.

Il vous suffit alors de vous connecter depuis votre terminal via SSH en précisant votre clé (si ce n’est pas votre clé par défaut), par exemple :

$> ssh -p 64535 -i .ssh/keys/id_ed25519 3.91.14.100

Vous serez ainsi connecté directement à la machine sur laquelle le job est en cours d’exécution. Vous pourrez donc y effectuer tous les tests en temps réel pour identifier ce qui bloque votre build : fichier manquant, problème de permission, connexion réseau, etc.

Conclusion

Voici deux méthodes différentes répondant toutes deux à des cas d’usage différents qui pourront vous aider à déboguer et à faire évoluer vos pipelines d’intégration continue et de déploiement continu avec CircleCI.

Comprendre l’immutabilité

L’immutabilité en programmation signifie que quelque chose ne peut être modifié une fois qu’il a été créé, il ne peut pas muter.

Dans le code, cela se traduit par l’utilisation de variables ou d’objets qui ne peuvent pas être modifiés une fois qu’ils ont été initialisés ou instanciés. Si l’on doit faire une modification, on créera plutôt une autre objet à partir du premier avec les nouvelles propriétés.

Pourquoi utiliser l’immutabilité ?

1. Sécurité : Cela garantit que l’objet ne peut pas être modifié par une autre fonction ou un autre service par erreur
2. Facilité de débugging : Il n’est pas nécessaire de suivre les modifications de cet objet
3. Prévisibilité : Cela rend le comportement du programme plus prévisible
4. Performance : Si le langage le permet, savoir qu’un objet est immutable va permettre au compilateur/interpréteur d’en optimiser le fonctionnement.

Quand utiliser des objets immutables ?

On utilisera des objets immutable à chaque fois que l’on a besoin de garantir que les données ne sont pas modifiables, que la nature de cet objet et son utilisation en font un objet dont la modification a posteriori serait le signe d’un bug ou d’une erreur de conception.

Par exemple :

• Événement : Un objet décrivant un événement décris quelque chose qui est dans le passé, et comme on ne réécrit pas l’histoire, le passé est immutable, ce type d’objet devrait être immutable
• Commande : Il s’agit d’un objet décrivant une instruction. Une fois l’instruction émise, elle devient immuable
• DTO : ou Data Transfert Object, l’objectif d’un DTO est d’encapsuler des données complexes lors de leur transfert d’une fonction à une autre, d’un contexte à un autre. Ce n’est pas obligatoire, mais il peut être intéressant de faire de ces DTO des objets immutables afin de garantir qu’aucune modification ne peut avoir lieu dans les échanges suivants.

PHP et immutabilité

Bien que l’immutabilité ne soit pas un élément clé de PHP, le langage a évolué pour donner, version après version les éléments nécessaires à une implémentation fiable.

PHP 4 et antérieur

Dans les premières versions de PHP, l’immutabilité n’était pas vraiment un sujet de discussion. Le langage était principalement procédural et orienté vers la facilité d’utilisation plutôt que vers des concepts avancés comme l’immutabilité.

Juillet 2004, PHP 5.0 et la POO

La version 5.0 sortie en juillet 2004 introduit la programmation orienté objet au langage, pas encore de notion d’immutabilité, mais cette version inclue déjà le mot clé final qui peut être utilisé pour une classe, rendant impossible la surcharge de celle-ci.

Il est alors déjà possible de créer un objet final avec toutes les propriétés privées.

Il est donc déjà possible pour les développeurs de concevoir des objets immutables, la seule garantie étant la qualité du code.

/**
 * Immutable Event object in php 5.0
 */
final class Event
{
    private $name;
    private $date;
    
    public function __construct($name, $date)
    {
        $this->name = $name;
        $this->date = $date;
    }
    
    public function getName()
    {
        return $this->name;
    }
    
    public function getDate()
    {
        return $this->date;
    }
    
    public function changeName($newName)
    {
        // On ne modifie pas l'objet, on retourne un nouvel objet avec 
        // les nouvelles valeurs
        return new Event($newName, $this->date);
    }
}

Juin 2013, PHP 5.5 et l’objet DateTimeImmutable

En juin 2013, PHP sort en version 5.5 et avec cette version apparait la première notion d’immutabilité sous la forme d’un objet interne du langage : DateTimeImmutable.

Cet objet dispose de la même signature que l’objet DateTime dont il partage l’interface DateTimeInterface.

Avec cette nouvelle implémentation, l’objet DateTimeImmutable peut remplacer l’objet DateTime historique par son équivalent immutable.

Cette première implémentation résout de nombreux problèmes courants, tels que le calcul d’une date de fin en fonction d’une date de début par exemple.

Avec l’objet DateTime :

$start = new DateTime("now");
echo $start->format('d/m/Y'); // ==> 01/10/2023

$end = $start->modify('+1 day);

echo $end->format('d/m/Y);    // ==> 02/10/2023
echo $start->format('d/m/Y);  // ==> 02/10/2023 !!

L’appel à la fonction modify a modifié l’objet date en même temps qu’il en a retourné l’instance, $end et $start sont deux références vers le même objet.

