關於Docker的 DinD VS. DooD

在容器中安裝一個全新的完整的隔離的Docker版本，該容器和外部的Docker系統完全隔離，

在Docker官方有映象直接就能用 ofollow,noindex" target="_blank">官方DinD映象

你可以直接使用下面的命令啟動一個Docker容器：

注意：這裡有一個前提條件就是，你的Docker版本必須支援 –privileged 引數.Docker的官方文件同時也提醒你，使用了該引數之後，該容器就有了最高許可權，在容器中你幾乎可以做跟宿主機上同樣的任何事情，所以要小心使用。

這時當你進入這個新的容器後執行：

docker images

REPOSITORY TAG IMAGE ID CREATED SIZE

/ #

你會看到沒有任何映象顯示出來，因為這是一個全新的容器，並且和你宿主機上的Docker系統隔離，所以還沒有任何一個映象。

什麼是Docker-outside-of-Docker(DooD)

是指通過載入宿主Docker socket和程式的方式達成重用宿主映象的目的。

通常情況下，大多數人並不是真正想使用Docker-in-Docker， 而只是想在類似Jenkins的CI系統裡執行Docker命令。如何做呢， 最簡單的方式是在啟動容器的時候以-v的方式掛載宿主機的Docker的socket給你的新的容器使用。類似這樣使用(僅列出最相關的-v引數，其他忽略)：

這樣的話，這個新的容器就可以訪問到宿主機的Docker socket並且使用它，因此這個容器就有能力啟動容器，這樣他啟動和操作的容器和它本身是平級的兄弟關係。

DooD可能遇到的問題就是jenkins使用者 (這裡以jenkins CI為例) 沒有許可權執行docker命令。

解決辦法1:

需要賦予jenkins使用者sudo許可權以便能在容器內執行Docker命令。

所以在我們的Dockerfile中可以要這樣寫(這裡僅擷取Dockerfile中最相關的那一小段程式碼，全部程式碼請參見另外一篇如何使用Docker版的Jenkins做CICD的文章)：

RUN apt-get update \

&& apt-get install -y sudo \

&& rm -rf /var/lib/apt/lists/*

RUN echo "jenkins ALL=NOPASSWD: ALL" >> /etc/sudoers

解決辦法2：

或者我們也可以將jenkins使用者加入到Docker組中來解決(不過這樣可能有一個潛在的小問題就是，這個組gid的不同會造成不可移植)

Dockerfile中可以這樣寫:

ARG dockerGid=999

RUN echo "docker:x:${dockerGid}:jenkins" >> /etc/group

然後我們就可以執行下面命令去build一個自己的Jenkins image：

Docker build –rm –t myjenkins .

最後用下面命令完成DooD的啟動：

docker run -p 9090:8080 -p 50000:50000 --name my_jenkins \

--restart=always \

-v $(which docker):/usr/bin/docker \

-v /var/run/docker.sock:/var/run/docker.sock \

-d myjenkins:latest