Conteneurs — Création d’images

Docker & OCI

Lecture
Containers
Docker
Auteur
Affiliations

Emmanuel BRUNO

Université de Toulon

LIS UMR CNRS 7020

Date de publication

2026-01-21

Objectifs

À la fin de ce cours, vous saurez :

  • Comprendre la structure d’une image OCI
  • Créer une image manuellement (et pourquoi éviter)
  • Construire une image avec un Dockerfile
  • Utiliser ENTRYPOINT et CMD
  • Optimiser avec les builds multi-étapes
  • Publier et analyser une image

Images de conteneurs (OCI)

Une image suit la spécification OCI (Open Container Initiative).

  • Ensemble de couches en lecture seule
  • Chaque couche = delta par rapport à la précédente
  • Métadonnées séparées (CMD, ENV, labels…)
  • Nom d’image formel — syntaxe générale : [[registry/][namespace/]repository[:tag][@digest]].
    • repository : partie obligatoire qui identifie le dépôt (nom du répertoire).
    • registry : hôte du registre (optionnel); si absent on entend en pratique le registre Docker Hub (docker.io).
    • namespace : segment optionnel pour regrouper les dépôts (sur Docker Hub, l’espace library est implicite pour les images officielles).
    • tag : référence optionnelle lisible (ex. :latest, :1.2.3); si aucun tag n’est fourni, latest est couramment utilisé comme valeur par défaut pour l’usage, mais l’absence de tag signifie que l’image peut aussi être désignée par un digest.
    • digest : identifiant immuable optionnel (forme sha256:<hex>); lorsqu’il est présent (@digest) il prend la priorité sur le tag pour désigner de façon exacte une image. (Les parties entre crochets [] sont optionnelles selon la spécification de référence des images.)

➡️ Une image n’est pas un conteneur mais le modèle de fichier utilisé pour en créer un ou plusieurs.

Exemple : Ubuntu

  • pull commande pour récupérer une image depuis un registry
    • Les registries sont des dépôts d’images (Docker Hub, GitHub Container Registry, etc.)
  • Image officielle Ubuntu : ubuntu:jammy
  • Basée sur plusieurs couches empilées
docker pull ubuntu:jammy
jammy: Pulling from library/ubuntu
Digest: sha256:c7eb020043d8fc2ae0793fb35a37bff1cf33f156d4d4b12ccc7f3ef8706c38b1
Status: Image is up to date for ubuntu:jammy
docker.io/library/ubuntu:jammy
  • Liste des couches
docker history ubuntu:jammy
IMAGE          CREATED       CREATED BY                                      SIZE      COMMENT
c7eb020043d8   11 days ago   /bin/sh -c #(nop)  CMD ["/bin/bash"]            0B        
<missing>      11 days ago   /bin/sh -c #(nop) ADD file:b499000226bd9a7c5…   85.6MB    
<missing>      11 days ago   /bin/sh -c #(nop)  LABEL org.opencontainers.…   0B        
<missing>      11 days ago   /bin/sh -c #(nop)  LABEL org.opencontainers.…   0B        
<missing>      11 days ago   /bin/sh -c #(nop)  ARG LAUNCHPAD_BUILD_ARCH     0B        
<missing>      11 days ago   /bin/sh -c #(nop)  ARG RELEASE                  0B
  • dans docker history (même après un pull)
    • Docker ne peut pas afficher l’ID d’une couche.
      • l’historique stocké dans l’image ne contient pas toujours les IDs des couches,
      • ou Docker n’a pas conservé ces couches dans son cache local.

Architecture en couches

Avantages :

  • Mutualisation des couches communes
  • Réduction de l’espace disque
  • Téléchargement incrémental
  • Cache efficace lors des builds

Création manuelle d’une image

Méthode possible mais déconseillée :

  1. Lancer un conteneur
  2. Modifier le système de fichiers
  3. Valider avec docker commit
  • ❌ Non reproductible
  • ❌ Historique opaque
  • ❌ Mauvaise pratique en production

Exemple : installer Git manuellement

  • Lancer un conteneur Ubuntu : docker run --name my-ubuntu --interactive ubuntu:jammy bash

  • Installer Git en interactif : apt-get update && apt-get install -y git

  • Valider l’image et supprimer le conteneur intermédiaire.

