Documentation sur Oracle Cloud Infrastructure

Création d'une instance de conteneur

Suivez ces étapes pour créer une instance de conteneur.

Tenez compte des exigences suivantes avant de créer une instance de conteneur :
  • Lorsque vous créez une instance de conteneur, plusieurs autres ressources sont impliquées, telles qu'une image, un réseau en nuage et un sous-réseau. Ces ressources peuvent se trouver dans le même compartiment que l'instance ou dans d'autres compartiments. Vous devez disposer du niveau d'accès requis à chaque compartiment concerné pour créer l'instance. Voir Politique GIA requise.

  • Lorsque vous spécifiez une image de conteneur, le registre dans lequel l'image vit doit être accessible à partir du sous-réseau que vous fournissez pour l'instance de conteneur. Si l'image de conteneur réside dans le registre de conteneurs OCI, spécifiez l'image dans un sous-réseau d'un réseau en nuage virtuel (VCN) avec une passerelle de service. Si l'image de conteneur réside dans un registre externe hébergé sur l'Internet public, spécifiez l'image dans un sous-réseau public dans un VCN avec une passerelle Internet ou dans un sous-réseau privé dans un VCN avec une passerelle de traduction d'adresses de réseau (NAT).

Important

Vous pouvez créer un maximum de 60 conteneurs sur chaque instance de conteneur.

  • Pour créer une instance de conteneur :

    1. Naviguez jusqu'à la page de liste Instances de conteneur. Si vous avez besoin d'aide pour trouver la page de liste, voir Liste des instances de conteneur.
    2. Sélectionnez Créer une instance de conteneur.
    3. Remplissez les informations pour les étapes numérotées comme suit.

    1. Ajouter les détails de base

    • Nom : Entrez un nom pour l'instance de conteneur. Vous pourrez ajouter ou modifier le nom ultérieurement. Le nom n'a pas besoin d'être unique car un identificateur Oracle Cloud (OCID) identifie de manière unique l'instance de conteneur. Évitez d'entrer des informations confidentielles.
    • Créer dans le compartiment : Sélectionnez le compartiment dans lequel créer l'instance. Les autres ressources que vous choisissez peuvent provenir de différents compartiments.

    Marqueurs

    Dans la section Marqueurs, ajoutez des marqueurs à l'instance de conteneur. Si vous êtes autorisé à créer une ressource, vous disposez également des autorisations nécessaires pour appliquer des marqueurs à structure libre à cette ressource. Pour appliquer un marqueur défini, vous devez être autorisé à utiliser l'espace de noms de marqueur. Pour plus d'informations sur le marquage, voir Marqueurs de ressource. Si vous ne savez pas si vous devez appliquer des marqueurs, ignorez cette option ou demandez à l'administrateur. Vous pouvez appliquer des marqueurs plus tard.

    Position

    Dans la section Positionnement, sélectionnez les options suivantes :

    • Domaine de disponibilité : Sélectionnez le domaine de disponibilité dans lequel vous souhaitez créer l'instance.

    • Domaine d'erreur (Facultatif) : Par défaut, le système sélectionne un domaine d'erreur pour vous. Vous pouvez également sélectionner le domaine d'erreur à utiliser pour l'instance. Pour plus d'informations, voir Domaines d'erreur.

    forme

    Dans la section Forme, sélectionnez la forme flexible pour l'instance de conteneur. Les formes flexibles ont un nombre et une quantité de mémoire personnalisables. Sélectionnez Modifier la forme pour apporter des modifications à la forme.

    • Nombre d'unités OCPU : Pour Nombre d'unités OCPU, sélectionnez le nombre d'unités OCPU à affecter à cette instance en faisant glisser le curseur. Les autres ressources sont ajustées en proportion.
    • Quantité de mémoire (Go) : Pour Quantité de mémoire (Go), sélectionnez la quantité de mémoire à affecter à cette instance en faisant glisser le curseur. La quantité de mémoire autorisée dépend du nombre d'OCPU sélectionné.

    Réseau

    Dans la section Réseau, vous configurez les détails du réseau pour l'instance :
    Note

    Vous aurez besoin d'une règle de sécurité dans le cadre d'une liste de sécurité ou d'un groupe de sécurité de réseau pour autoriser le trafic réseau vers les applications s'exécutant dans le conteneur. Par exemple, si votre application s'exécute sur le port TCP 8080, vous avez besoin d'une règle de sécurité pour TCP et le port 8080. Pour plus d'informations sur la configuration des règles de sécurité, voir Règles de sécurité.
    • Réseau principal :

      Sélectionnez une option :

      • Sélectionner un réseau en nuage virtuel existant : Sélectionnez un VCN existant.
      • Créer un réseau en nuage virtuel : Créez un VCN dans cette boîte de dialogue.
      • Entrer l'OCID du sous-réseau : Entrez l'OCID d'un VCN existant.

