Comment Utiliser Docker et Portainer sur un VPS (Guide 2026)

Publié : par Dallas Kashuba
Comment Utiliser Docker et Portainer sur un VPS (Guide 2026) thumbnail

As-tu déjà entendu parler de Dockerception ?

Alors, tiens bien ton chapeau. Nous descendons dans le terrier du lapin.

Portainer, l’interface web que tu es sur le point d’installer sur Docker, est lui-même un conteneur Docker.

C’est un outil qui fonctionne sur la même chose qu’il gère. Tu le lances avec une seule ligne docker run, et la première chose qu’il fait est de revenir en arrière à travers un petit trou dans l’hôte (un fichier socket) et de demander au daemon Docker de lui montrer tous les autres conteneurs, y compris lui-même. Depuis cet onglet de navigateur, tu peux mettre à jour Portainer. Redémarrer Portainer. Et gérer tous tes autres conteneurs Docker.

L’interface utilisateur que tu observes est à un clic de supprimer l’interface utilisateur que tu observes.

Sur un VPS où tu paies déjà pour la boîte et que tu es déjà à l’aise avec SSH, Portainer s’insère proprement sur Docker sans changer le fonctionnement de ce qui se trouve en dessous.

C’est la valeur.

Une boîte de 4 Go exécute Docker, Portainer et une petite flotte d’applications auto-hébergées sans transpirer. Et cela revient au coût de quelques abonnements de streaming par mois. Suffisant pour gérer l’automatisation de la maison, le stockage de photos familiales, l’assistant IA et la newsletter que tu menaces de lancer — sur un serveur qui t’appartient réellement.

Voici comment le mettre en marche, le sécuriser et commencer à en tirer de la valeur.

Qu’est-ce Que Portainer, Exactement ?

Architecture Portainer montrant la connexion du socket Docker à portainer.io à travers un VPN vers le navigateur pour la gestion à distance de Docker.

Portainer est une interface utilisateur web qui fonctionne comme un conteneur Docker et gère vos autres conteneurs via le socket Docker.

C’est essentiellement une interface frontale basée sur un navigateur pour les mêmes commandes Docker que tu taperai autrement à la main, plus la gestion des stacks, l’accès basé sur les rôles (si tu effectues une mise à niveau) et une vue du tableau de bord de la CPU et de la mémoire.

La connexion par socket est ce qui la fait fonctionner. Le lien ressemble à -v /var/run/docker.sock:/var/run/docker.sock dans la commande d’installation, et cette seule ligne fait tout le travail difficile. Sans cela, Portainer est une interface utilisateur pour un hôte Docker vide. Avec cela, Portainer est la télécommande de l’hôte Docker.

Une chose à garder en tête : tout processus capable d’accéder à /var/run/docker.sock peut effectivement exécuter n’importe quoi en tant que root sur l’hôte. C’est une fonctionnalité lorsque c’est Portainer qui en fait la demande et un problème lorsqu’il s’agit d’un conteneur que tu as lancé la semaine dernière et auquel tu avais donné accès au socket.

Traite la liaison de socket comme une capacité privilégiée, et audite chaque autre conteneur qui en demande une.

Recevez du contenu directement dans votre boîte de réception

Abonnez-vous maintenant pour recevoir toutes les dernières mises à jour directement dans votre boîte de réception.

As-tu Besoin de Portainer Si Tu As Déjà Docker ?

Non. Docker fonctionne bien depuis le terminal, et beaucoup de personnes utilisent quelques conteneurs pendant des années sans jamais installer une interface utilisateur dessus.

Tu veux Portainer si :

  • Tu jongleras avec plus de deux ou trois conteneurs Docker à travers différentes applications.
  • Tu préfères cliquer sur “redémarrer” plutôt que de retaper une commande Compose à 23h.
  • Tu partages l’accès avec quelqu’un qui ne vit pas dans un terminal.
  • Tu veux déployer des mises à jour de pile à partir d’un dépôt Git sans écrire un script de déploiement.

Sautez Portainer si :

  • Tu utilises un ou deux conteneurs qui changent rarement. 
  • Tu es déjà à l’aise avec Docker Compose, et tu es content d’y rester.