Avec l’objet DateTimeImmutable :

$start = new DateTimeImmutable("now");
echo $start->format('d/m/Y'); // ==> 01/10/2023

$end = $start->modify('+1 day);

echo $end->format('d/m/Y);    // ==> 02/10/2023
echo $start->format('d/m/Y);  // ==> 01/10/2023

L’appel à la méthode modify a fait un clone de l’objet $start avant de le modifier. Ainsi, $start et $end sont bien deux variables différentes.

Décembre 2015, php 7, l’objet devient sérieux

L’arrivée de php 7.0 en décembre 2015 et les versions suivantes ont apporté beaucoup d’amélioration au support de la programmation objet.

On notera en particulier :

• la déclaration du typage scalaire des paramètres de méthode
• la déclaration du type de retour des méthodes
• les types nullables
• les classes anonymes
• et de nombreuses améliorations de performance

Le support de la programmation objet devient une préoccupation essentielle du langage, ces évolutions apportent de nouveaux outils à la création d’objet immutable, mais concrètement, toujours aucune réelle implémentation concrète.

Novembre 2020, php 8.0 : rien de concrêt

PHP 8.0 arrive en novembre 2020, il apporte de grands changements dans le langage, dans son cœur principalement, mais dans le langage aussi.

Bien que cette version n’apporte rien de concret, elle définit les bases nécessaires.

Novembre 2021, php 8.1 : propriété readonly

Personnellement, je considère cette version comme la véritable version 8 de php, car elle apporte beaucoup plus de choses utiles au langage.

Tout d’abord, on trouve la possibilité de déclarer des propriétés comme readonly dans une classe. Une propriété readonly ne peut être définie qu’une seule fois lors de la création de l’objet, elle devient ensuite non modifiable.

Si on reprend notre objet Event de la version 5.0 de PHP, on obtient une version plus simple, plus facile à utiliser et plus sécurisée (le côté immutable étant inscrit dans le code)

final class Event
{
    public function __construct(
        public readonly string $name, 
        public readonly \DateTimeImmutable $date
    ) {
    }
    
    public function changeName($newName)
    {
        // On ne modifie pas l'objet, on retourne un nouvel objet avec 
        // les nouvelles valeurs
        return new Event($newName, $this->date);
    }
}

Attention, dans cette version de php, la déclaration dynamique de propriété est toujours possible, la classe n’est pas encore totalement immutable, mais on s’en approche.

Décembre 2022, php 8.2 : la classe readonly

La voilà, enfin, la classe immutable. La version 8.2 (la dernière lorsque j’écris ce post, la 8.3 doit arriver dans quelques mois) apporte enfin un support digne de ce nom de l’immutabilité.

En effet, cette version de PHP permet de définir directement au niveau de la déclaration de la classe que celle-ci sera entièrement readonly, c’est-à-dire immutable. De plus, sur cette classe, la création dynamique de propriété est interdite.

final readonly class Event
{
    public function __construct(
        public string $name, 
        public \DateTimeImmutable $date
    ) {
    }
    
    public function changeName($newName)
    {
        // On ne modifie pas l'objet, on retourne un nouvel objet avec 
        // les nouvelles valeurs
        return new Event($newName, $this->date);
    }
}

PHPStan et Psalm

PHPStan et Psalm sont deux outils d’analyse statique de code qui permettent de rajouter une passe de contrôle et qualité sur le code d’une application.

Ces outils vont analyser le code de l’application et vérifier comment les différentes variables et objets sont construits et utilisés afin de détecter toute sorte de violation.

Il est alors possible de préciser à l’outil qu’une classe doit être immutable, l’analyseur va vérifier dans l’application que cette règle est bien respectée, c’est dire que l’objet, une fois instancié n’est jamais modifié, ou que toute modification passe par l’instanciation d’un nouvel objet.

L’avantage de ces outils est qu’ils vont tous deux permettre de rajouter un support de l’immutabilité aux versions de PHP qui en sont dépourvue.

/**
 * @immutable
 */
final class Event
{
    public function __construct(
        public string $name, 
        public \DateTimeImmutable $date
    ) {
    }
    
    public function changeName($newName)
    {
        // On ne modifie pas l'objet, on retourne un nouvel objet avec 
        // les nouvelles valeurs
        return new Event($newName, $this->date);
    }
}

Ici, même en version 7.4 de php, l’immutabilité bien que n’étant pas prévue par le langage sera garantie par les outils d’analyse pour lesquels on a défini dans le Docblock que cette classe doit être immutable.

Dans la pratique

L’immutabilité, jusqu’à la dernière version de PHP, relève davantage de la discipline et de bonnes pratiques qu’une caractéristique intégrée au langage. Cependant, avec l’évolution du langage et des écosystèmes qui l’entourent, il est probable que l’immutabilité devienne de plus en plus courante dans le développement PHP.

Au final, quelques conseils pour faire des objets immutables en PHP

1. Passer en PHP 8.2 (Ok, pas toujours possible)
2. Utiliser un outil d’analyse statique comme PHPStan ou Psalm, et surtout, ajouter les dans votre pipeline d’intégration continue (sinon, ça ne sert à rien)
3. Utiliser les readonly (php 8.1 et 8.2)
4. Utiliser le final
5. Penser au “copy on write”, c’est-à-dire de retourner une nouvelle instance de l’objet à chaque modification.

Et voilà, vous êtes prêt.

