在本文中，我們將快速瞭解一下如何在一個容器裡裝載Docker sock以便建立其“兄弟”容器。我的一個同事稱之為DooD（Docker-outside-of-Docker），以區別於DinD（Docker-in-Docker），後者是在容器中安裝一個完整的隔離的Docker版本。DooD比DinD簡單得多（至少在配置方面），尤其是能重用並快取宿主上的映象。反之，如果你想實現映象對宿主的隱藏和隔離，則最好使用DinD。

為說明DooD的工作方式，我們將在一個Jenkins容器內使用DooD，從而能在Jenkins任務中建立並測試容器。我們希望使用Jenkins使用者來建立這些容器，因此會比使用root使用者稍微麻煩些。這有點很像Pini Reznik在“ 使用Docker、Mesos實現持續交付 ”中描述的技術，不過我們將使用 sudo 來避免Pini面臨的將使用者加入Docker組的問題。

我們使用官方Jenkins映象作為基礎，剩下的事情就很簡單了。

建立一個包容以下內容的Dockerfile：

FROM jenkins:1.596

USER root

RUN apt-get update \

&& apt-get install -y sudo \

&& rm -rf /var/lib/apt/lists/*

RUN echo “jenkins ALL=NOPASSWD: ALL” >> /etc/sudoers

USER jenkins

COPY plugins.txt /usr/share/jenkins/plugins.txt

RUN /usr/local/bin/plugins.sh /usr/share/jenkins/plugins.txt

我們需要賦予jenkins使用者sudo許可權以便能在容器內執行Docker命令。當然，也可以將jenkins使用者加入到Docker組中來避免在所有Docker命令前使用‘sudo’，不過由於這個組gid的不同會造成不可移植（如Pini文中所述）。

最後兩行用於處理 plugins.txt 檔案中定義的外掛。如果你不需要任何外掛可以忽略這兩行，不過我推薦至少包括如下內容：

$ cat plugins.txt

scm-api:latest

git-client:latest

git:latest

greenballs:latest

如果不想安裝任何外掛，可建立個空檔案或將相關指令從Dockerfile中刪除。本文並不需要上述外掛。

現在來構建並執行容器，將Docker socket和程式對映進來。

$ docker build -t myjenk .

…

Successfully built 471fc0d22bff

dockerrun−d−v/var/run/docker.sock:/var/run/docker.sock−v(which docker):/usr/bin/docker -p 8080:8080 myjenk

現在你就有一個執行在 http://localhost:8080 的Docker例項可以用來執行Docker命令了。可通過如下步驟快速測試一下：

在瀏覽器中開啟Jenkins首頁，並點選“建立一個新任務”連結。
輸入專案名稱（比如“docker-test”），選擇“構建一個自由風格的軟體專案”並點選OK。
在配置頁面，點選“增加構建步驟”並選擇“Execute shell”。
在命令框裡輸入“sudo docker run hello-world”。
點選“儲存”。
點選“立即構建”。

運氣好的話，應出現一個綠（或藍）球。點選這個球，並選擇“Console Output”，你將看到類似如下內容：

[jenkins3-1024x640.png]

好極了！我們已經在Jenkins容器內成功運行了Docker命令。請注意，這裡存在一個重大的安全問題：Jenkins使用者對宿主具有root許可權，比如Jenkins可以建立裝載宿主任意目錄的容器。因此，務必確保這個容器只對受信使用者訪問，並考慮使用VM來將Jekins與宿主其他部分隔離開。

還有其他的方式，主要是 Docker in Docker（DinD） 以及 使用HTTPS與Docker後臺程式通訊 。DinD並不比使用特權模式的容器安全性高，不過確實能避免使用sudo。DinD最主要的劣勢是你無法重用宿主快取的映象（不過如果需要為測試容器提供一個與宿主隔離的乾淨環境，這將很有用）。通過HTTPS暴露socket不需要sudo並且可以使用宿主的映象，但因為打開了埠增加了攻擊面，可以說是最不安全的。

我將在未來的文章中深入說明如何安全地設定HTTPS socket上的Docker。