如何在docker容器中运行docker命令

大家好，又见面了，我是你们的朋友全栈君。

欢迎关注个人微信公众号： devopscube

前言

​ Docker作为目前炙手可热的容器运行环境，越来越多的应用到应用的部署当中。这种一次打包，随处运行的模式备受好评，也节约了很多环境配置的麻烦。很多软件运行时都提供了docker的镜像部署方式，我们可以看到常用的组件，开源的项目，都会提供docker镜像，或者用于打包镜像的dockerfile。所以Docker已然成为了软件部署的一个事实标准。

​ 本文探讨的问题是如何在docker容器中运行docker的问题。在日常运行的应用中，如web应用，数据库应用等，如果在容器环境运行，在容器内基本没有运行docker命令的需求。但是以下几个场景可能需要应用内部去调用docker命令，实现docker镜像/容器的操作。 列举以下场景：

1. 如果你使用流水线工具，需要docker命令去构建和管理镜像，但流水线工具是以docker容器的方式运行。
2. 如果你是在kubernetes环境部署，应用需要同docker进行交互。

​ 本文主要是为了解决以上问题，提供该问题的解决方案。

方法一、 利用宿主机的docker daemon

docker本身具有挂载相应的目录，文件到容器之中的能力，我们直接将docker命令以及docker daemon的socket文件挂载进运行容器之中即可运行docker命令。 但是注意，在容器内部实际上使用的是宿主机的docker进程，因此我们对镜像以及容器的处理其实都是在宿主机这个视角下。

例如，我们先用常规的方法运行一个docker容器，是不含有docker命令的

[aiops@3 ~]$ docker run -it --rm --name=centos centos:latest /bin/bash
[root@38570de91b85 /]# docker
bash: docker: command not found
[root@38570de91b85 /]#

下面我们将宿主机的docker相关文件挂载进镜像。可以看到在容器4f9967c951ac中能够运行docker ps命令，并且，docker ps命令能够看到容器本身，说明该docker实际上使用的宿主机的docker

[aiops@3 ~]$ docker run -it --rm --name=centos \
> -v /var/run/docker.sock:/var/run/docker.sock \
> -v /usr/bin/docker:/usr/bin/docker \
> centos:latest  /bin/bash
[root@4f9967c951ac /]# docker ps
CONTAINER ID        IMAGE                                             COMMAND                  CREATED             STATUS              PORTS                                                          NAMES
4f9967c951ac        centos:latest                                     "/bin/bash"              3 seconds ago       Up 3 seconds                                                                       centos

特别注意的是，如果镜像中使用的用户，同宿主机的用户不同时，可能会出现permission denied的问题

在宿主机上运行ls命令查看其用户权限
[aiops@3 ~]$ sudo ls -al /var/run/docker.sock
srw-rw----. 1 root docker 0 3月  20 17:01 /var/run/docker.sock

#如果docker容器中的当前用户非root用户，则有可能会出现无法连接到docker daemon的情况：

Got permission denied while trying to connect to the Docker daemon socket at unix:///var/run/docker.sock
dial unix /var/run/docker.sock: connect: permission denied

这时需要给宿主机提供更高的权限，以便不同用户，不同的用户组可以访问到docker.sock同宿主机的docker daemon进行通信。

在宿主机上运行：

chmod 777 docker.sock

但是请注意，以上方案有一个缺陷，就是docker.sock文件是在docker重启时才生成的，所以一旦docker重启，该文件的权限又会恢复成原始的状态。请看下面的操作。

# 宿主机查看权限
[aiops@5 ~]$ ls -al /var/run/docker.sock
srw-rw----. 1 root docker 0 2月  26 10:02 /var/run/docker.sock
# 提供777的最高权限
[aiops@5 ~]$ sudo chmod 777 /var/run/docker.sock
# 查看更改的权限
[aiops@5 ~]$ ls -al /var/run/docker.sock
srwxrwxrwx. 1 root docker 0 2月  26 10:02 /var/run/docker.sock
# 重启docker服务
[aiops@5 ~]$ sudo systemctl restart docker
# 查看权限，发现恢复了docker sock的权限。
[aiops@5 ~]$ ls -al /var/run/docker.sock
srw-rw----. 1 root docker 0 3月  25 11:00 /var/run/docker.sock

解决方法，在容器中或者是构建镜像时，添加合适的用户到指定的用户组中，例如

# 我们在容器中看到docker.sock的用户组是994，因为从宿主机挂载进来的用户组不存在，这里只显示为宿主机上的用户组id
[root@4e600ad59158 /]# ls -al /var/run/docker.sock
srw-rw----. 1 root 994 0 Mar 20 09:01 /var/run/docker.sock

# 我们可以将容器镜像的用户，例如用户test，加入到994的用户组中，首先创建994的用户组。然后将用户加入到该新建的用户组中，注意-a参数是说用户不离开原有的用户组。
[root@4e600ad59158 /]# groupadd -g 994 docker
[root@4e600ad59158 /]# usermod -a -G docker test

此时，在容器内部，使用test用户就可以使用docker命令了

方法二、 使用docker in docker的镜像

上面的方法一是比较常用的方法，比较简单，只要挂载宿主机的docker运行时就能够使用docker命令。但是很多时候，由于对隔离化有一定的需求，以上方法并非安全之策，因为任意的容器内部都有了控制整个docker运行环境的权限，是一种不安全的方案。同时同宿主机的docker环境交互，不便于镜像的管理，会在宿主机上留下过多的镜像残留垃圾。 那么如何才能构造一个容器镜像内部的隔离态的docker运行时呢？

Docker公司给了我们一种docker in docker 的解决方案：

当我们在docker hub上搜索docker的时候，我们就能看到该镜像：

我们可以使用该镜像运行一下：

[aiops@3 dind]$ docker run -itd --name=docker --privileged docker:19.03.6-dind
d380562b6cf7bc4dfb5d64c99c021066434907851c6d45909847f84c25d32e3a
[aiops@3 dind]$ docker exec -it docker sh
/ # docker ps
CONTAINER ID        IMAGE               COMMAND             CREATED             STATUS              PORTS               NAMES
/ # docker -v
Docker version 19.03.6, build 369ce74a3c

可以看到该容器内部就可以使用docker的命令行了。

同样，你可以依据该镜像，去构建自己的镜像使用docker命令。

两种方法的优缺点

方法一，多用在以容器运行的环境，而且对安全要求不高的平台。

而在k8s环境下，例如使用jenkins的kubernetes插件时，可以指定docker in docker官方镜像在流水线中使用该容器处理镜像操作。

欢迎关注个人技术公众号devopscube