Docker est suffisamment mainstream pour que ce choix ne soit pas marginal. Selon l’enquête des développeurs de Stack Overflow de 2025, Docker est la plateforme de conteneurs la plus largement adoptée par les développeurs avec plus de 70 % d’utilisation — le plus grand bond en un an pour une technologie suivi par l’enquête. Le projet Portainer compte environ 37 000 étoiles sur GitHub.

D’autres options existent. Coolify va plus loin vers les abstractions de style PaaS, et Dokploy se situe dans un territoire similaire avec une empreinte plus légère — mais Portainer est celui que la plupart des guides d’installation choisissent en premier.

Si tu vis dans tmux et que tu exécutes une application, ferme cet onglet. Tu es tranquille. Si tu gères quatre applications auto-hébergées et que tu as recherché, “Quels sont encore les logs Docker ?” deux fois ce mois-ci, continue à lire.

Quelle Taille de VPS Est Nécessaire Pour Exécuter Docker et Portainer?

Un VPS de 4 Go gère confortablement Portainer ainsi qu’une petite pile de conteneurs de projets annexes.

Portainer recommande un hôte avec au moins 2 Go de RAM et 1 cœur de CPU, bien que le processus du serveur Portainer lui-même reste à environ 100 Mo. Le démon Docker ajoute quelques centaines de Mo de surcharge avant que tes applications ne démarrent.

Voici comment cela se rapporte aux charges de travail réelles :

Tableau comparant les exigences de charge de travail VPS : une seule application nécessite 4 GB, Nextcloud nécessite 8 GB, GitLab avec CI/CD nécessite 16 GB RAM.

Chez DreamHost, notre VPS Auto-Géré propose quatre niveaux de Stack basés sur la RAM (Stack 4, 8, 16 et 32), le niveau d’entrée Stack 4 étant dimensionné précisément pour ce type de petit hôte Docker. (Et oui, le stockage NVMe et l’accès complet Root sont inclus.)

Si tu hésites à savoir si l’auto-hébergement vaut le temps, Stack 4 est la taille où les calculs commencent à jouer en ta faveur dès le premier jour.

Une remarque sur le stockage : L’empreinte de stockage de Portainer est minimale — il ne stocke que sa propre base de données de configuration. Les propres documents de Portainer recommandent des performances de niveau SSD (≈3,5 Mo/s en continu, plus de 30 000 IOPS, <10 ms de latence en écriture), ce qu’un disque NVMe moderne dépasse aisément. Le disque ne devient une préoccupation réelle que si vous exécutez des conteneurs lourds en bases de données comme Postgres ou MySQL à côté. Si votre VPS utilise un disque mécanique en 2026, l’interface utilisateur de Portainer semblera lente bien avant que la RAM ne le soit. Notre conseil : mettez à niveau le disque avant le plan.

Comment Installer Docker et Portainer sur un VPS ?

Formulaire de configuration initiale de Portainer.io pour la création d'un compte administrateur avec nom d'utilisateur, mot de passe nécessitant au minimum 12 caractères, et collecte de statistiques optionnelle.

Il faut six étapes et environ 30 minutes, la plupart du temps étant consacrée à l’attente des téléchargements d’images.

1. Choisis Une Distribution Linux

Ubuntu 22.04 ou 24.04 LTS est le chemin de la moindre résistance. Ubuntu est ce que le VPS Auto-Géré de DreamHost utilise par défaut, et la plupart des extraits d’installation de Docker et des discussions d’aide de la communauté le supposent. Debian et AlmaLinux fonctionnent également, cependant.

Pas sûr de savoir quelle version d’Ubuntu tu utilises ? Apprends cinq manières de vérifier.

2. Installez Docker depuis le dépôt officiel

Ne apt install docker.io pas. Cela télécharge une ancienne version de Docker depuis l’archive Ubuntu.

Utilise plutôt le dépôt apt propre de Docker selon la documentation officielle d’installation de Docker, ce qui ajoute la clé GPG de Docker, le dépôt, et docker-ce ainsi que le plugin Compose en une seule fois.

3. Vérifiez que Docker est en fonctionnement

Exécute docker run hello-world.