L’une de ces erreurs que l’on retrouve hélas régulièrement est celui d’enregistrer dans Git des tokens d’api, bearer ou autre élément d’authentification.

Parfois volontaire, souvent par erreur, voyons pourquoi c’est une pratique à bannir de tout projet.

1. Violation de la sécurité

Le stockage de ces tokens est avant tout un problème de sécurité.

Exposition des informations sensibles

Lorsque l’on stocke des tokens / mots de passe / clés d’accès dans un repository Git, nous les exposons au public. Même si le repository est sécurisé et ouvert à un public restreint, l’ensemble de ce public va pouvoir accéder à ces informations.

Git est un système de gestion de version distribué, c’est-à-dire que chaque clone du repository contient non seulement la version en cours, mais aussi l’historique complet, y compris donc les commits précédents.

Pas conséquent, si des informations sensibles sont versionnées, même si elles sont supprimées par un commit correctif suivant reste à disposition de n’importe qui ayant accès au repository ou à l’un des clones.

Ouverture au piratage

La présence de tokens et mots de passe dans un repository Git peut donc entraîner une violation de la sécurité. Comme vu précédemment, sans suppression explicite de l’ensemble des commits impactés, ces tokens restent présents dans l’historique et donc accessible pour quiconque ayant au moins clone du repository.

Il est très facile d’écrire un bot qui scanne un repository pour y trouver une signature de token ou de mot de passe.

Ce genre de faille de sécurité peut créer une ouverture permettant d’accéder ensuite à d’autres fonctionnalités de l’entreprise et avoir ainsi des conséquences graves.

La sécurité est une préoccupation constante pour les entreprises et doit l’être aussi pour les développeurs. Ce genre de compromission peut nuire gravement à la réputation de l’entreprise et à la confiance accordée par ces clients et utilisateurs.

Difficulté de révocation

En cas de compromission des informations de sécurité, il devient urgent de pouvoir révoquer ces informations. Mais lorsque ces informations sont versionnés sur un repository Git, il devient difficile d’identifier tous les environnements, poste de développeur, machines de déploiement où ces informations sont conservées. Il est alors difficile de les révoquer efficacement.

2. Conflit d’environnement

D’une manière plus pragmatique, les tokens et mot de passe sont en général liés à l’intégration du projet à un outil extérieur à l’application.

Conserver ces informations dans le repository crée donc un lien fort entre ces applications et ne permet donc plus la possibilité d’avoir une configuration différente en fonction de l’environnement (Développement vs. Recette vs. Production).

3. Bonnes pratiques

Pour éviter ces risques, il faut donc éviter à tout prix de stocker ces informations dans un repository.

D’autres solutions plus sécurisées existent :

• utiliser des variables d’environnements ou un fichier de configuration non versionné
• utiliser un gestionnaire de secrets comme HashiCorp Vault, AWS Secrets Manager
• il est aussi possible de versionner un vault dans lequel ces données sont hashées et ne sont disponibles qu’avec un mot de passe ou une passphrase (évidement, non versionné), possible avec Symfony Vault ou Ansible Vault.

Les secrets seront mis à disposition de l’application lors de son déploiement sur l’environnement cible.

En conclusion, versionner des informations sensibles dans un repository git est une mauvaise habitude souvent réalisée pour les mauvaises raisons et qui apporte beaucoup plus de problème qu’elle ne résout de solutions.

1. Pas de variable unique pour l’environnement

C’est une mauvaise pratique hélas assez courante en développement, avoir une variable d’environnement ou de configuration « Environnement » et tester ensuite dans le code si Environnement = "PROD" alors…
Il faut au contraire multiplier les options de configuration pour ajuster chacun des cas en fonction de l’environnement. Cela vous permet d’une part d’avoir un code plus proche de la production et d’autre part de pouvoir activer / désactiver les fonctionnalités. Vous pouvez aussi multiplier les environnements à l’infini (pas de liste fini d’environnement, mais une liste infinie de combinaison de configuration possible).

2. Injecter des variables d’environnement pour rendre la configuration plus dynamique

Ok, maintenant que vous avez pleins d’options de configurations, il s’agit maintenant de pouvoir ajuster ces options sans avoir à reconstruire votre image à chaque fois. Docker permet d’injecter des variables d’environnement au moment d’instancier un nouveau conteneur depuis une image. Cela vous permet donc d’ajuster la configuration par rapport à chacun de vos besoins.
Pour ma part, j’utilise dans chacun de mes projets un fichier settings.js qui ressemble à ça :

/**
 * Settings
 */

module.exports = {
	express: {
		port: process.env.EXPRESS_PORT || 3000,
	},
	postgres: {
		user: process.env.POSTGRES_USER || 'admin',
		host: process.env.POSTGRES_HOST || 'storage',
		database: process.env.POSTGRES_DATABASE || 'database',
		password: process.env.POSTGRES_PASSWORD || 'admin',
		port: process.env.POSTGRES_PORT || 5432,
	},
};

Pour chaque option de configuration, il y a une variable d’environnement correspondante avec une valeur par défaut si cette variable n’a pas été définie.

3. Baser l’image sur Alpine

Lorsque l’on construit un image Docker il est préférable de ne pas s’encombrer de choses inutiles qui pourraient alourdir ou ralentir le conteneur, voir y insérer des failles de sécurité.