      Remplissez les champs suivants :

      • Compartiment du réseau en nuage virtuel : Sélectionnez le compartiment.
      • Réseau en nuage virtuel : Sélectionnez votre VCN.
    • Sous-réseau

      Sous-réseau dans le réseau en nuage auquel l'instance est attachée. Les sous-réseaux sont publics ou privés. Privé signifie que les instances de ce sous-réseau ne peuvent pas avoir d'adresses IP publiques. Pour plus d'informations, voir Accès à Internet. Les sous-réseaux peuvent également être propres à un domaine de disponibilité ou régionaux. Les régions ont " régional " après le nom. Nous recommandons d'utiliser des sous-réseaux régionaux. Pour plus d'informations, voir À propos des sous-réseaux régionaux.

      Sélectionner une option de sous-réseau :

      • Sélectionner un sous-réseau existant : Sélectionnez le compartiment et le sous-réseau.
      • Créez un nouveau sous-réseau public : Entrez les informations suivantes :
        • Nom du nouveau sous-réseau : Nom du sous-réseau. Évitez d'entrer des informations confidentielles.
        • Compartiment du sous-réseau : compartiment dans lequel placer le sous-réseau.
        • Bloc CIDR : Bloc CIDR contif unique pour le sous-réseau (par exemple, 172.16.0.0/24). Assurez-vous qu'il est compris dans le bloc CIDR du réseau en nuage et que ses adresses ne chevauchent pas celles des autres sous-réseaux. Vous ne pouvez pas modifier cette valeur ultérieurement. Voir Taille et intervalles d'adresses de réseau VCN autorisés. Pour référence, ici, un calculateur CIDR.
    • Adresse IPv4 publique

      Sélectionner une option :

      • Affecter une adresse IPv4 publique : Pour affecter à l'instance une adresse IP publique. Une adresse IP publique rend l'instance accessible sur Internet. Pour plus d'informations, voir Accès à Internet.
      • Ne pas affecter d'adresse IPv4 publique : Aucune adresse IP publique n'est affectée.
    • Options de réseau avancées

      Sélectionnez les options de réseau avancées.

      • Utiliser des groupes de sécurité de réseau pour contrôler le trafic : Sélectionnez cette option si vous voulez ajouter la carte vNIC principal de l'instance à un ou plusieurs groupes de sécurité de réseau. Spécifiez ensuite ces derniers. Cette option n'est disponible que lorsque vous utilisez un VCN existant. Pour plus d'informations, voir Groupes de sécurité de réseau.
      • Activer la vérification de la destination source : Indique si la vérification de la source et de la destination est désactivée sur la carte VNIC.
      • Adresse IP privée : Entrez une adresse IP privée disponible de votre choix dans le CIDR du sous-réseau. Si vous ne spécifiez pas de valeur, l'adresse IP privée est automatiquement affectée.
      • Enregistrement DNS : Spécifiez s'il faut affecter un enregistrement DNS privé.
      • Nom d'hôte : Entrez un nom d'hôte à utiliser pour le DNS dans le réseau en nuage. Cette option n'est disponible que si VCN et le sous-réseau ont tous deux des étiquettes DNS et que vous avez sélectionné l'affectation d'un enregistrement DNS privé.

    Options avancées

    Configurer les paramètres avancés pour l'instance de conteneur.

    • Temporisation d'arrêt progressif (en secondes) : Définissez le temps pendant lequel l'instance de conteneur attend l'arrêt du système d'exploitation avant de la mettre hors service.
    • Politique de redémarrage de conteneur :

      Vous pouvez définir la politique de redémarrage des conteneurs dans une instance de conteneur lorsque vous les créez. Lorsqu'un conteneur individuel sort (s'arrête, redémarre ou échoue), le code de sortie et l'heure de sortie sont disponibles dans l'API et la politique de redémarrage est appliquée. Si tous les conteneurs sortent et ne redémarrent pas, l'instance de conteneur s'arrête.

      Sélectionnez une des options suivantes :

      • Toujours : Les conteneurs redémarrent toujours, même s'ils sortent avec succès. "Toujours" est préférable si vous voulez vous assurer que votre conteneur est toujours en cours d'exécution, comme un serveur Web. Ce paramètre de politique est la valeur par défaut.
      • Jamais : Les conteneurs ne redémarrent jamais, quelle que soit la raison de leur sortie.
      • En cas d'échec : Les conteneurs ne redémarrent que s'ils sortent avec une erreur. "En cas d'échec" est préférable si vous souhaitez accomplir une certaine tâche et vous assurer qu'elle se termine avec succès.

