Combien de conteneurs faut-il pour une architecture PrestaShop headless en production ?

Cinq conteneurs constituent le socle recommandé : MariaDB pour la base de données, Redis pour le cache, PrestaShop (PHP-FPM) pour le back-office et l'API, Nuxt (Node) pour le frontend SSR, et Nginx comme reverse proxy et point d'entrée unique. Cette séparation permet de scaler, isoler et redémarrer chaque service indépendamment.

Pourquoi PrestaShop plante-t-il avec une erreur 500 au premier docker-compose up ?

Dans la grande majorité des cas, c'est une race condition : PrestaShop tente de se connecter à MariaDB avant que la base soit initialisée. Le conteneur MariaDB peut afficher un statut 'running' sans être prêt à accepter des connexions. La solution est d'ajouter un healthcheck basé sur mysqladmin ping et d'utiliser depends_on avec condition: service_healthy.

Comment empêcher MariaDB et Redis d'être accessibles depuis l'extérieur ?

Créez un réseau Docker interne (internal: true) dédié aux services de données. MariaDB et Redis ne sont rattachés qu'à ce réseau. Seul PrestaShop est présent sur les deux réseaux (interne et frontend), et Nginx est le seul service qui publie des ports vers l'hôte. Ainsi, aucun scan de ports ne peut atteindre la base ou le cache.

Faut-il utiliser des bind mounts ou des volumes nommés pour PrestaShop ?

Les deux, selon l'usage. Utilisez un volume nommé pour MariaDB (données persistantes gérées par Docker). Utilisez un bind mount pour les modules custom PrestaShop afin de garder le code sur l'hôte, versionné dans Git. Les assets statiques Nuxt sont montés en lecture seule dans Nginx.

Comment configurer le healthcheck MariaDB dans docker-compose.yml ?

Ajoutez un bloc healthcheck dans le service MariaDB avec la commande mysqladmin ping -h 127.0.0.1 --silent. Configurez un interval de 5 secondes, un timeout de 3 secondes, 10 retries et un start_period de 30 secondes pour laisser le temps à l'initialisation InnoDB au premier lancement.

Quel est l'intérêt de Nginx devant Nuxt et PrestaShop ?

Nginx sert de point d'entrée unique sur les ports 80 et 443. Il distribue les requêtes vers PHP-FPM (PrestaShop) ou Node (Nuxt SSR) selon le chemin URL, et sert directement les fichiers statiques (JS, CSS, images) sans solliciter Node. Cela réduit la consommation mémoire et améliore le TTFB.

Comment éviter de commiter les secrets (.env) dans le dépôt Git ?

Ajoutez .env à votre .gitignore et .dockerignore. Dans le docker-compose.yml, utilisez la directive env_file pour charger les variables d'environnement depuis ce fichier. Ne codez jamais de mots de passe en dur dans le YAML ou dans les Dockerfiles, car ils sont stockés dans les layers de l'image.

Quelle est la différence entre depends_on simple et depends_on avec condition ?

Le depends_on simple garantit uniquement l'ordre de démarrage des conteneurs, pas leur état de santé. Avec condition: service_healthy, Docker attend que le healthcheck du service dépendant retourne un statut sain avant de lancer le conteneur suivant. C'est indispensable pour éviter les race conditions PrestaShop/MariaDB.

Comment sauvegarder la base MariaDB dans une architecture Docker ?

Utilisez un volume nommé (par exemple mariadb_data:/var/lib/mysql) pour la persistance. Pour les sauvegardes, exécutez mysqldump via docker exec ou utilisez un conteneur dédié qui se connecte au réseau interne. Le volume nommé survit aux docker-compose down, mais pas au flag -v qui supprime explicitement les volumes.

Peut-on scaler le frontend Nuxt indépendamment de PrestaShop ?

Oui, c'est l'un des avantages majeurs de cette architecture découplée. Vous pouvez augmenter le nombre de réplicas Nuxt derrière Nginx avec docker-compose scale ou en passant à Docker Swarm / Kubernetes. PrestaShop et MariaDB restent sur leurs instances dédiées sans être impactés par la montée en charge frontend.

Quel gain de performance apporte le SSR Nuxt par rapport à un thème PrestaShop classique ?

Sur les mesures terrain du Hub Pro, le TTFB a été réduit de 40 à 60 % grâce au rendu serveur Nuxt combiné au cache Redis en amont. Le HTML est pré-rendu côté serveur, ce qui améliore significativement le LCP et les scores Core Web Vitals mesurés par Google.