Dans cette optique, je vous conseille, dans la mesure du possible, de baser votre image sur Alpine (une version de linux extrêmement légère et réduite au minimum) plutôt que sur Debian, cela permet d’éviter d’embarquer des applications/librairies inutiles et d’obtenir une image beaucoup inutilement alourdie.

4. Babel, Webpack, Grunt… importer le code final et non le code source

Si vous utilisez une librairie pour compiler/transpiler/packager votre code, il faut alors prévoir une étape de build du code lors de la création de l’image et ensuite supprimer le code source pour ne garder que le code de sortie du build.

De même, si vous utilisez des watchers qui recompile votre code à chaque modification (de type nodemon), ceux-ci doivent être exclu de votre image. En effet ce type d’outils n’a d’utilité qu’en développement.

5. Utiliser le fichier .dockerignore

Lors de la création de l’image, le fichier .dockerignore permet d’exclure automatiquement des fichiers des images Docker, c’est à dire que lors de l’utilisation d’instruction ADD ou COPY dans le Dockerfile, les fichiers spécifiés dans le fichier .dockerignore seront exclus de la copie.

On peut déjà y mettre systématiquement le dossier node_modules ainsi que tous les fichiers de tests, linter, etc..

6. Supprimer les tests et les sources

Si vous utiliser une librairie pour packager votre application, supprimer les fichiers source une fois le code compilé, ça allègera votre image en évitant encore d’embarquer du code inutile.

Idem pour les fichiers de tests, surtout quand dans de nombreux cas (celons comment sont fait vos tests), on ne souhaite pas du tout que ceux-ci s’exécutent en production.

7. Supprimer les packages systèmes obsolètes

Certaines librairies nodejs nécessitent d’installer des packages systèmes supplémentaires, dans certains cas, ces packages ne servent qu’à l’installation (compilation) de la librairie, ou au build de votre application. Vérifiez si vous en avez encore besoin ou pas une fois votre application fonctionnelle. S’ils ne sont plus requis, on supprime.

8. Pas d’image pour le front (React / Angular / Etc.)

Enfin, ça peut sembler une évidence, mais même si en développement, il est souvent pratique d’avoir un nodejs qui tourne en continue avec un watcher qui va mettre à jour le script en front à chaque update du code… En production, vous ne devriez avoir que des fichiers statiques. Et dans ce cas, vous n’avez pas besoin de Node du tout pour les servir au navigateur.

Préférer une application plus adaptée pour servir des fichiers statiques comme NGinx ou Apache, ce sera plus performant, et bien plus adapté.

Conclusion et bonus

Pour conclure, il nous faut donc :

• Un .dockerignore pour exclure les fichiers inutile
• Une étape build pour compiler notre image
• Une étape de construction de l’image de Run (celle qui va réellement partir en production)

On peut le faire avec deux Dockerfile (un pour le build, et un pour le run qui se basera sur le résultat du premier), ou alors utiliser le double « FROM » disponible depuis quelques temps dans le Dockerfile.
En bonus donc, Je vous partage un sample Dockerfile (et son fichier .dockerignore) que j’utilise comme base pour mes projets en NodeJS.
Vous pourrez retrouver la dernière version sur github.

• Le fichier Dockerfile à adapter :

###############################################################################
# Step 1 : Builder image
#

FROM node:9-alpine AS builder
LABEL maintainer="Julien MERCIER <devci@j3ck3l.me>"

# Define working directory and copy source

WORKDIR /home/node/app
COPY . .

# Install dependencies and build whatever you have to build
# (babel, grunt, webpack, etc.)

RUN npm install && \
	npm run build

###############################################################################
# Step 2 : Run image
#

FROM node:9-alpine
ENV NODE_ENV=production
WORKDIR /home/node/app

# Install deps for production only

COPY ./package* ./
RUN npm install && \
	npm cache clean --force

# Copy builded source from the upper builder stage

COPY --from=builder /home/node/app/dist ./dist

# Expose whatever port you need to expose
# And start
CMD npm start

• Le fichier .dockeringore :

# Ignore all .* files except the ones required for build

.*
!.babelrc

# Ignore build directories and dependencies
# everything that will be re-generated by the install/build steps

lib
dist
node_modules

# Ignore dev configuration files

docker-compose.yml
Dockerfile
Makefile
nodemon.json

# Ignore documentation

*.md

# Ignore tests files

src/**/*.test.js
test
jest.config.json

Voici donc quelques petits tips pour s’en sortir.

Utiliser le script envsubst fourni avec l’image officielle.

