From 3fd220317097f69e7dd1f156e9de96342e8cd763 Mon Sep 17 00:00:00 2001
From: Romain Dessort <rdessort@evolix.fr>
Date: Wed, 2 May 2018 10:51:24 -0400
Subject: [PATCH] HowtoDocker : ajout partie FAQ

---
 HowtoDocker.md | 21 +++++++++++++++++++++
 1 file changed, 21 insertions(+)

diff --git a/HowtoDocker.md b/HowtoDocker.md
index 60d1423a..dc6af2f5 100644
--- a/HowtoDocker.md
+++ b/HowtoDocker.md
@@ -421,3 +421,24 @@ Informations détaillées sur un réseau :
 ### Volumes (docker volume)
 ### Fichiers de configuration (docker config)
 ### Fichiers sensibles (docker secrets)
+
+## FAQ
+
+> Lors d'un redéploiement d'une stack Docker (docker stack deploy), les services ne sont pas redémarrer avec la nouvelle image
+
+Vérifier que le tag _latest_ est bien précisé dans le nom de l'image dans le _docker-stack.yml_ :
+
+~~~
+      image: registrydocker.example.com:5000/foo:latest
+~~~
+
+> Est-il possible de ne faire écouter un service d'une stack que sur une interface précise de la machine hôte (par exemple sur un LAN privé) ?
+
+Non, Docker ne supporte pas ça.
+Il faut bloquer le port en question dans le pare-feu, dans la chaîne iptables DOCKER-USER.
+
+Pour bloquer l'accès au _registry_ Docker depuis l'extérieur par exemple :
+
+~~~
+# iptables -A DOCKER-USER -i eth0 -p tcp -m tcp --dport 5000 -j DROP
+~~~