Comment gérer les mises à jour PrestaShop dans une architecture Docker ?

L'image PrestaShop est définie dans le Dockerfile ou référencée dans le docker-compose.yml. Pour mettre à jour, modifiez la version de l'image, lancez un docker-compose pull puis docker-compose up -d. Les modules custom montés en bind mount ne sont pas affectés. Testez toujours en staging avant de déployer en production.

Faut-il utiliser Docker Compose ou Kubernetes pour PrestaShop headless ?

Docker Compose est parfaitement adapté pour un déploiement sur un ou deux serveurs, ce qui couvre la majorité des boutiques PrestaShop. Kubernetes n'est justifié que si vous avez besoin d'auto-scaling horizontal sur plusieurs nœuds ou d'une haute disponibilité multi-zone. Pour 90 % des projets e-commerce, Compose offre le meilleur ratio simplicité/fiabilité.

Comment sécuriser les conteneurs Docker en production ?

Appliquez le principe du moindre privilège : exécutez les processus en utilisateur non-root dans les conteneurs, isolez les services de données sur un réseau interne, ne publiez que les ports strictement nécessaires (80/443 via Nginx), et ne stockez jamais de secrets dans les images ou le YAML. Le rapport Sysdig 2024 indique que 38 % des attaques cloud exploitent des secrets mal gérés.

Quelle est l'étape suivante après avoir mis en place l'architecture Docker ?

L'étape logique est d'automatiser le déploiement avec un pipeline CI/CD. GitHub Actions peut builder les images, exécuter les tests, et déployer la stack Docker sur votre serveur à chaque push sur la branche principale. Cela élimine les déploiements manuels et réduit les risques d'erreur humaine.

prestashop

Docker PrestaShop Headless : Architecture multi-conteneurs pour la production

Docker PrestaShop headless : structurez une architecture multi-conteneurs robuste avec MariaDB, Redis, Nuxt et Nginx. Retour d'expérience terrain et YAML prêt p

Publié le 17 mars 2026 8 min de lecture Alexandre Carette

Partager LinkedIn Facebook

Monter un Docker PrestaShop headless qui fonctionne sur votre machine locale, c'est l'affaire d'une heure. Le faire tenir en production sans crash à froid, sans fuite de secrets et sans race condition au redémarrage, c'est une autre histoire. Après 193 projets PrestaShop livrés, j'ai constaté que la majorité des architectures Docker que j'audite tombent dans les mêmes pièges — des pièges qui ne se révèlent qu'en conditions réelles, jamais dans un tutoriel Hello World.

Si vous cherchez d'abord à comprendre pourquoi découpler PrestaShop d'un frontend Nuxt et ce que cette stack apporte en termes de performance et de flexibilité, je vous recommande de lire d'abord les coulisses de mon Hub Pro headless. L'article que vous lisez maintenant plonge dans le comment technique DevOps : la conception du docker-compose.yml, le câblage réseau, la persistance des données et les healthchecks qui font la différence entre un POC fragile et un setup de production fiable. Voici le plan : diagnostic des erreurs classiques, architecture détaillée des 5 services, isolation réseau et volumes, puis les solutions concrètes pour fiabiliser l'ensemble.

Les problématiques courantes d'une architecture Docker PrestaShop naïve

Problématique	Cause principale	Impact métier
Crash au démarrage à froid (erreur 500 générique)	PrestaShop tente de se connecter à MariaDB avant que la base ne soit initialisée — aucun `healthcheck` ni `depends_on` conditionnel	Downtime à chaque redémarrage VPS ou déploiement, perte de commandes en cours
Base de données ou Redis accessibles depuis l'extérieur	Services exposés sur `0.0.0.0` par défaut, ports publiés sans restriction	Surface d'attaque élargie, risque d'exfiltration de données clients (RGPD)
Volumes mal montés : perte de modules custom au rebuild	Confusion entre bind mounts et volumes anonymes, chemins erronés dans le `docker-compose.yml`	Régression fonctionnelle en production, heures de debug pour retrouver les fichiers
Secrets commités dans le dépôt Git	Fichier `.env` non exclu du versioning, mots de passe en clair dans le YAML ou dans les layers de l'image	Compromission des accès BDD et back-office — 38 % des vecteurs d'attaque cloud sont liés à des secrets mal gérés selon le Sysdig 2024 Cloud-Native Security Report
Assets Nuxt servis par Node au lieu de Nginx	Absence de reverse proxy dédié aux fichiers statiques	TTFB dégradé, consommation mémoire Node inutile, scores Core Web Vitals en chute

Anatomie du docker-compose.yml : les 5 services clés

Selon le Stack Overflow Developer Survey 2024, 87 % des développeurs utilisent Docker en environnement de développement. Pourtant, la transition vers une architecture multi-conteneurs de production exige une rigueur que le mode dev ne demande pas. Voici la structure que j'utilise sur mon propre Hub Pro et que je déploie chez mes clients.