Dans la documentation de l’image officielle, on trouve quelques petites lignes sur l’utilisation d’un script qui va venir faire un remplacement de variables dans un fichier “template” afin de générer le fichier final qui sera lui, chargé au démarrage du serveur.
Grosso modo, ça ressemble à ça, dans le fichier de configuration vous entrez le nom de votre variable.

listen ${NGINX_PORT};

Puis, lors du lancement du conteneur, il faut ajouter votre variable d’environnement, et modifier la commande par défaut du conteneur pour faire la substitution en amont du lancement d’Nginx
En ligne de commande, ça donne ça :

docker run \
	-v `pwd`/mysite.template:/etc/nginx/conf.d/mysite.template:ro \
	-e NGINX_PORT=80 \
	nginx \
	shell -c "envsubst < /etc/nginx/conf.d/mysite.template > /etc/nginx/conf.d/default.conf && nginx -g 'daemon off;'"

Ok, c’est pas l’idéal, mais ça fonctionne (pour la version avec docker-compose, il suffit d’aller voir sur la page sur docker hub).
Seulement voilà, ce joli script est mal foutu, en effet, au lieu de boucler sur les variables d’environnements et de ne remplacer que celles-ci, cet idiot remplace tout ce qui commence par un $ dans votre fichier de configuration… C’est d’autant plus idiot que NGinx propose une jolie collection de variables (accessibles, elles, dans le fichier de configuration) et qui commencent toutes par un $.
Par conséquent, si dans votre fichier, vous avez une ligne de ce type :

set $my_hostname=${ENV_HOSTNAME}

Après le passage du script de substitution, votre fichier de configuration risque bien de ressembler à ça:

set =my.host.com

Ne cherchez pas, j’ai testé pour vous, nginx n’aime pas du tout 🙁

Contourner le problème avec docker-compose

Docker-compose permet déjà de modifier pas mal de chose qui peut nous permettre de nous passer tout simplement de variables d’environnements dans le conteneur au profit du fichier de configuration docker-compose.yml.

Rendre dynamique le nom de domaine d’une cible

Il est possible d’injecter de nouvelles lignes dans le fichier /etc/hosts d’un conteneur avec simplement des options de configurations de docker-compose. On peut alors, dans notre fichier de configuration, utiliser un nom de « host » fixe, qui pointera sur une IP définie dans le fichier /etc/hosts configuré via docker-compose :

version: '3'
services:
	nginx:
		image: nginx:1.13
		volumes:
			- ./nginx/default.dev.conf:/etc/nginx/conf.d/default.conf:ro
		extra_hosts:
			- "target-host:my.host.com"

Et comme il est possible d’injecter des variables d’environnement dans la configuration de docker-compose :

version: '3'
services:
	nginx:
		image: nginx:1.13
		volumes:
			- ./nginx/default.dev.conf:/etc/nginx/conf.d/default.conf:ro
		extra_hosts:
			- "target-host:${ENV_HOSTNAME}"

Surcharger le fichier de configuration de Nginx

L’autre solution est de surcharger complètement le fichier de configuration, soit le fichier complet, soit un fichier annexe qui sera inclus dans le fichier principal.
Le chemin (local) de ce fichier pouvant être rendu dynamique grâce à la prise en charge des variables d’environnement de docker-compose.

version: '3'
services:
	nginx:
		image: nginx:1.13
		volumes:
			- ./nginx/default.dev.conf:/etc/nginx/conf.d/default.conf:ro
			- ./nginx/${EXTRA_FILE}:/etc/nginx/conf.d/extra.conf:ro

Hacker le script de substitution

En recherchant ce problème, certains ont trouvé le moyen de hacker le script de substitution, je vous laisse le lien vers le post en question, et vous laisse juger vous-même :
How can I use environment variables in Nginx.conf

Créer votre propre image

La dernière solution reste toujours de surcharger l’image officielle et de créer votre propre image, avec les scripts et configurations répondant à vos besoins spécifiques.

Il existe sans doute de nombreuses autres solutions, et c’est une combinaison de celles-ci qui répondra sans doute à vos besoins. N’hésitez pas à partager les votre en commentaires.

La première chose à savoir c’est que PHP fourni des “ressources” correspondant aux entrées et sorties du système linux :

• php://stdin correspondant à l’entré2017-12-20-grafana-docker-compose.markdowne standard
• php://stdout correspondant à la sortie standard
• php://stderr correspondant à la sortie d’erreur

Ces ressources peuvent être utilisées via de nombreuses commandes PHP comme s’il s’agissait de fichiers.
Ainsi, on peut écrire sur la sortie d’erreur avec le code suivant :

$stderr = fopen("php://stderr", "w");
fwrite("An error occured\n", $stderr);
fclose($stderr);

Par conséquent, on peut donc lire sur l’entrée standard de la même manière.
Pour rappel, l’entrée standard se comporte ici comme un fichier, il nous faut donc quand même rajouter un moyen pour que le programme ne lise pas l’entrée indéfiniment pour pouvoir reprendre sa course.
La fonction fgets permet de lire « une ligne » dans un fichier, c’est-à-dire qu’il va retourner tous les caractères jusqu’au premier saut de ligne. Ce qui est idéal pour nous puisque l’utilisateur va pouvoir ainsi valider sa saisie avec la toucher [ENTER] de son clavier.

function readUserEntry(): string {
	$stdin = fopen("php://stdin","r");
	$input = fgets($stdin);
	fclose ($stdin);
	return $input;
}

Voilà qui est pas mal pour une première version.
Pour nous faciliter le travail, PHP a ajouté des constantes permettant d’accéder directement aux flux d’entrée sortie, plus besoin de les ouvrir et de les fermer, ce sont des ressources toujours accessible.
Ainsi, le même code se résume maintenant à une ligne :

function readUserEntry(): string {
	return fgets(STDIN);
}

On va maintenant rendre notre fonction un peu plus sexy et plus propre en ajoutant une invite et en nettoyant la réponse reçue :

function readUserEntry(?string $invite = null): string {
	if (! empty($invite)) {
		printf($invite);
	}
	return trim(fgets(STDIN));
}

Principe général

Grafana utilise par défaut un base de donnée SQLite pour stocker l’ensemble de sa configuration, mais il est possible, via quelques paramètre d’initialisation, de remplacer cette base par une autre base de notre choix, extérieur, et dont on aura un total contrôle.
Ensuite, il ne nous restera qu’à configurer une fois Grafana, de sauvegarder cette configuration dans un fichier, et de pouvoir ensuite initialiser automatique notre base avec ce fichier sauvegardé.
Pour info, l’ensemble du code source de ce tutoriel est disponible sur github.