docker commit my-ubuntu mygit:latest
docker rm my-ubuntu
sha256:b3f8080bcc2739a7f5fab6923da1e9453c3aa5e44302b9da57fd273416b1dd62
my-ubuntu
  • Une nouvelle image mygit:latest est créée.
docker run --rm mygit git --version
git version 2.34.1
  • Historique de l’image mygit.
docker history mygit
IMAGE          CREATED         CREATED BY                                      SIZE      COMMENT
b3f8080bcc27   3 seconds ago   bash -                                          155MB     
c7eb020043d8   11 days ago     /bin/sh -c #(nop)  CMD ["/bin/bash"]            0B        
<missing>      11 days ago     /bin/sh -c #(nop) ADD file:b499000226bd9a7c5…   85.6MB    
<missing>      11 days ago     /bin/sh -c #(nop)  LABEL org.opencontainers.…   0B        
<missing>      11 days ago     /bin/sh -c #(nop)  LABEL org.opencontainers.…   0B        
<missing>      11 days ago     /bin/sh -c #(nop)  ARG LAUNCHPAD_BUILD_ARCH     0B        
<missing>      11 days ago     /bin/sh -c #(nop)  ARG RELEASE                  0B

➡️ Une seule couche opaque ajoutée

Dockerfile (méthode recommandée)

  • Fichier texte avec instructions pour construire une image

Avantages :

  • Reproductible
  • Versionnable (Git)
  • Automatisable
  • Lisible
# Exemple simple
FROM ubuntu:jammy
RUN apt-get update && apt-get install -y git
ENTRYPOINT ["git"]
CMD ["--version"]

Dockerfile — Structure de base

Les exemples suivants sont accessibles dans le dépôt :

✅ Updated existing repository: ebpro/notebook-containers-intro-sample-python-helloworld

Détails

Date: 2026-01-20T20:19:15Z – Commit: 0584a56 fixes workdir – Branche: develop

Repository: https://github.com/ebpro/notebook-containers-intro-sample-python-helloworld
Local path: /home/jovyan/work/examples/github/ebpro/notebook-containers-intro-sample-python-helloworld
Status: 0
Command: git clone https://github.com/ebpro/notebook-containers-intro-sample-python-helloworld --branch develop
/home/jovyan/work/examples/github/ebpro/notebook-containers-intro-sample-python-helloworld
├── Dockerfile
├── hello.py
└── requirements.txt

1 directory, 3 files
# syntax=docker/dockerfile:1

# Choose the parent image
FROM python:3.12-slim

# An argument sets at build command with --build-arg
# It as a default value
ARG BUILD_DATE=1970-01-01T00:00:00Z

# key-value pair as image metadata
LABEL maintainer="emmanuel.bruno@univ-tln.fr"
# See http://label-schema.org/rc1/ for a list of usefull labels
LABEL org.label-schema.build-date=$BUILD_DATE

# An environment variable
ENV NAME="John Doe"

# Creates and moves to a directory
WORKDIR /app

# Copy the requirements them in the new image.
# Done before the copy of the src to limit cache invalidations
# when only source code changes.
COPY requirements.txt ./

# Installation of the dependencies 
RUN pip install --requirement requirements.txt

# Copy the sources 
COPY hello.py ./

# Set the default command for the image
CMD python /app/hello.py

Build d’une image

  • Commande docker image build
  • Contexte de build : répertoire avec Dockerfile
docker image build \
  --quiet \
  .
sha256:5f0f2e3c7ef546823c7e8ab6b88a0b1e6879b82d5e5060a54d09a149d2ead235

ℹ️ Le . est le contexte de build

Gestion des tags 1/2

Bonnes pratiques :

  • Option --tag / -t pour nommer l’image
  • Tag multiples pour une même image avec versionnage sémantique (semver) :
    • Versions complètes : 1.2.3
    • Versions majeures : 1, 1.2
    • Alias : latest
  • Format : [registry/][namespace/]repository:tag
    • ${DOCKERHUB_USERNAME} = votre nom d’utilisateur Docker Hub (ou autre registry)

Gestion des tags 2/2

Tag à la construction (--tag / -t) :

docker image build \
  --quiet \
  --tag docker.io/${DOCKERHUB_USERNAME}/helloworld:0.0.1 \
  .
sha256:a0cc5f690c5703abcf84e864c197d6feacc0ca0866610370a895dba201ec02fc