Les cinq services et leur rôle précis dans la chaîne :

MariaDB — le moteur de persistance. Volume nommé mariadb_data pour garantir la survie des données entre les rebuilds. Aucun port publié vers l'hôte : il n'écoute que sur le réseau interne Docker.
Redis — cache objet et cache de sessions PrestaShop. Même logique d'isolation réseau. Il accélère les requêtes API consommées par le frontend Nuxt et réduit la charge sur MariaDB.
PrestaShop (PHP-FPM) — le back-office et l'API webservices. Il expose son socket PHP-FPM à Nginx via un réseau partagé, mais n'est jamais directement accessible depuis l'extérieur. Les modules custom sont montés en bind mount depuis le répertoire hôte.
Nuxt (Node SSR) — le frontend headless. Il consomme l'API PrestaShop pour le rendu côté serveur (SSR), ce qui permet de réduire le TTFB de 40 à 60 % par rapport à un thème PrestaShop classique, d'après mes mesures terrain sur le Hub Pro — un chiffre cohérent avec les benchmarks Core Web Vitals de web.dev.
Nginx — le seul point d'entrée exposé (ports 80/443). Il sert de reverse proxy vers PHP-FPM et Node, et distribue directement les assets statiques générés par Nuxt (.output/public).

Networking Docker : isoler pour sécuriser

C'est le point que je vois le plus souvent bâclé. Par défaut, Docker Compose crée un réseau bridge unique où tous les services se voient. En production, c'est une faille : si le conteneur Nginx est compromis, l'attaquant a un accès direct à MariaDB. La documentation officielle Docker sur les réseaux bridge recommande explicitement de segmenter les services.

La bonne pratique est de définir deux réseaux dans votre docker-compose.yml :

frontend_net — réseau partagé entre Nginx, PrestaShop (PHP-FPM) et Nuxt. C'est le seul réseau connecté à l'hôte via les ports publiés de Nginx.
backend_net — réseau interne (internal: true) réservé à MariaDB, Redis et PrestaShop. MariaDB et Redis n'ont aucune route vers l'extérieur. PrestaShop est le seul service présent sur les deux réseaux, car il doit à la fois répondre à Nginx et interroger la base.

Concrètement, cela donne dans la section networks du Compose :

networks:
  frontend_net:
    driver: bridge
  backend_net:
    driver: bridge
    internal: true

Avec cette topologie, même un scan de ports agressif depuis l'extérieur ne verra jamais MariaDB (3306) ni Redis (6379). C'est une mesure simple qui élimine une surface d'attaque majeure, conforme aux Docker security best practices.

Volumes et persistance : ce qu'il faut monter, et comment

Trois stratégies de montage coexistent dans cette architecture :

Volume nommé pour MariaDB (mariadb_data:/var/lib/mysql) — géré par Docker, sauvegardable via docker volume inspect, insensible aux docker-compose down sans le flag -v.
Bind mount pour les modules PrestaShop custom (./modules/custom:/var/www/html/modules/custom) — le code source reste sur l'hôte, versionné dans Git. Au rebuild, les modules sont immédiatement disponibles sans copie manuelle.
Assets statiques Nuxt servis par Nginx — le dossier .output/public de Nuxt est monté en lecture seule dans Nginx. Les fichiers JS, CSS et images sont servis directement sans passer par Node, ce qui libère le processus SSR pour le rendu dynamique.

Healthchecks et ordre de démarrage : la leçon apprise à la dure

Sur mon propre Hub Pro, j'ai perdu 3 heures à déboguer un crash au démarrage. PrestaShop tentait de se connecter à MariaDB avant que la base ne soit initialisée. Le symptôme était trompeur : une erreur 500 générique dans les logs PHP, sans mention explicite de la base de données. Le conteneur MariaDB affichait pourtant un statut running — mais running ne signifie pas ready.