Etape 1 : Installer Grafana avec docker-compose

Pour commencer, vous devez avoir docker et docker-compose d’installés, si ce n’est le cas, aller voir les tutoriels associés, c’est très simple.
On va donc commencer par initialiser Grafana seul, en utilisant docker-compose. Il suffit de copier le code suivant dans un fichier docker-compose.yml.

version: '2'
services:
	grafana:
		image: grafana/grafana
	ports:
		- "3000:3000"

On lance l’application via docker-compose up, et après quelques secondes d’initialisation, l’application est disponible via l’url http://localhost:3000
A ce stade, Grafana fonctionne, mais vous avez tout à configurer, la première chose à faire sera donc d’exporter la configuration à l’extérieur du conteneur pour la rendre persistante. Il existe plusieurs options, la première consiste à simplement créer un nouveau volume dans lequel sera enregistré cette configuration (c’est ce que vous trouverez dans la documentation de grafana sur docker hub), mais il existe une autre option, bien plus sexy.

Etape 2 : Ajouter une base de stockage de la configuration

En effet, en lisant la documentation de Grafana d’une part et de son image docker d’autre part, on découvre deux choses:

1. il est possible de configurer Grafana pour qu’il stocke sa configuration dans une base de données externe (comme PostgreSQL par exemple)
2. il est possible de redéfinir toutes les variables du fichier de configuration via des variables d’environnement injectée via docker.

Alors allons-y, modifions notre fichier docker-compose.yml en conséquence:

version: '2'

volumes:
	grafana-pgdata:

services:
	# Grafana dedicated storage
	#
	grafana-storage:
		image: postgres:10-alpine
		volumes:
			- grafana-pgdata:/var/lib/postgresql/data
		environment:
			- POSTGRES_PASSWORD=password
			- POSTGRES_USER=admin
			- POSTGRES_DB=grafana

	# Grafana Server
	#
	grafana:
		image: grafana/grafana
		ports:
			- "3000:3000"
		environment:
			- GF_DATABASE_TYPE=postgres
			- GF_DATABASE_HOST=grafana-storage
			- GF_DATABASE_NAME=grafana
			- GF_DATABASE_USER=admin
			- GF_DATABASE_PASSWORD=password

Nous avons donc :

• créé un volume pour y stocker la base de donnée de PosgreSQL « grafana-pgdata« 
• créé un conteneur PostgreSQL initialisé avec une base « grafana« 
• modifié la configuration de Grafana pour utiliser notre base PostgreSQL pour sa configuration

Y a plus qu’à lancer notre commande docker-compose up.
CRACK.

Fail to initialize orm engine" logger=sqlstore error="Sqlstore::Migration failed err: dial tcp 172.23.0.2:5432: getsockopt: connection refused

Ok, ça plante, mais la raison est très simple, le premier lancement de PostgreSQL est assez long car il doit construire et initialiser la base de donnée, parallèlement, Grafana est beaucoup plus rapide, et donc n’arrivant pas à se connecter à PostgreSQL qui n’est pas encore disponible, s’arrête avec une erreur.
Si vous lancer PostgreSQL seul en premier, et Grafana ensuite avec quelques secondes d’interval, tout fonctionne.

Etape 3 : Ajouter un Healthcheck et séquencer le démarrage

Le Healthcheck est un petit bout de script qui permet de vérifier qu’un service est opérationnel. Et c’est ce que nous allons utiliser.
Nous allons donc ajouter un petit script qui va nous permettre d’attendre que PostgreSQL soit disponible avant de lancer Grafana.
Sur PostgreSQL, il y a une commande pg_isready qui nous permet de savoir si le serveur est prêt à traiter des requêtes ou non, et pour le lancer via docker, ça donne :

docker-compose exec grafana-storage pg_isready

Ajoutons ça dans un script start.sh qui va nous séquencer le démarrage :

#!/bin/bash

docker-compose up -d grafana-storage
until docker-compose exec grafana-storage pg_isready > /dev/null
do
	printf '.'
done
printf '\n'
docker-compose up

Cette fois-ci, même après avoir supprimer toutes les images, conteneurs et volumes, en lançant la commande ./start.sh tout fonctionne correctement.

