Passer au contenu principal

Production (Docker)

Docker et CI/CD

Docker dans un pipeline CI/CD soulève deux questions : comment lancer Docker dans Docker (DinD), et comment optimiser le cache de build pour ne pas reconstruire les layers à chaque run. Les deux ont des solutions éprouvées.

GitLab CI : socket mount

La méthode la plus simple : monter le socket Docker de l'hôte runner dans le container de build. Le container accède directement au daemon de l'hôte.

# .gitlab-ci.yml
build:
  image: docker:27
  services: []  # pas de DinD
  variables:
    DOCKER_HOST: unix:///var/run/docker.sock
  before_script:
    - docker info
  script:
    - docker build -t $CI_REGISTRY_IMAGE:$CI_COMMIT_SHA .
    - docker login -u $CI_REGISTRY_USER -p $CI_REGISTRY_PASSWORD $CI_REGISTRY
    - docker push $CI_REGISTRY_IMAGE:$CI_COMMIT_SHA

GitLab CI : Docker in Docker

build:
  image: docker:27
  services:
    - docker:27-dind
  variables:
    DOCKER_TLS_CERTDIR: "/certs"
  script:
    - docker build -t $CI_REGISTRY_IMAGE:$CI_COMMIT_SHA .
    - docker push $CI_REGISTRY_IMAGE:$CI_COMMIT_SHA

Cache de layers en CI

build:
  script:
    # Pull l'image précédente pour s'en servir comme cache
    - docker pull $CI_REGISTRY_IMAGE:latest || true
    - docker build
        --cache-from $CI_REGISTRY_IMAGE:latest
        --tag $CI_REGISTRY_IMAGE:$CI_COMMIT_SHA
        --tag $CI_REGISTRY_IMAGE:latest
        .
    - docker push $CI_REGISTRY_IMAGE:$CI_COMMIT_SHA
    - docker push $CI_REGISTRY_IMAGE:latest

GitHub Actions

# .github/workflows/docker.yml
name: Build and push
on:
  push:
    branches: [main]
  pull_request:

jobs:
  build:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v4

      - name: Set up Docker Buildx
        uses: docker/setup-buildx-action@v3

      - name: Login to GHCR
        uses: docker/login-action@v3
        with:
          registry: ghcr.io
          username: ${{ github.actor }}
          password: ${{ secrets.GITHUB_TOKEN }}

      - name: Build and push
        uses: docker/build-push-action@v6
        with:
          context: .
          platforms: linux/amd64,linux/arm64
          push: ${{ github.ref == 'refs/heads/main' }}
          tags: |
            ghcr.io/${{ github.repository }}:latest
            ghcr.io/${{ github.repository }}:${{ github.sha }}
          cache-from: type=gha       # cache GitHub Actions
          cache-to: type=gha,mode=max

Le cache type=gha stocke les layers BuildKit dans le cache GitHub Actions. Pas besoin de push/pull manuels.