Si tu ne reçois pas le message « Hello from Docker! », corrige le démon avant d’ajouter Portainer par-dessus.

4. Créer un volume persistant pour les données de Portainer

Ensuite, exécute docker volume create portainer_data.

Garder la base de données de Portainer sur un volume Docker (et non à l’intérieur du conteneur) signifie qu’une mise à niveau de Portainer n’effacera pas ta configuration.

5. Exécuter l’Édition Communautaire de Portainer

Utilise la commande d’installation officielle depuis le document d’installation de Portainer pour Linux:

  docker run -d 
  -p 8000:8000 
  -p 9443:9443 
  --name portainer 
  --restart=always 
  -v /var/run/docker.sock:/var/run/docker.sock 
  -v portainer_data:/data 
  portainer/portainer-ce:lts

Décomposons cela ligne par ligne :

  • -d le fait tourner en mode détaché.
  • -p 9443:9443 est l’interface utilisateur web de Portainer sur HTTPS.
  • -p 8000:8000 est le tunnel de l’Agent Edge ; tu en as besoin seulement si tu envisages de connecter des environnements distants (Docker, Swarm, ou Kubernetes) via des Agents Edge plus tard, donc omet-le lors d’une installation sur un seul hôte.
  • --restart=always redémarre Portainer après un redémarrage.
  • -v les indicateurs sont la liaison de socket et le volume persistant de l’étape 4.
  • :lts l’étiquette est le canal de sortie de soutien à long terme de Portainer — la version stable recommandée pour la production.

6. Ouvre L’interface utilisateur et crée ton compte administrateur

Oriente ton navigateur vers https://YOUR_VPS_IP:9443.

Cliquez pour passer l’avertissement du certificat auto-signé. Tu arriveras sur l’écran de “création de l’utilisateur administrateur initial”. Choisis un nom d’utilisateur qui n’est pas admin, définis un mot de passe fort et sauvegarde-le quelque part de sûr. Et… tu es dedans !

Pourquoi Portainer Vient-Il Juste De Se Mettre En Temps Mort ?

Parce que Portainer attend exactement cinq minutes pour que quelqu’un le réclame lors de la première installation. Si personne ne le fait, il verrouille la porte.

Extrait du FAQ propre à Portainer :

Comme mesure de sécurité, lors de la première installation de Portainer, il attendra 5 minutes pour qu’un utilisateur administrateur soit créé. Si un utilisateur n’est pas créé dans ces 5 minutes, le serveur Portainer cessera d’écouter les demandes.

Traduction : si tu as passé l’étape 5 à faire un sandwich, ton installation refuse maintenant de te parler — et tu n’as rien fait de mal.

La solution est simple. Exécute docker restart portainer.

Cela redémarre le conteneur, te donne une autre fenêtre de cinq minutes et te laisse sur l’écran de création d’administrateur. Répète autant que nécessaire. Bienvenue dans l’auto-hébergement.

Si tu scripts l’installation pour une flotte (Ansible, Terraform, un pipeline de déploiement), Portainer accepte un drapeau --admin-password-file au démarrage qui contourne entièrement le minuteur en créant l’utilisateur admin à partir d’un fichier lors de la première exécution. Le document d’installation couvre la syntaxe. Pour une installation VPS ponctuelle, l’astuce de redémarrage suffit.

Comment Empêcher Docker De Contourner Ton Pare-feu ?

Comparaison de pare-feu Docker : sans la règle DOCKER-USER permet un accès non restreint au conteneur, avec la règle DOCKER-USER ajoute une protection par pare-feu.

Celle-ci surprend les gens en production, pas seulement en développement — alors écoute bien.

Quand tu docker run -p 80:80, le port publié est accessible depuis Internet même si ufw status indique que le port 80 est refusé. Docker achemine le trafic des conteneurs dans la table NAT, ce qui signifie que les paquets sont détournés avant d’atteindre les chaînes INPUT et OUTPUT utilisées par UFW.

UFW n’est pas cassé. Il se trouve simplement dans le mauvais couloir.