Etape 4 : Exporter la sauvegarde

Nous avons donc maintenant Grafana qui fonctionne correctement et PostgreSQL qui contient toute la configuration de Grafana.
Ce dont nous avons maintenant besoin c’est de pouvoir extraire la configuration de cette base de donnée pour pouvoir la sauvegarder avec notre application et pour la réimporter plus tard, automatiquement à l’installation de notre futur projet.
Nous allons d’abord modifier notre fichier docker-compose.yml pour y ajouter un nouveau montage de dossier destiné à recevoir l’export de la base de données :

version: '2.1'

volumes:
	grafana-pgdata:

services:
	# Grafana dedicated storage
	#
	grafana-storage:
		image: postgres:10-alpine
		volumes:
			- grafana-pgdata:/var/lib/postgresql/data
			- ./export:/var/export
		environment:
			- POSTGRES_PASSWORD=password
			- POSTGRES_USER=admin
			- POSTGRES_DB=grafana
		healthcheck:
			test: ["CMD", "pg_isready"]
			interval: 30s
			timeout: 1s
			retries: 5

	# Grafana Server
	#
	grafana:
		image: grafana/grafana
		ports:
			- "3000:3000"
		environment:
			- GF_DATABASE_TYPE=postgres
			- GF_DATABASE_HOST=grafana-storage
			- GF_DATABASE_NAME=grafana
			- GF_DATABASE_USER=admin
			- GF_DATABASE_PASSWORD=password

Nous allons rajouter un petit script dump.sh nous permettant de faire un dump de la base dans ce dossier :

#!/bin/bash

docker-compose exec grafana-storage sh -c "pg_dump -U admin grafana > /var/export/dbexport.sql"

Maintenant, vous pouvez donc lancer votre application avec ./start.sh, puis via l’interface web créer votre configuration (source de donnée, dashboards, etc.), et une fois terminé, exporter cette configuration avec le script ./dump.sh.
Le fichier généré est alors disponible dans le dossier export/.

Etape 5 : Charger la configuration au démarrage

Voilà, nous avons sauvegardé la configuration, la dernière étape est de pouvoir charger cette configuration à la prochaine initialisation du projet.
Pour cette partie, c’est la documentation du conteneur PostgreSQL qui va nous donner la solution. En effet, il possible de spécifier un montage de dossier supplémentaire (/docker-entrypoint-initdb.d) contenant un (ou plusieurs) script qui seront chargé lors du premier lancement du conteneur (à l’initialisation donc).
Du coup, encore une petite modification de notre fichier docker-compose.yml :

version: '2.1'

volumes:
	grafana-pgdata:

services:
	# Grafana dedicated storage
	#
	grafana-storage:
		image: postgres:10-alpine
		volumes:
			- grafana-pgdata:/var/lib/postgresql/data
			- ./export:/var/export
			- ./initdb:/docker-entrypoint-initdb.d
		environment:
			- POSTGRES_PASSWORD=password
			- POSTGRES_USER=admin
			- POSTGRES_DB=grafana
		healthcheck:
			test: ["CMD", "pg_isready"]
			interval: 30s
			timeout: 1s
			retries: 5

	# Grafana Server
	#
	grafana:
		image: grafana/grafana
		ports:
			- "3000:3000"
		environment:
			- GF_DATABASE_TYPE=postgres
			- GF_DATABASE_HOST=grafana-storage
			- GF_DATABASE_NAME=grafana
			- GF_DATABASE_USER=admin
			- GF_DATABASE_PASSWORD=password

Nous pouvons maintenant mettre notre fichier précédemment sauvegardé dans le dossier local initdb/, et de lancer notre script ./start.sh.
Attention de bien supprimer tous les conteneurs et volumes précédemment créé, sinon docker-compose réutilisera ce qui existe déjà et n’utilisera pas la nouvelle configuration. Vous pouvez faire ce nettoyage avec la commande docker-compose down -v.
Et voilà, vous pouvez maintenant inclure ces fichiers dans votre projet pour avoir une instance de Grafana déjà configuré par rapport à vos besoins.

Tout d’abord, nous allons devoir transcrire ce que nous avions fait dans le précédent article sous la forme d’un fichier de configuration docker-compose.yml :

version: '2'

volumes:
	portainer_data:

services:
	portainer:
		image: portainer/portainer
		volumes:
			- /var/run/docker.sock:/var/run/docker.sock
			- portainer_data:/data
		command: -H unix:///var/run/docker.sock
		ports:
			- "9000:9000"
		restart: always

Et pour le lancer :

$> docker-compose up -d
Starting portainer_portainer_1 ...
Starting portainer_portainer_1 ... done

Comme avant, l’application reste accessible via http://localhost:9000
Maintenant, nous allons rajouter un serveur NGinx en frontal, et nous allons donc le configurer en reverse proxy.
Pour cette partie, nous allons devoir adapter l’image NGinx par défaut pour y include notre configuration spécifique.
Premièrement, nous allons ajouter un fichier avec la configuration du reverse proxy NGinx docker/portainer.conf :

upstream portainer {
	server portainer:9000;
}

server {
	listen 80;
	location / {
		proxy_http_version 1.1;
		proxy_set_header Connection "";
		proxy_pass http://portainer/;
	}

	location /api/websocket/ {
		proxy_set_header Upgrade $http_upgrade;
		proxy_set_header Connection "upgrade";
		proxy_http_version 1.1;
		proxy_pass http://portainer/api/websocket/;
	}
}

Dans notre fichier docker-compose.yml nous avions nommé le service portainer, c’est donc sous ce nom que, dans le réseau crée par docker-compose, notre container sera accessible ( http://portainer:9000)
A ce fichier, nous allons rajouter un fichier docker/Dockerfile qui va nous permettre de charger l’image NGinx par défaut et d’y inclure notre configuration à la place de la configuration d’origine :

