Wie zu montieren docker socket als Band in docker-container mit der richtigen Gruppe

Möchte ich ausführen, eine Jenkins-Instanz in einem docker-container.

Ich will Jenkins selbst in der Lage sein sich zu drehen docker-Container als Sklaven zum ausführen von tests.

Scheint es der beste Weg, dies zu tun ist die Verwendung 

docker run -v /var/run.docker.sock:/var/run/docker.sock -p 8080:8080 -ti my-jenkins-image

Quelle

Den Dockerfile ich verwende, ist 

FROM jenkins
COPY plugins.txt /usr/share/jenkins/plugins.txt
RUN /usr/local/bin/plugins.sh /usr/share/jenkins/plugins.txt

USER root
RUN apt-get update && apt-get install -y docker.io
RUN usermod -aG docker jenkins
USER jenkins

Wenn ich starten Sie eine bash-session in meiner Ausführung-container und führen docker info auf meinem Bild, das ich bekommen 

$ docker info
FATA[0000] Get http:///var/run/docker.sock/v1.18/info: dial unix /var/run/docker.sock: permission denied. Are you trying to connect to a TLS-enabled daemon without TLS?

Und wenn ich die bash-Sitzung als root

docker exec -u 0 -ti cocky_mccarthy bash
root@5dbd0efad2b0:/# docker info
Containers: 42
Images: 50
...

Also ich denke, die docker Gruppe ich bin das hinzufügen der Jenkins Benutzer ist die Gruppe für die internen docker damit die Buchse nicht lesbar, ohne sudo. Das ist irgendwie ein problem, wie die Jenkins-Andockfenster-plugin etc. sind nicht zu verwenden sudo.

Wie kann ich montieren Sie die Buchse, so kann es verwendet werden, aus dem Bild ohne sudo?

  • Hast du eine Lösung für dein problem? Ich stehe vor dem gleichen Problem jetzt
  • Meine Lösung ist die änderung der Besitz auf docker.Socke nach container begonnen. docker exec -it -u root jenkins-docker chown jenkins /var/run/docker.sock
InformationsquelleAutor Ollie Edwards | 2016-03-23
  1. 15

    Ein bisschen spät, aber dies könnte helfen, andere Benutzer, die kämpfen mit dem gleichen problem:

    Hier das problem, dass die docker Gruppe auf Ihrem docker-host hat eine andere group-id aus der id des docker Gruppe in Ihrem container. Da der daemon kümmert sich nur über die id und nicht über den Namen der Gruppe Ihre Lösung wird nur funktionieren, wenn diese id ' s entsprechen, durch Zufall.

    Den Weg, um dieses Problem zu lösen ist, indem Sie entweder über tcp statt über unix-Sockets mithilfe der -H option beim Start Docker-engine. Sollten Sie sehr vorsichtig mit diesem, denn so kann jeder, der Zugriff auf diesen port, um root-Zugriff auf Ihr system.

    Ein sicherer Weg, dies zu beheben ist, dafür zu sorgen, dass die docker Gruppe im inneren des Behälters enden, haben die gleiche group-id wie der docker Gruppe außerhalb des Containers. Sie können dies tun, indem Sie bauen Argumente für Ihre docker build:

    Dockerfile:

    FROM jenkinsci
ARG DOCKER_GROUP_ID

USER root
RUN curl -o /root/docker.tgz https://get.docker.com/builds/Linux/x86_64/docker-1.12.5.tgz && tar -C /root -xvf /root/docker.tgz && mv /root/docker/docker /usr/local/bin/docker && rm -rf /root/docker*
RUN curl -L https://github.com/docker/compose/releases/download/1.7.1/docker-compose-`uname -s`-`uname -m` > /usr/local/bin/docker-compose && chmod +x /usr/local/bin/docker-compose
RUN groupadd -g $DOCKER_GROUP_ID docker && gpasswd -a jenkins docker
USER jenkins

    Dann Bau es mit

    docker build --build-arg DOCKER_GROUP_ID=`getent group docker | cut -d: -f3` -t my-jenkins-image .

