fix(infra): l'utilisateur git est utilisé dans l'image docker pour éviter les...

fix(infra): l'utilisateur git est utilisé dans l'image docker pour éviter les problèmes de droit (#119)

fix(infra): l'utilisateur git est utilisé dans l'image docker pour éviter les...
2885ed3a · BITARD Michaël · GitHub · b95aa6dd · 2885ed3a · 2885ed3a
Unverified Commit 2885ed3a authored 3 years ago by BITARD Michaël Committed by GitHub 3 years ago
--- a/Dockerfile.api
+++ b/Dockerfile.api
@@ -20,21 +20,26 @@ RUN npm run build -w packages/api && \
 FROM node:17.8-alpine as production-stage
-# redirige les logs sur le collecteur de logs docker
+# TODO 2022-07-13 : on profite que
-# cf le Dockerfile de nginx
+# - l'utilisateur a le même id sur toutes les machines
-# https://github.com/nginxinc/docker-nginx/blob/8921999083def7ba43a06fabd5f80e4406651353/mainline/jessie/Dockerfile#L21-L23
+# - ansible crée les dossiers avec les bons droits
-RUN ln -sf /dev/stdout ./app.log
+RUN adduser -u 1002 -D nonroot
-COPY --from=build-stage /app/package.json ./
+USER nonroot
-COPY --from=build-stage /app/packages/api/package.json ./packages/api/
-COPY --from=build-stage /app/packages/common/package.json ./packages/common/
+COPY --chown=nonroot:nonroot --from=build-stage /app/package.json ./
-COPY --from=build-stage /app/packages/api/dist/ ./packages/api/dist/
+COPY --chown=nonroot:nonroot --from=build-stage /app/packages/api/package.json ./packages/api/
-COPY --from=build-stage /app/node_modules ./node_modules/
+COPY --chown=nonroot:nonroot --from=build-stage /app/packages/common/package.json ./packages/common/
-COPY --from=build-stage /app/packages/api/node_modules ./node_modules/
+COPY --chown=nonroot:nonroot --from=build-stage /app/packages/api/dist/ ./packages/api/dist/
+COPY --chown=nonroot:nonroot --from=build-stage /app/node_modules ./node_modules/
+COPY --chown=nonroot:nonroot --from=build-stage /app/packages/api/node_modules ./node_modules/
 # nous avons besoin des sources pour lancer certains scripts manuellement
-COPY --from=build-stage /app/packages/api/src ./packages/api/src/
+COPY --chown=nonroot:nonroot --from=build-stage /app/packages/api/src ./packages/api/src/
-COPY --from=build-stage /app/packages/api/tsconfig.json ./packages/api/
+COPY --chown=nonroot:nonroot --from=build-stage /app/packages/api/tsconfig.json ./packages/api/
-COPY --from=build-stage /app/packages/common/src ./packages/common/src/
+COPY --chown=nonroot:nonroot --from=build-stage /app/packages/common/src ./packages/common/src/
-COPY --from=build-stage /app/packages/common/tsconfig.json ./packages/common/
+COPY --chown=nonroot:nonroot --from=build-stage /app/packages/common/tsconfig.json ./packages/common/
+# Ce n'est pas nécessaire pour les environnements de prod (le dossier est crée par ansible et monté) mais est plus correct pour pouvoir utiliser l'image sans problème de droit au démarrage
+RUN mkdir -p /packages/api/files
 CMD ["npm", "start", "-w", "packages/api"]
--- a/docker-compose.yml
+++ b/docker-compose.yml
@@ -22,7 +22,6 @@ services:
    volumes:
      - ./files:/packages/api/files
      - ./.env:/.env
-      - ./app.log:/app.log
    networks:
      - default
      - nginx-proxy

--- a/infra/deploy.yml
+++ b/infra/deploy.yml
@@ -6,12 +6,8 @@
        name: rsync
        state: present
      become: True
-    - file:
-        path: /srv/www/camino/files
-        group: users
-        mode: u=rwx,g=rwx,o=r
-      become: True
  roles:
+    - role: user
    - role: nginx
    - role: camino
    - role: devAndPreprod

--- a/infra/roles/user/tasks/main.yml
+++ b/infra/roles/user/tasks/main.yml
+---
+# TODO 2022-07-13: gérer l'accés des développeurs ici (nom, uid et clé publique ssh)
+- name: ajoute le groupe "git"
+  ansible.builtin.group:
+    name: git
+    state: present
+    gid: 1002
+  become: True
+- name: ajoute l'utilisateur 'git'
+  ansible.builtin.user:
+    name: git
+    comment: Git
+    # L'UID doit être le même que dans le Dockerfile.api
+    uid: 1002
+    groups: git, users, docker
+  become: True
+- file:
+    path: /srv/www/camino/files
+    group: users
+    state: directory
+    recurse: True
+    owner: git
+    mode: u=rwx,g=rwx,o=r
+  become: True
\ No newline at end of file
--- a/packages/api/.gitignore
+++ b/packages/api/.gitignore
@@ -30,6 +30,5 @@ node_modules
 /files
 /docs
 /dev/tmp
-app.log
 cron.log
 .eslintcache
--- a/packages/api/src/config/logger.ts
+++ b/packages/api/src/config/logger.ts
@@ -27,6 +27,7 @@ const utilFormat = {
  }
 }
+// TODO 2022-07-13 : supprime winston et utilise console.log classique (avec des couleurs si on veut être fancy, mais pas besoin de cette dépendance (et encore moins des sous dépendances))
 const consoleOverride = (logger: winston.Logger) => {
  console.info = (...args) => logger.info('', ...args)
  console.warn = (...args) => logger.warn('', ...args)
@@ -42,32 +43,8 @@ const appLogger = createLogger({
  transports: [consoleTransport]
 })
-// Si nous sommes en production, alors on met aussi les logs dans un fichier
-if (process.env.NODE_ENV === 'production') {
-  appLogger.add(
-    new transports.File({
-      filename: 'app.log',
-      format: combine(timestampFormat, utilFormat, printFormat)
-    })
-  )
-}
-const htmlFormat = printf(({ level, message, timestamp }) => {
-  if (!message || !message.length) {
-    return ''
-  }
-  return `<div>${timestamp} [${level}]: ${message}</div>`
-})
 const cronLogger = createLogger({
-  transports: [
+  transports: [consoleTransport]
-    consoleTransport,
-    new transports.File({
-      filename: 'cron.log',
-      format: combine(timestampFormat, utilFormat, htmlFormat)
-    })
-  ]
 })
 export { consoleOverride, appLogger, cronLogger }