La solution définitive repose sur deux mécanismes combinés, documentés dans la référence officielle des services docker-compose :

services:
  mariadb:
    image: mariadb:11
    healthcheck:
      test: ["CMD", "mysqladmin", "ping", "-h", "127.0.0.1", "--silent"]
      interval: 5s
      timeout: 3s
      retries: 10
      start_period: 30s
    volumes:
      - mariadb_data:/var/lib/mysql
    networks:
      - backend_net
    env_file: .env

  prestashop:
    depends_on:
      mariadb:
        condition: service_healthy
      redis:
        condition: service_healthy

Le start_period de 30 secondes laisse le temps à MariaDB d'initialiser les tablespaces InnoDB au premier lancement. Le depends_on avec condition: service_healthy garantit que PrestaShop ne démarre qu'une fois la base réellement prête à accepter des connexions. Depuis cette mise en place, zéro crash à froid en production, y compris après les redémarrages automatiques du VPS.

Dans un projet récent pour un client e-commerce dans le secteur du mobilier (catalogue de 12 000 références), la même race condition provoquait des erreurs intermittentes en staging. L'ajout du healthcheck a non seulement résolu le problème, mais a aussi réduit le temps de déploiement perçu par l'équipe : plus besoin de relancer manuellement les conteneurs après un docker-compose up.

Les solutions pour fiabiliser votre architecture Docker PrestaShop headless

Solution	Complexité	Gain estimé
Healthchecks MariaDB/Redis + `depends_on: condition`	Faible	Élimination des crashs au démarrage à froid — fiabilité 100 % au reboot
Double réseau Docker (frontend_net / backend_net interne)	Faible	Suppression de la surface d'attaque réseau sur les services de données
Volumes nommés pour MariaDB + bind mounts pour le code custom	Faible	Zéro perte de données au rebuild, workflow Git préservé pour les modules
Fichier `.env` exclu du versioning + `env_file` dans le Compose	Faible	Secrets hors du dépôt Git — conformité sécurité et RGPD
Nginx comme unique point d'entrée + assets Nuxt en lecture seule	Moyenne	Réduction du TTFB de 40-60 %, décharge du processus Node SSR
Restart policy `unless-stopped` sur tous les services	Faible	Reprise automatique après crash OOM ou reboot serveur

"By default, Docker starts a container with a restricted set of capabilities. […] Manage secrets in a way that makes it difficult to accidentally expose them. Use Docker secrets or environment variables loaded from files."
— Docker Documentation, Docker security (2025)

Conclusion : de l'architecture Docker au pipeline de déploiement

Structurer une architecture Docker PrestaShop headless pour la production ne se résume pas à empiler des services dans un fichier YAML. Les décisions qui comptent sont celles qu'on ne voit pas dans un tutoriel : l'isolation réseau qui bloque une attaque latérale, le healthcheck qui évite 3 heures de debug à froid, le volume nommé qui sauve vos données quand un docker-compose down -v accidentel survient. Chaque choix documenté dans cet article est issu de situations réelles rencontrées en production.

Cette architecture Docker est le socle technique. L'étape suivante est de l'automatiser : construire un pipeline CI/CD avec GitHub Actions qui build, teste et déploie cette stack à chaque push. C'est la suite logique de ce parcours technique.

Vous souhaitez structurer ou auditer votre architecture Docker PrestaShop headless pour la production ? Discutons de votre projet : contact@alexandrecarette.fr

Sources et références

Articles dans le même univers

Questions fréquentes

Tout ce que vous devez savoir sur ce sujet.