    Sélectionnez Suivant pour configurer les conteneurs dans l'instance de conteneur.

    2. Configurer des conteneurs

    Entrez les informations suivantes sur le conteneur.

    • Nom : Entrez un nom pour le premier conteneur. Vous pourrez ajouter ou modifier le nom ultérieurement. Le nom n'a pas besoin d'être unique car l'identificateur Oracle Cloud (OCID) identifie de manière unique le conteneur. Évitez d'entrer des informations confidentielles.
    • Image :

      Sélectionnez Sélectionner une image, puis suivez ces étapes.

      Sélectionner une source d'image :

      • Registre de conteneurs OCI : Le registre OCI, également appelé registre de conteneurs, est un registre géré par Oracle qui vous permet de stocker, de partager et de gérer des images de conteneur. Pour plus d'informations, voir Registre de conteneurs.
      • Registre externe : Registre externe, tel que Docker Hub, dans lequel vous pouvez choisir une image fournie par des fournisseurs tiers.

        Clé secrète du service de chambre forte pour OCI : Vous pouvez héberger des images de conteneur dans des registres privés ou des référentiels qui nécessitent une autorisation pour extraire les images. Nous vous recommandons de stocker vos données d'identification à l'aide du service Oracle Cloud Infrastructure Vault pour améliorer la sécurité et faciliter la gestion des données d'identification. Pour plus d'informations, voir Clés secrètes de chambre forte pour l'autorisation d'extraction d'images.

    • Variables d'environnement

      Définissez les variables d'environnement utilisées par le conteneur.

      Les images de conteneur prennent en charge les variables d'environnement pour personnaliser leur exécution. Par exemple, l'image NGINX officielle prend en charge les variables d'environnement NGINX_HOST et NGINX_PORT, de sorte que vous pouvez définir la valeur pour personnaliser l'exécution en fonction des variables suivantes :

      NGINX_HOST=foobar.com
NGINX_PORT=80
    • Ressources : Vous pouvez configurer la quantité de ressources que le conteneur consomme en absolus ou en pourcentages. Par défaut, le conteneur peut utiliser toutes les ressources de l'instance de conteneur.
    • Options de démarrage : Vous pouvez configurer des arguments de répertoire de travail et ENTRYPOINT pour le conteneur.
    • Sécurité : Vous pouvez spécifier les paramètres de sécurité du conteneur.
      • Cochez la case Activer le système de fichiers racine en lecture seule pour appliquer un accès en lecture seule au système de fichiers racine du conteneur.
      • Cochez la case Exécuter en tant qu'utilisateur non racine pour vous assurer que le conteneur ne s'exécute pas en tant qu'utilisateur racine.
        • Lorsque vous activez l'option Exécuter en tant qu'utilisateur non racine, la valeur ID utilisateur ne peut pas être réglée à 0.
      • Utilisez les champs ID utilisateur et ID groupe pour définir l'ID utilisateur et l'ID groupe pour exécuter le processus de point d'entrée du conteneur.
        • La valeur des champs ID utilisateur et ID groupe doit être un nombre entier compris entre 0 et 65535. La valeur par défaut est 0.
        • Les valeurs ID utilisateur et ID groupe que vous spécifiez remplacent les valeurs définies dans l'image de conteneur. Lorsque la valeur ID utilisateur n'est pas spécifiée, le processus de point d'entrée du conteneur s'exécute en tant qu'utilisateur racine.
        • Vous devez définir l'ID utilisateur avant de définir l'ID groupe.
      • Sous la section Configurer les capacités Linux, vous pouvez configurer les capacités Linux pour votre conteneur. Par défaut, le conteneur est lancé avec plusieurs fonctionnalités que vous pouvez choisir de supprimer.

        Le champ Ajouter des capacités et le champ Supprimer des capacités prennent en charge la valeur TOUT, ce qui autorise ou supprime toutes les capacités. La valeur ALL fait référence aux capacités Linux activées par défaut.