Tag additionnels (docker tag) :

docker image tag docker.io/${DOCKERHUB_USERNAME}/helloworld:0.0.1 \
  docker.io/${DOCKERHUB_USERNAME}/helloworld:0
docker image tag docker.io/${DOCKERHUB_USERNAME}/helloworld:0.0.1 \
  docker.io/${DOCKERHUB_USERNAME}/helloworld:latest

Utilisation de l’image

  • Commande docker run
  • -e / --env pour variables d’environnement dans le conteneur
docker run --rm docker.io/${DOCKERHUB_USERNAME}/helloworld
WARNING:root:Hello John Doe,  I'm Python in a container !
docker run --rm -e NAME=Pierre docker.io/${DOCKERHUB_USERNAME}/helloworld:0.0.1
WARNING:root:Hello Pierre,  I'm Python in a container !

Publication sur un registry

Étapes :

  1. Build + Tag correct : registry + namespace (nom d’utilisateur).
  2. Authentification sur le registry
docker push docker.io/${DOCKERHUB_USERNAME}/app:latest
echo $DOCKERHUB_TOKEN | docker login \
  --username ${DOCKERHUB_USERNAME} \
  --password-stdin
  1. Push
docker push docker.io/${DOCKERHUB_USERNAME}/app:latest

HEALTHCHECK

L’instruction HEALTHCHECK permet de définir une commande pour vérifier la santé d’un conteneur en cours d’exécution. Docker exécute périodiquement cette commande et utilise son code de retour pour déterminer l’état du conteneur : 0 (sain), 1 (non sain) ou 2 (réservé).

Exemple :

HEALTHCHECK --interval=30s --timeout=3s --start-period=5s --retries=3 \
  CMD curl -f http://localhost/ || exit 1

Options principales :

  • --interval: fréquence de vérification (ex. 30s).
  • --timeout: délai maximum d’exécution de la commande (ex. 3s).
  • --start-period: délai initial avant la première vérification (ex. 5s).
  • --retries: nombre d’échecs consécutifs avant de considérer le conteneur comme non sain.

Les HEALTHCHECK sont utiles pour l’orchestration (restart policies, load balancers) et pour détecter des services défaillants.

Sécurité — Bonnes pratiques

Principes essentiels pour réduire la surface d’attaque et rendre les images sûres :

  • Images minimalistes : choisir des bases petites (Alpine, distroless) ou builder multi-étapes pour ne garder que l’exécutable final.
  • Éviter les secrets dans l’image : ne jamais écrire de mots de passe/jetons dans les Dockerfile. Utiliser BuildKit secrets (--mount=type=secret) ou des volumes/variables d’environnement au runtime.
  • Ne pas exécuter en root : définir un utilisateur non-root dans le Dockerfile.
RUN addgroup -S appgroup && adduser -S appuser -G appgroup
USER appuser
  • Pinning & immutabilité : référencer des images par digest (@sha256:...) ou pinner les versions de paquets pour éviter des mises à jour non contrôlées.
  • Nettoyage des artefacts : supprimer les caches d’installateurs et réduire le nombre de layers (ex. apt-get clean && rm -rf /var/lib/apt/lists/*).
  • Scanner et vérifier : utiliser des scanners (ex. docker scan, trivy) et générer un SBOM. Ex : trivy image --severity HIGH,CRITICAL myimage:latest.
  • Limiter les privilèges au runtime : appliquer des profiles seccomp/AppArmor, retirer les capacités inutiles (--cap-drop), monter le FS en lecture seule quand possible (--read-only).
  • Ressources et isolation : définir limites mémoire/CPU et pids pour limiter l’impact d’un processus compromis.

ENTRYPOINT vs CMD

  • Pour définir le comportement par défaut d’une image
    • Une image peut définir un ENTRYPOINT et un CMD
  • ENTRYPOINT + CMD = commande complète
  • Si CMD absent, arguments passés à docker run sont ajoutés à ENTRYPOINT
  • Si ENTRYPOINT absent, docker run utilise CMD ou les arguments passés
  • ENTRYPOINT : commande principale
  • CMD : arguments par défaut
Directive Rôle
ENTRYPOINT Comportement principal
CMD Paramètres remplaçables 
ENTRYPOINT ["git"]
CMD ["--version"]
docker run mygit
docker run mygit status

➡️ Image utilisable comme un programme

Multi-stage build

Objectifs :

  • Séparer build et runtime
  • Réduire la taille finale
  • Supprimer toolchains et sources