: Cinq conteneurs constituent le socle recommandé : MariaDB pour la base de données, Redis pour le cache, PrestaShop (PHP-FPM) pour le back-office et l'API, Nuxt (Node) pour le frontend SSR, et Nginx comme reverse proxy et point d'entrée unique. Cette séparation permet de scaler, isoler et redémarrer chaque service indépendamment.
: Dans la grande majorité des cas, c'est une race condition : PrestaShop tente de se connecter à MariaDB avant que la base soit initialisée. Le conteneur MariaDB peut afficher un statut 'running' sans être prêt à accepter des connexions. La solution est d'ajouter un healthcheck basé sur mysqladmin ping et d'utiliser depends_on avec condition: service_healthy.
: Créez un réseau Docker interne (internal: true) dédié aux services de données. MariaDB et Redis ne sont rattachés qu'à ce réseau. Seul PrestaShop est présent sur les deux réseaux (interne et frontend), et Nginx est le seul service qui publie des ports vers l'hôte. Ainsi, aucun scan de ports ne peut atteindre la base ou le cache.
: Les deux, selon l'usage. Utilisez un volume nommé pour MariaDB (données persistantes gérées par Docker). Utilisez un bind mount pour les modules custom PrestaShop afin de garder le code sur l'hôte, versionné dans Git. Les assets statiques Nuxt sont montés en lecture seule dans Nginx.
: Ajoutez un bloc healthcheck dans le service MariaDB avec la commande mysqladmin ping -h 127.0.0.1 --silent. Configurez un interval de 5 secondes, un timeout de 3 secondes, 10 retries et un start_period de 30 secondes pour laisser le temps à l'initialisation InnoDB au premier lancement.
: Nginx sert de point d'entrée unique sur les ports 80 et 443. Il distribue les requêtes vers PHP-FPM (PrestaShop) ou Node (Nuxt SSR) selon le chemin URL, et sert directement les fichiers statiques (JS, CSS, images) sans solliciter Node. Cela réduit la consommation mémoire et améliore le TTFB.
: Ajoutez .env à votre .gitignore et .dockerignore. Dans le docker-compose.yml, utilisez la directive env_file pour charger les variables d'environnement depuis ce fichier. Ne codez jamais de mots de passe en dur dans le YAML ou dans les Dockerfiles, car ils sont stockés dans les layers de l'image.
: Le depends_on simple garantit uniquement l'ordre de démarrage des conteneurs, pas leur état de santé. Avec condition: service_healthy, Docker attend que le healthcheck du service dépendant retourne un statut sain avant de lancer le conteneur suivant. C'est indispensable pour éviter les race conditions PrestaShop/MariaDB.
: Utilisez un volume nommé (par exemple mariadb_data:/var/lib/mysql) pour la persistance. Pour les sauvegardes, exécutez mysqldump via docker exec ou utilisez un conteneur dédié qui se connecte au réseau interne. Le volume nommé survit aux docker-compose down, mais pas au flag -v qui supprime explicitement les volumes.
: Oui, c'est l'un des avantages majeurs de cette architecture découplée. Vous pouvez augmenter le nombre de réplicas Nuxt derrière Nginx avec docker-compose scale ou en passant à Docker Swarm / Kubernetes. PrestaShop et MariaDB restent sur leurs instances dédiées sans être impactés par la montée en charge frontend.
: Sur les mesures terrain du Hub Pro, le TTFB a été réduit de 40 à 60 % grâce au rendu serveur Nuxt combiné au cache Redis en amont. Le HTML est pré-rendu côté serveur, ce qui améliore significativement le LCP et les scores Core Web Vitals mesurés par Google.
: L'image PrestaShop est définie dans le Dockerfile ou référencée dans le docker-compose.yml. Pour mettre à jour, modifiez la version de l'image, lancez un docker-compose pull puis docker-compose up -d. Les modules custom montés en bind mount ne sont pas affectés. Testez toujours en staging avant de déployer en production.
: Docker Compose est parfaitement adapté pour un déploiement sur un ou deux serveurs, ce qui couvre la majorité des boutiques PrestaShop. Kubernetes n'est justifié que si vous avez besoin d'auto-scaling horizontal sur plusieurs nœuds ou d'une haute disponibilité multi-zone. Pour 90 % des projets e-commerce, Compose offre le meilleur ratio simplicité/fiabilité.
: Appliquez le principe du moindre privilège : exécutez les processus en utilisateur non-root dans les conteneurs, isolez les services de données sur un réseau interne, ne publiez que les ports strictement nécessaires (80/443 via Nginx), et ne stockez jamais de secrets dans les images ou le YAML. Le rapport Sysdig 2024 indique que 38 % des attaques cloud exploitent des secrets mal gérés.
: L'étape logique est d'automatiser le déploiement avec un pipeline CI/CD. GitHub Actions peut builder les images, exécuter les tests, et déployer la stack Docker sur votre serveur à chaque push sur la branche principale. Cela élimine les déploiements manuels et réduit les risques d'erreur humaine.

Un projet PrestaShop ?

Discutons-en directement.

★★★★★

193 projets livrés

Alexandre Carette

Expert PrestaShop & Architecture E-commerce

Développeur PrestaShop freelance avec 10 ans d'expérience et 193 projets livrés. Je conçois des architectures headless Nuxt + PrestaShop, des pipelines DevOps Docker/CI-CD et des outils d'automatisation IA pour mes clients e-commerce.

contact@alexandrecarette.fr ← Tous les articles