La solution que Docker recommande lui-même est la chaîne iptables DOCKER-USER, réservée aux règles de l’administrateur afin que Docker ne les écrase pas lors d’un redémarrage. (Les règles ne survivent pas à un redémarrage complet de l’hôte par elles-mêmes — persistez-les avec iptables-persistent ou un service systemd ; ufw-docker s’en charge pour vous.) L’outil standard de la communauté pour intégrer UFW dans DOCKER-USER est chaifeng/ufw-docker, qui automatise la génération de règles.

Installe-le, puis vérifie avec un scan de port depuis l’extérieur de ton VPS que les ports que tu penses fermés sont effectivement fermés.

J’ai vu cela piéger un ingénieur compétent deux fois dans la même semaine, d’abord sur un ordinateur personnel, puis sur celui d’un client. UFW disait une chose, l’internet public en disait une autre, et la vérité était dans iptables.

Pour Portainer spécifiquement, le port 9443 est publié, ce qui signifie que l’interface administrateur est accessible de partout sur Internet public dès que le conteneur démarre. Deux chemins raisonnables : restreindre le 9443 à travers les règles DOCKER-USER (autoriser uniquement votre IP de domicile ou de bureau), ou le protéger avec un tunnel VPN comme WireGuard afin que l’interface ne dispose jamais d’une IP publique.

Que Dois-Tu Sécuriser Juste Après La Première Connexion ?

Tu es dedans. Cinq choses à faire avant de fermer cet onglet de navigateur, selon le guide de sécurité de Portainer :

  • Forcer HTTPS uniquement. Portainer utilise HTTPS sur 9443 par défaut mais ne l’impose pas. Active le bouton dans Paramètres pour que l’interface utilisateur refuse complètement HTTP.
  • Remplacer le certificat auto-signé. Télécharge un certificat que tu as généré, ou place Portainer derrière un proxy inverse NGINX avec un certificat de Let’s Encrypt. Après le premier jour, cliquer à chaque fois pour passer l’avertissement du navigateur est une habitude que tu regretteras.
  • Utiliser un vrai nom d’administrateur. “Admin” est la première supposition dans toute tentative de remplissage de credentials. Choisis quelque chose de spécifique pour toi.
  • Restreindre l’interface utilisateur à un VPN. WireGuard est le modèle recommandé par Portainer. Un 9443 public avec de solides identifiants est correct. Un 9443 accessible uniquement sur un réseau privé est mieux.
  • Auditer la liaison du socket Docker. Tout ce qui a un accès en lecture à /var/run/docker.sock peut exécuter n’importe quoi en tant que root sur l’hôte. Ne pas monter le socket à la légère dans d’autres conteneurs. Chaque liaison supplémentaire est un nouveau chemin vers l’hôte. Si un conteneur prétend avoir besoin du socket, demande pourquoi — et envisage un proxy de socket si la réponse est “pour la surveillance.”

Comment Utilises-Tu Vraiment Portainer Au Quotidien ?

La récompense pour avoir installé Portainer est le jour où tu arrêtes de te connecter en SSH pour redémarrer un conteneur capricieux, et où tu commences à cliquer sur un bouton à la place. La récompense encore plus grande est la gestion des piles.

Une stack Portainer est une application multi-conteneurs définie par un fichier Docker Compose. Tout ce que tu peux exprimer en tant que docker-compose.yml peut être déployé sous forme de stack, avec trois principales voies (à l’exception des modèles personnalisés) selon la documentation officielle des stacks:

  • Colle Compose dans l’interface utilisateur
  • Charge un fichier Compose
  • Dirige Portainer vers un dépôt Git
Tableau de bord Portainer.io montrant les détails des piles avec table des conteneurs, logs, stats et contrôles de gestion pour les conteneurs Docker.

Le chemin Git est celui qui compte. Tu orientes Portainer vers un dépôt public ou authentifié et un chemin vers docker-compose.yml. Portainer interroge soit le dépôt selon un calendrier (par défaut toutes les cinq minutes), soit attend une webhook de GitHub. Lorsque le fichier Compose change en amont, Portainer le récupère et redéploie automatiquement.

C’est la version auto-hébergée de “déploiement au push” sans payer un PaaS pour le privilège.