        • Si vous laissez les champs Ajouter des capacités et Supprimer des capacités vides, toutes les capacités par défaut sont disponibles pour votre conteneur.
        • Si vous entrez TOUTES dans le champ Ajouter des capacités, toutes les capacités sont disponibles à l'exception de celles que vous indiquez dans le champ Supprimer les capacités, et ignore TOUTES dans le champ Supprimer les capacités.
        • Si vous entrez ALL dans le champ Capacités de suppression, le conteneur contient uniquement les capacités que vous listez dans le champ Ajouter des capacités.
        • Dans d'autres cas, supprime toutes les capacités du jeu par défaut indiqué dans le champ Supprimer les capacités, puis ajoute les capacités indiquées dans le champ Ajouter des capacités et retourne finalement le résultat en tant que capacité pour votre conteneur.
        • La création de l'instance de conteneur échoue si vous fournissez des capacités qui ne figurent pas dans la liste ci-dessous.
        Toutes les fonctionnalités Linux activées par défaut lorsque vous créez un conteneur
        Fonction Description
        CAP_CHOWN Apporte des modifications aux UID et IDG de fichier.
        CAP_DAC_OVERRIDE Contrôle d'accès discrétionnaire (DAC) qui contourne les vérifications des autorisations de lecture, d'écriture et d'exécution des fichiers.
        CAP_FSETID
        • Ne supprime pas les bits de mode set-user-ID et set-group-ID lorsqu'un fichier est modifié.
        • Définit le bit set-group-ID d'un fichier dont l'IDG ne correspond pas au fichier. système ou à l'un des IDG supplémentaires du processus appelant.
        CAP_FOWNER Ignore les vérifications d'autorisation pour les opérations qui nécessitent normalement l'UID système de fichiers du processus pour correspondre à l'UID du fichier, exclut les opérations couvertes par CAP_DAC_OVERRIDE et CAP_DAC_READ_SEARCH.
        CAP_MKNOD Crée des fichiers spéciaux à l'aide de mknod(2).
        CAP_NET_RAW
        • Utilise des prises RAW et PACKET.
        • Liaison à n'importe quelle adresse pour un proxy transparent.
        CAP_SETGID
        • Permet de manipuler les IDG de processus et la liste d'IDG supplémentaire.
        • Forge l'IDG lors de la transmission des données d'identification de connecteur logiciel au moyen de connecteurs logiciels de domaine UNIX.
        • Ecrit un mappage d'ID groupe dans un espace de noms d'utilisateur.
        CAP_SETUID
        • Permet de manipuler les UID de processus.
        • Forge l'UID lors de la transmission des données d'identification de connecteur logiciel au moyen de connecteurs logiciels de domaine UNIX.
        • Ecrit un mappage d'ID utilisateur dans un espace de noms d'utilisateur.
        CAP_SETFCAP Définit les capacités des fichiers.
        CAP_SETPCAP Si les capacités de fichier ne sont pas prises en charge, accorde ou supprime toute capacité dans la capacité autorisée de l'appelant définie pour ou à partir de tout autre processus.
        CAP_NET_BIND_SERVICE Relie un connecteur logiciel à des ports privilégiés de domaine Internet (numéros de port inférieurs à 1024).
        CAP_SYS_CHROOT Utilise chroot(2) pour passer à un autre répertoire racine.
        CAP_KILL Ignore les vérifications d'autorisation pour l'envoi de signaux, ce qui inclut l'utilisation de l'opération ioctl(2) KDSIGACCEPT.
        CAP_AUDIT_WRITE Écrit les enregistrements dans le journal d'audit du noyau.
    • Pour configurer un autre conteneur dans l'instance, cliquez sur + Un autre conteneur et répétez les étapes précédentes.

    Sélectionnez Suivant pour vérifier l'instance de conteneur et ses conteneurs.

    Vérifier

    Vérifier vos sélections.

    Sélectionnez Créer.

  • Utilisez la commande oci container-instances container-instance create pour créer une instance de conteneur. Pour utiliser cette commande, remplacez compartment_ocid, logical_ad et subnetId par vos ressources.

    $ compartment_ocid=ocid1.compartment.oc1.example
$ logical_ad=Lnnj:US-EXAMPLE
$ ci_shape=CI.Standard.E4.Flex
$ shape_config_json='{"ocpus": 2,"memoryInGBs": 2}'
$ containers_json='[{"imageUrl": "busybox", "command": ["bin/sh"], "arguments": ["-c", "echo Hello"]}]'
$ vnics_json='[{"subnetId": "ocid1.subnet.oc1.example"}]'
$ oci container-instances container-instance create --compartment-id "$compartment_ocid" --availability-domain "$logical_ad" --shape "$ci_shape" --shape-config "$shape_config_json" --containers "$containers_json" --vnics "$vnics_json"

    Pour la liste complète des indicateurs et des options de variable pour les commandes de l'interface de ligne de commande, voir Informations de référence sur la ligne de commande.

  • Utilisez l'opération CreateContainerInstance.