Fonctionnement :

  • Plusieurs étapes FROM dans un Dockerfile
  • Chaque étape peut copier des artefacts de l’étape précédente (COPY --from=...)
  • L’étape finale est l’image résultante

Exemple multi-étapes (C)

Les exemples suivants sont accessibles dans le dépôt :

✅ Updated existing repository: ebpro/notebook-containers-intro-sample-c

Détails

Date: 2026-01-20T20:19:25Z – Commit: b9f1ed3 improve comments – Branche: develop

Repository: https://github.com/ebpro/notebook-containers-intro-sample-c
Local path: /home/jovyan/work/examples/github/ebpro/notebook-containers-intro-sample-c
Status: 0
Command: git clone https://github.com/ebpro/notebook-containers-intro-sample-c --branch develop
# Build stage
FROM gcc:14-bookworm AS builder

# An argument sets at build command with --build-arg
# It as a default value
ARG BUILD_DATE=1970-01-01T00:00:00Z

# key-value pair as image metadata
LABEL maintainer="emmanuel.bruno@univ-tln.fr"
# See http://label-schema.org/rc1/ for a list of usefull labels
LABEL org.label-schema.build-date=$BUILD_DATE

WORKDIR /src/app
COPY helloworld.c .
RUN gcc -Wall -Wextra -Werror -O2 -fPIE -pie -D_FORTIFY_SOURCE=2 -static-libgcc helloworld.c -o helloworld

# Runtime stage
FROM debian:bookworm-slim

# Create non-root user
RUN groupadd -r appuser && useradd -r -g appuser appuser
WORKDIR /app

# Copy only the compiled binary
COPY --from=builder --chown=appuser:appuser /src/app/helloworld /app/helloworld

# Switch to non-root user
USER appuser

# Set executable permissions
RUN chmod 550 /app/helloworld

ENTRYPOINT ["/app/helloworld"]
docker image build \
     --quiet \
     --tag ${DOCKERHUB_USERNAME}/helloworld_c:0.0.1 \
     .

docker run --rm ${DOCKERHUB_USERNAME}/helloworld_c:0.0.1 Paul
sha256:99cd928ea20751faa85b3c283c6b175457f64358dc186128b4d25558ea4d32ac
Hello Paul!

Résultat

  • Chaîne de build est versionnable, reproductible (gcc, sources, etc. dans le Dockerfile)
  • Image finale très légère (uniquement l’exécutable + libs)
    • Aucun compilateur présent
    • Sécurité accrue
    • Démarrage rapide

Exposition des ports

  • EXPOSE dans le Dockerfile pour documenter les ports utilisés
  • -p / --publish dans docker run pour mapper les ports
  • Exemple : application web sur le port 80

Dans le Dockerfile :

EXPOSE 80
docker run -p 8080:80 myapp

ℹ️ EXPOSE est informatif

Sécurité — Bonnes pratiques

  • Images minimalistes
  • Utilisateur non-root
  • Pas de secrets dans l’image
  • Scan des vulnérabilités

Utilisateur non-root

RUN adduser -D appuser
USER appuser

Secrets avec BuildKit

  • Attention : ne pas inclure de secrets dans l’image finale
    • Utiliser les secrets temporaires de BuildKit
RUN --mount=type=secret,id=api_key \
    cat /run/secrets/api_key > /dev/null
  • Passer par des fichiers ou variables d’environnement
ARG API_KEY # Le secret est passé en tant qu’argument de build
ENV API_KEY=${API_KEY}
RUN curl -H "Authorization: Bearer ${API_KEY}"  https://example.com/secure-data
    ...

Multi-architecture (buildx)

  • Construire pour plusieurs architectures (amd64, arm64, etc.)
  • Utiliser docker buildx ou docker build --platform
#| echo: true
#| output: true
docker build \
  --platform linux/amd64,linux/arm64 \
  -t docker.io/${DOCKERHUB_USERNAME}/helloworld_c:0.0.1 \
  .
  • ℹ️ Pour publier une image multi-architecture sur un registry, utiliser docker buildx build --push.

À retenir

  • Une image ≠ un conteneur
  • Dockerfile pour créer des images
  • ENTRYPOINT définit le comportement
  • CMD fournit des arguments par défaut
  • Multi-stage sépare build et runtime
  • push Publier sur un registry
  • Toujours penser sécurité & reproductibilité

Réutilisation