Les petites victoires quotidiennes s’accumulent également. Imagine des logs dans un tableau de bord au lieu de docker logs -f, des redémarrages en un clic, la reconstruction d’une pile à partir d’un bouton, et des graphiques de ressources que tu peux scanner en trois secondes au lieu de lancer Docker stats.

Portainer prend également en charge les hôtes Docker distants via son agent Edge, ce qui permet à un assistant IA auto-hébergé ou à un serveur multimédia de se déployer sur plusieurs boîtes.

Quel Est Le Coût De Portainer ? (Et Quand Le Gratuit Cesse-t-il D’être Gratuit ?)

L’édition communautaire de Portainer est gratuite et illimitée, point final. L’installation que tu viens de réaliser est entièrement fonctionnelle pour un hôte avec autant de conteneurs que ton VPS peut contenir. Aucune limite de nœuds, pas d’expiration, pas d’écrans de rappel.

ÉditionCoûtNœudsIdéal pour
Édition communautaireGratuit, open-sourceIllimitéProjets personnels, homelab, auto-hébergement sur un seul VPS
Édition Business (Prise 3)Gratuit perpétuellementJusqu’à 3Petits homelabs souhaitant RBAC et journaux d’audit
Starter BusinessÀ partir de 99 $/mois5, 10, ou 15Petites équipes gérant une infrastructure réelle
Échelle BusinessÀ partir de 199 $/moisJusqu’à 25Équipes en croissance nécessitant un support 9×5
EntrepriseDevisIllimitéConformité et besoins 24/7

Le niveau gratuit perpétuel à trois nœuds (appelé Take 3) vaut la peine d’être connu : tu renouvelles la licence annuellement sans frais tant que tu restes à trois nœuds ou moins.

C’est le bon plan pour la plupart des laboratoires à domicile et les petites équipes qui souhaitent un contrôle d’accès basé sur les rôles (RBAC), des journaux d’audit et des journaux d’activité sans payer. Au-dessus de cela, Business Starter est à 99 $/mois sur la page de tarification business de Portainer pour 5/10/15 nœuds ; Scale est à 199 $/mois jusqu’à 25 nœuds ; et Enterprise est sur devis.

Pour presque tout le monde qui lit ceci, le meilleur choix est l’Édition Communautaire. Elle servira un auto-hébergement sur un seul VPS pour la durée de vie de la boîte. Les éditions Business ne justifient leur coût que lorsque vous gérez de réels comptes de nœuds, avez besoin de RBAC au sein d’une équipe, ou nécessitez un support commercial pour la conformité.

Dois-Tu Ajouter Portainer Ou L’Ignorer ?

Voici la réponse honnête en deux phrases :

✅ Si tu prévois de partager ce serveur, de déployer depuis Git, ou de lancer plus de trois conteneurs d’ici un an, installe Portainer pendant que l’hôte est neuf et que tes habitudes commencent à se former autour de lui.

❌ Si tu fais fonctionner une application discrète et que tu es à l’aise dans le terminal, l’interface utilisateur que tu n’as pas installée ne te manquera pas.

La vraie question n’est pas Portainer ou pas Portainer. C’est si l’auto-hébergement est la bonne décision pour toi — et tu as répondu à cela en ouvrant cet onglet.

Un VPS de 4 Go, Docker et Portainer CE t’emmènent plus loin que ce que la plupart des gens imaginent — une pile d’automatisation, un serveur de photos, une plateforme de newsletter et un assistant IA local — pour moins que ce que tu paies probablement pour deux services de streaming que tu regardes à peine.

Ce n’est pas une mauvaise affaire pour une boîte que tu possèdes réellement.

Questions Fréquemment Posées Sur Docker et Portainer

À quoi sert Portainer ?

Portainer est utilisé pour gérer les conteneurs Docker, Docker Swarm et Kubernetes via une interface web. Il fonctionne comme un conteneur Docker lui-même, se connecte au socket Docker de l’hôte et te donne une vue sur le navigateur et une surface de contrôle sur tous les autres conteneurs de l’hôte — démarrer et arrêter des conteneurs, déployer des piles multi-conteneurs, visualiser les logs et gérer l’accès utilisateur sans avoir besoin de se connecter en SSH.

