Est-il correct d'exécuter docker depuis l'intérieur de docker?

J'exécute Jenkins dans un conteneur Docker. Je me demande s'il est acceptable que le conteneur Jenkins soit également un hôte Docker? Ce à quoi je pense, c'est de démarrer un nouveau conteneur de docker pour chaque build de test d'intégration depuis Jenkins (pour démarrer des bases de données, des courtiers de messages, etc.). Les conteneurs doivent donc être arrêtés une fois les tests d'intégration terminés. Y a-t-il une raison d'éviter d'exécuter des conteneurs Docker à partir d'un autre conteneur Docker de cette manière?

L'exécution de Docker dans Docker (alias dind ), bien que possible, doit être évitée, dans la mesure du possible. (Source fournie ci-dessous.) Au lieu de cela, vous souhaitez configurer un moyen pour votre conteneur principal de produire et de communiquer avec des conteneurs frères .

Jérôme Petazzoni - l'auteur de la fonctionnalité qui a permis à Docker de s'exécuter dans un conteneur Docker - a en fait écrit un article de blog disant de ne pas le faire . Le cas d'utilisation qu'il décrit correspond au cas d'utilisation exact de l'OP d'un conteneur CI Docker qui doit exécuter des tâches dans d'autres conteneurs Docker.

Petazzoni énumère deux raisons pour lesquelles la dind est gênante:

1. Il ne coopère pas bien avec les modules de sécurité Linux (LSM).
2. Cela crée une incompatibilité dans les systèmes de fichiers qui crée des problèmes pour les conteneurs créés à l'intérieur des conteneurs parents.

À partir de ce billet de blog, il décrit l'alternative suivante,

[Le] moyen le plus simple est d'exposer simplement le socket Docker à votre conteneur CI, en le montant en liaison avec l' -vindicateur.

En termes simples, lorsque vous démarrez votre conteneur CI (Jenkins ou autre), au lieu de pirater quelque chose avec Docker-in-Docker, démarrez-le avec:

docker run -v /var/run/docker.sock:/var/run/docker.sock ...

Désormais, ce conteneur aura accès au socket Docker, et pourra donc démarrer des conteneurs. Sauf qu'au lieu de démarrer des conteneurs "enfants", il lancera des conteneurs "frères".

J'ai déjà répondu à une question similaire sur la façon d'exécuter un conteneur Docker dans Docker .

Exécuter docker à l'intérieur de docker est certainement possible. L'essentiel est que vous ayez runle conteneur externe avec des privilèges supplémentaires (à commencer par --privileged=true), puis que vous installiez docker dans ce conteneur.

Consultez cet article de blog pour plus d'informations: Docker-in-Docker .

Un cas d'utilisation potentiel pour cela est décrit dans cette entrée . Le blog décrit comment créer des conteneurs Docker dans un conteneur Docker Jenkins.

Cependant, Docker dans Docker n'est pas l'approche recommandée pour résoudre ce type de problèmes. Au lieu de cela, l'approche recommandée consiste à créer des conteneurs «frères» comme décrit dans cet article

Ainsi, exécuter Docker dans Docker était par beaucoup considéré comme un bon type de solution pour ce type de problèmes. Maintenant, la tendance est d'utiliser des conteneurs "frères" à la place. Voir la réponse de @predmijat sur cette page pour plus d'informations.

Il est possible d'exécuter Docker-in-Docker (DinD) et en fait Docker (la société) a une image DinD officielle pour cela.

La mise en garde cependant est qu'il nécessite un conteneur privilégié, qui en fonction de vos besoins de sécurité peut ne pas être une alternative viable.

La solution alternative d'exécuter Docker à l'aide de conteneurs frères (aka Docker-out-of-Docker ou DooD) ne nécessite pas de conteneur privilégié, mais présente quelques inconvénients qui découlent du fait que vous lancez le conteneur à partir d'un contexte qui est différent de celui dans lequel il s'exécute (c'est-à-dire que vous lancez le conteneur depuis un conteneur, mais il s'exécute au niveau de l'hôte, pas à l'intérieur du conteneur).

J'ai écrit un blog décrivant les avantages / inconvénients de DinD vs DooD ici .

Cela dit, Nestybox (une startup que je viens de fonder) travaille sur une solution qui exécute un véritable Docker-in-Docker en toute sécurité (sans utiliser de conteneurs privilégiés). Vous pouvez le consulter sur www.nestybox.com .

Oui, nous pouvons exécuter docker dans le docker, nous devrons attacher le sockeet unix "/var/run/docker.sock" sur lequel le démon docker écoute par défaut en tant que volume le docker parent en utilisant "-v / var / run /docker.sock:/var/run/docker.sock ". Parfois, des problèmes de permissions peuvent survenir pour le socket du démon docker pour lequel vous pouvez écrire "sudo chmod 757 /var/run/docker.sock".

Et il faudrait également exécuter le docker en mode privilégié, de sorte que les commandes seraient:

sudo chmod 757 /var/run/docker.sock

docker run --privileged = true -v /var/run/docker.sock:/var/run/docker.sock -it ...