FROM nginx:alpine

# Remove existing configuration

RUN rm -v /etc/nginx/conf.d/*

# Insert our portainer conf

COPY portainer.conf /etc/nginx/conf.d/portainer.conf

Et maintenant, il nous reste à mettre à jour notre fichier docker-compose.yml pour y ajouter les instruction pour construire notre container NGinx et le lier à notre Portainer :

version: '2'

# Configure a dedicated volume for storing Portainer's configuration
#

volumes:
	portainer_data:

services:
	# Configure Portainer service
	#
	portainer:
		image: portainer/portainer
		volumes:
			- /var/run/docker.sock:/var/run/docker.sock
			- portainer_data:/data
		command: -H unix:///var/run/docker.sock
		restart: always

		networks:
			- local

	# Configure NGinx proxy service
	#
	nginx:
		build: docker/
		ports:
			- "80:80"
		depends_on:
			- portainer
		restart: always
		networks:
			- local

# Link network to the docker bridge driver
#
networks:
	local:
		driver: bridge

Et voilà, maintenant, en lançant votre docker-compose, votre instance de portainer est accessible directement vi l’url http://localhost/.
En réalité, le traffic passe maintenant à travers NGinx avant d’atteindre Portainer, on peut donc ajouter toute la configuration que l’on souhaite sur NGinx (paramétrer la route pour ne matcher que sur un sous-domaine particulier, ajouter un filtre par IP, etc…).

Mais c’est quoi un reverse proxy ?

Le principe du reverse proxy est assez simple. On va installer un serveur web classique de type NGinx qui va répondre à toutes les requêtes sur le port 80. Puis on va lui dire que toutes les requêtes qui correspondent à un format particulier (un nom de domaine par exemple) vont être redirigées vers une autre application (notre application NodeJS).

Pourquoi utiliser un reverse proxy devant votre application NodeJS ?

1. Pour laisser au serveur web le soin de s’occuper des fichiers statiques et se concentrer sur le dynamique
2. Pour utiliser les fonctionnalités « build-in » du serveur web (load-balancing, cache, rate-limiting, error page, access control, etc.)
3. Meilleure protection contre les attaques (type DoS)
4. Avoir plusieurs applications NodeJS qui répondent « virtuellement » sur le même port (mais sur des routes différentes)

Et comment on fait ?

Dans notre exemple, nous allons donc utiliser NGinx, et supposer que nous voulons mettre application en NodeJS sur un autre sous-domaine.

• Etape 1 : installer nginx… pour cette étape, je vous invite à lire les innombrables tutoriels déjà présent sur le web.
• Etape 2 : ajouter un fichier de configuration à NGinx dans /etc/nginx/sites-available/api-exemple

server {
	listen 80;
	server_name api.exemple.coom;

	location / {
		proxy_pass http://127.0.0.1:3000;
		proxy_http_version 1.1;
		proxy_set_header Upgrade $http_upgrade;
		proxy_set_header Connection 'upgrade';
		proxy_set_header Host $host;
		proxy_cache_bypass $http_upgrade;
	}
}

Ce fichier indique à NGinx que toutes les requêtes entrante sur le port 80 et sur le nom de domaine « api.exemple.com » seront redirigées vers l’adresse 127.0.0.1 et sur le port 3000 (là où se trouve notre application NodeJS).

• Etape 3 : activer la configuration Il ne reste plus qu’à activer cette configuration :

cd /etc/nginx/sites-enabled
sudo ln -s /etc/nginx/sites-available/api-exemple
sudo /etc/init.d/nginx reload

Et voilà, vous pouvez maintenant accéder à votre application directement depuis http://api.exemple.com

Pour aller plus loin..

Vous avez maintenant un fichier de configuration NGinx en front de votre application Node, c’est dans ce fichier de configuration que vous allez pouvoir rajouter des options supplémentaires comme :

• du rate-limiting (limite du nombre de requêtes par intervalles de temps)
• des routes custom pour que NGinx charge directement les fichiers *.js *.html… ou par dossiers
• etc.

• Lorsque j’ai plusieurs développements en cours (et j’ai donc besoin d’une image correspondant à chaque branches)
• Lorsque j’ai différentes branches correspondant à différentes versions de l’image (version différente de PHP ou de NodeJS par exemple)

Du coup, la première étape est de récupérer le nom de la branche en cours :

git rev-parse --abbrev-ref HEAD

Et il ne reste plus qu’à le stocker le résultat dans une variable.
Autre petit truc, si la branche est master, dans ce cas je rajoute un tag latest à mon image.
Et le tout dans un Makefile :

.PHONY build

IMAGE:=jeckel/image
TAG:=$(shell git rev-parse --abbrev-ref HEAD)

build:
	@docker build -t ${IMAGE}:${TAG} .
	@if [ ${TAG} = "master" ]; then \
		docker tag ${IMAGE}:${TAG} ${IMAGE}:latest; \
	fi

Il ne reste plus qu’à builder l’image :

make build

Note : si vous voulez utiliser plutôt le hash du dernier commit, il suffit d’utiliser la commande suivante :

git rev-parse HEAD