    Nachdem diese Sie können Ihre Bild-und Andockfenster-Zugang als nicht-root -

    docker run -v /var/run/docker.sock:/var/run/docker.sock -p 8080:8080 -ti my-jenkins-image

    Weil diese Lösung richtet sich auf die Lieferung der korrekten Gruppen-id, um den docker-daemon, wenn das image erstellt wird, das Bild würde müssen gebaut werden, auf der Maschine(s), wo es verwendet wird. Wenn Sie bauen das Bild, schieben Sie es und jemand anderer zieht es auf Ihrer Maschine, stehen die Chancen, dass die Gruppen-id ' s übereinstimmen, wird nicht wieder.

    • Sicherstellen, dass die docker Gruppen-ID entspricht, die auf dem host und im inneren des Containers war genau das, was wir brauchten, um zu beheben, wenn Sie vor dem gleichen Problem. Danke!
    InformationsquelleAutor eawenden
  2. 5

    Ich habe Ihre dockerfile, machte aber eine kleine änderung:

    FROM jenkins
COPY plugins.txt /usr/share/jenkins/plugins.txt
RUN /usr/local/bin/plugins.sh /usr/share/jenkins/plugins.txt

USER root
RUN apt-get update
RUN groupadd docker && gpasswd -a jenkins docker
USER jenkins

    Nach dem erstellen des Bildes kann ich es starten über (ich bin auf centos7):

    docker run -d \
-v /var/run/docker.sock:/var/run/docker.sock \
     -v $(which docker):/usr/bin/docker:ro \
     -v /lib64/libdevmapper.so.1.02:/usr/lib/x86_64-linux-gnu/libdevmapper.so.1.02 \
     -v /lib64/libudev.so.0:/usr/lib/x86_64-linux-gnu/libudev.so.0 \
     -p 8080:8080 \
     --name jenkins \
     --privileged=true -t -i \
test/jenkins

    Sie versucht, das Paket zu installieren Andockfenster.io in Ihrem Bild. Aber dieses Paket ist auch auf dem host (sonst ist es nicht möglich, zu laufen docker-Containern drauf). So ist Es empfehlenswert, montieren Sie diese auf den container statt der Installation in der docker-Datei.
    Ich denke, die montiert /lib64/... ist speziell für Centos 7.

    $ docker exec -it 9fc27d5fcec1 bash
jenkins@9fc27d5fcec1:/$ whoami 
jenkins
jenkins@9fc27d5fcec1:/$ docker ps
CONTAINER ID        IMAGE               COMMAND                  CREATED             STATUS              PORTS                               NAMES
9fc27d5fcec1        test                "/bin/tini -- /usr/lo"   6 minutes ago       Up 6 minutes        0.0.0.0:8080->8080/tcp, 50000/tcp   jenkins
    • Ich habe die gleiche Frage wie der OP, fand ich diesen Beitrag, hilfreich zu sein (obwohl es nicht lösen das Problem mit Berechtigungen). jpetazzo.github.io/2015/09/03/... Der Autor rät von der Montage der docker-binary vom host in den container: "Das ist nicht mehr zuverlässig, weil die Docker-Engine wird nicht mehr verteilt, wie (fast) statische Bibliotheken.".
    • Es ist vor einiger Zeit nahm ich einen Blick. Was meinst du, dass dies nicht mehr zuverlässig? Ich habe gerade angefangen, einen Behälter montiert und die .Socke bin und ich kann mit docker in (1.12) oder bin ich da falsch? Dank
    • Ehrlich gesagt, ich bin nicht kompetent genug, um Ihnen eine richtige Antwort, ich wollte nur darauf hinweisen, dass der link, den ich gepostet rät er.
    • Ich bin in der Lage, verwenden Sie das Andockfenster in meinem Container mit der Montage der Socke + bin (das ist das "gute" Lösung in der URL). Ich glaube nicht, verwenden Sie den --privilegierten flag scheint es.
    • Oh, jetzt sehe ich, es ist nicht mehr zuverlässig. So etwas habe ich noch erkunden.
    InformationsquelleAutor lvthillo
Schreibe einen Kommentar