Inhalt

§1 Fokus und Geräte

§2 Ruhe und Umgangsformen

Was ist Docker Compose?

Definiert Multi-Container-Anwendungen in einer YAML-Datei.

• Fokus: Lokale Entwicklung & Einzel-Host.
• CLI: docker compose <command> + docker-compose.yml.
• Limit: Wenn der Server ausfällt, ist die Anwendung offline.

Docker Compose (Single Host)

Was ist Docker Swarm Mode?

Definiert Multi-Container-Anwendungen in einer YAML-Datei.

Verbindet mehrere Docker-Hosts zu einem virtuellen Cluster.

• Fokus: Hochverfügbarkeit & Produktion.
• CLI: docker swarm init + docker swarm join
  • docker stack deploy + docker-stack.yml.
• Limit: Unterstütz kein build, nur fertige Images

Docker Swarm Mode (Multi Host)

YAML Erweitern für Swarm

services:
  web:
    image: my-app:latest
    deploy: # <--- Spezifisch für Swarm
      replicas: 3
      restart_policy:
        condition: on-failure
      update_config:
        parallelism: 1
        delay: 10s

Auftrag

Dockerfile

Minimales, offizielles Image

FROM node:20-alpine
WORKDIR /app
COPY package*.json ./
RUN npm install --production
COPY . .
CMD ["node", "index.js"]

FROM ubuntu:22.04
RUN apt-get update && apt-get install -y \
    curl \
    gnupg \
    && curl -fsSL https://deb.nodesource.com | bash - \
    && apt-get install -y nodejs && apt-get clean \
    && rm -rf /var/lib/apt/lists/*
WORKDIR /app
COPY package*.json ./
RUN npm install
COPY . .
CMD ["node", "index.js"]

Kein Root-User nutzen

FROM ubuntu:22.04
RUN apt-get update && apt-get install -y curl \
    && curl -fsSL https://deb.nodesource.com | bash - \
    && apt-get install -y nodejs && rm -rf /var/lib/apt/lists/*
# Eigenen Benutzer und Gruppe anlegen und verwenden
RUN adduser --system --group --home /home/appuser appuser
WORKDIR /app
RUN chown appuser:appuser /app # Rechte setzen
USER appuser # User appuser verwenden
COPY --chown=appuser:appuser package*.json ./ # Berechtigungen geben
RUN npm install --production
COPY --chown=appuser:appuser . .
CMD ["node", "index.js"] # App starten

• Wehniger Rechte ist immer sicherer!

Minimale Images haben oft einen User parat

FROM node:20-alpine

# Verzeichnis erstellen und Berechtigungen setzen
RUN mkdir -p /home/node/app && chown -R node:node /home/node/app
WORKDIR /home/node/app

# Zum Nicht-Root-Benutzer wechseln
USER node

# Dateien kopieren und dabei direkt den Besitzer ändern (--chown)
COPY --chown=node:node package*.json ./
RUN npm install

COPY --chown=node:node . .

CMD ["node", "index.js"]

Multistage verkleinert produktives Image

FROM node:20 AS builder
WORKDIR /app
COPY package*.json ./
COPY server.js ./
RUN npm install

# Stage 2: Production stage "slim!"
FROM node:20-slim
WORKDIR /app
COPY --from=builder /app .
EXPOSE 3000
CMD ["npm", "start"]

• Weniger Programme, weniger Angriffsfläche.

Keine Secrets im Code

# Datei mit Secret erstellen, Achtung: Bash-History leeren!
echo "MY_PASSWORD=super-geheim-123" > .env.secret

# Container starten und die Datei einbinden
docker run -d \
  --name meine-app \
  --env-file .env.secret \
  mein-node-image

FROM node:20-alpine
#  PIIIP Falsch!
ENV MY_PASSWORD="super-geheim-123"

Supersicher → fnox

fnox init
# Ein Secret verschlüsselt hinzufügen (wird in fnox.toml gespeichert)
fnox set DB_PASSWORD "mein-super-geheimes-passwort"

# fnox entschlüsselt DB_PASSWORD und übergibt es an Docker
fnox exec -- docker run -d \
  --name meine-app \
  -e DB_PASSWORD \
  mein-node-image

• Dadurch ist das Passwort auch auf der Maschine nicht in Klartext vorhanden und könnte sogar in git eingecheckt werden.
• Mehr auf fnox

Secrets mit docker-compose.yml

# Datei mit Secret erstellen, Achtung: Bash-History leeren!
echo "MY_PASSWORD=super-geheim-123" > .password.txt

services:
  app:
    image: mein-node-image
    secrets:
      - db_password

secrets:
  db_password:
    file: ./password.txt

Auftrag

Auftrag