Ai-je besoin de Portainer si j’ai Docker ?

Non, tu n’as pas besoin de Portainer pour utiliser Docker. Docker fonctionne entièrement depuis le terminal, et de nombreux auto-hébergeurs n’installent jamais d’interface utilisateur dessus.

Portainer prouve son utilité lorsque tu jongles avec plus de deux ou trois conteneurs, partages l’accès avec quelqu’un qui n’utilise pas un terminal, ou déploies des mises à jour de pile depuis un dépôt Git. Omet-le si tu gères un ou deux conteneurs stables et que tu es à l’aise avec Docker Compose.

Sur quel port fonctionne Portainer ?

Portainer fonctionne sur le port 9443 par défaut pour l’accès HTTPS à l’interface web, ainsi que sur le port 8000 pour le tunnel de l’Edge Agent si tu connectes des hôtes Docker distants plus tard. Le port 8000 est facultatif sur une installation mono-hôte; tu peux supprimer le drapeau -p 8000:8000 de la commande d’installation sans affecter l’interface locale. Les valeurs par défaut proviennent directement de la documentation officielle d’installation de Portainer pour Linux.

Quelle quantité de RAM Portainer nécessite-t-il ?

Portainer seul utilise environ 100 MB avant de charger quoi que ce soit d’autre. Ajoutez quelques centaines de MB pour le démon Docker, puis dimensionnez en fonction de ce que vous exécutez réellement.

Chez DreamHost, nous dimensionnons notre VPS Auto-Géré de niveau d’entrée à 4 GB de RAM pour exactement ce type de charge de travail — assez de marge pour Portainer plus une petite pile de conteneurs de projets annexes comme Ghost, n8n, une base de données Postgres, et un proxy inverse.

Portainer est-il gratuit ?

Oui. L’édition communautaire de Portainer est totalement gratuite, et l’édition Business dispose également d’un niveau gratuit perpétuel de 3 nœuds appelé Take 3, qui se renouvelle annuellement sans frais tant que tu restes à trois nœuds ou moins. Au-delà de trois nœuds, le prix du Business commence à 99 $/mo sur le plan Starter par la page de tarification business de Portainer.

Quelle est la différence entre Portainer CE et l’édition Business ?

Portainer Community Edition est gratuit, open-source, et entièrement équipé pour une utilisation personnelle.

Édition Business ajoute le contrôle d’accès basé sur les rôles, les journaux d’audit, les journaux d’activité, et le support commercial, et commence à partir de 99 $/mois pour 5 nœuds après le niveau gratuit perpétuel de 3 nœuds Take 3.

Portainer peut-il gérer plusieurs hôtes Docker ?

Oui, Portainer peut gérer plusieurs hôtes Docker via des agents de bord, qui fonctionnent sur chaque hôte distant et interrogent le serveur central Portainer sur le port de l’interface utilisateur, le port 8000 étant utilisé pour ouvrir un tunnel sécurisé pour les commandes de gestion. Pour les auto-hébergeurs avec un seul VPS, cela est excessif. Pour quiconque gère trois boîtes ou plus partageant un plan de contrôle, c’est pourquoi 8000 est dans la ligne d’installation.

Docker contourne-t-il UFW sur un VPS ?

Oui, Docker contourne UFW par défaut parce que Docker gère le trafic des conteneurs au niveau de la couche NAT d’iptables, qui se situe devant les chaînes INPUT et OUTPUT d’UFW.

Selon la documentation de filtrage de paquets de Docker, “Les paquets sont déviés avant d’atteindre les chaînes INPUT et OUTPUT que UFW utilise.” La solution est la chaîne iptables DOCKER-USER, et l’outil standard de la communauté pour intégrer UFW est chaifeng/ufw-docker.

VPS

Maîtrisez toute votre stack. Applications, IA, bases de données et plus encore.

Gardez chaque identifiant et chaque conversation sur un serveur que vous contrôlez, avec la vitesse NVMe et une bande passante illimitée intégrées.

Découvrez les forfaits d’hébergement VPS

Photo de Dallas Kashuba

Dallas Kashuba