34

我想在 docker 容器中运行 Jenkins 实例。

我希望 Jenkins 本身能够启动 docker 容器作为奴隶来运行测试。

似乎最好的方法是使用

docker run -v /var/run.docker.sock:/var/run/docker.sock -p 8080:8080 -ti my-jenkins-image

资源

Dockerfile我正在使用的是

FROM jenkins
COPY plugins.txt /usr/share/jenkins/plugins.txt
RUN /usr/local/bin/plugins.sh /usr/share/jenkins/plugins.txt

USER root
RUN apt-get update && apt-get install -y docker.io
RUN usermod -aG docker jenkins
USER jenkins

如果我在我正在运行的容器中启动一个 bash 会话并docker info在我的图像上运行,我会得到

$ docker info
FATA[0000] Get http:///var/run/docker.sock/v1.18/info: dial unix /var/run/docker.sock: permission denied. Are you trying to connect to a TLS-enabled daemon without TLS?

如果我以 root 身份运行 bash 会话

docker exec -u 0 -ti cocky_mccarthy bash
root@5dbd0efad2b0:/# docker info
Containers: 42
Images: 50
...

所以我猜想docker我将 Jenkins 用户添加到的组是内部​​ docker 的组,因此如果没有sudo. 这是一个问题,因为 Jenkins docker 插件等未设置为使用sudo.

如何安装套接字以便可以从图像中使用它而不使用sudo

4

2 回答 2

27

有点晚了,但这可能会帮助其他遇到同样问题的用户:

这里的问题是docker您的 docker 主机上的组的组 id 与docker容器内的组的 id 不同。由于守护进程只关心 id 而不是组的名称,因此您的解决方案仅在这些 id 偶然匹配时才有效。

解决这个问题的方法是在启动 Docker 引擎时使用-H 选项使用 tcp 而不是使用 unix 套接字。您应该对此非常小心,因为这允许任何有权访问此端口的人获得对您系统的 root 访问权限。

解决此问题的一种更安全的方法是确保docker容器内的组最终与容器外的组具有相同的组 ID docker。您可以使用构建参数来执行此操作docker build

Dockerfile:

FROM jenkinsci
ARG DOCKER_GROUP_ID

USER root
RUN curl -o /root/docker.tgz https://get.docker.com/builds/Linux/x86_64/docker-1.12.5.tgz && tar -C /root -xvf /root/docker.tgz && mv /root/docker/docker /usr/local/bin/docker && rm -rf /root/docker*
RUN curl -L https://github.com/docker/compose/releases/download/1.7.1/docker-compose-`uname -s`-`uname -m` > /usr/local/bin/docker-compose && chmod +x /usr/local/bin/docker-compose
RUN groupadd -g $DOCKER_GROUP_ID docker && gpasswd -a jenkins docker
USER jenkins

然后使用

docker build \ 
  --build-arg DOCKER_GROUP_ID=`getent group docker | \ 
  cut -d: -f3` -t my-jenkins-image .

在此之后,您可以运行您的图像并以非 root 身份访问 docker

docker run \ 
  -v /var/run/docker.sock:/var/run/docker.sock \ 
  -p 8080:8080 \
  -ti my-jenkins-image

因为此解决方案依赖于在构建映像时向 docker 守护程序提供正确的组 id,所以此映像需要在使用它的机器上构建。如果您构建映像,将其推送,然后其他人将其拉到他们的机器上,则组 ID 很可能不会再次匹配。

于 2017-01-10T17:36:12.110 回答
5

我使用了您的 dockerfile,但做了一个小编辑:

FROM jenkins
COPY plugins.txt /usr/share/jenkins/plugins.txt
RUN /usr/local/bin/plugins.sh /usr/share/jenkins/plugins.txt

USER root
RUN apt-get update
RUN groupadd docker && gpasswd -a jenkins docker
USER jenkins

构建图像后,我可以使用它来启动它(我在 centos7 上):

docker run -d \
-v /var/run/docker.sock:/var/run/docker.sock \
     -v $(which docker):/usr/bin/docker:ro \
     -v /lib64/libdevmapper.so.1.02:/usr/lib/x86_64-linux-gnu/libdevmapper.so.1.02 \
     -v /lib64/libudev.so.0:/usr/lib/x86_64-linux-gnu/libudev.so.0 \
     -p 8080:8080 \
     --name jenkins \
     --privileged=true -t -i \
test/jenkins

您尝试在映像中安装包 docker.io。但是这个包也在你的主机上(否则不可能在它上面运行 docker 容器)。因此,建议将其挂载到您的容器中,而不是将其安装在您的 docker 文件中。我认为挂载的 /lib64/... 是特定于 Centos 7 的。

$ docker exec -it 9fc27d5fcec1 bash
jenkins@9fc27d5fcec1:/$ whoami 
jenkins
jenkins@9fc27d5fcec1:/$ docker ps
CONTAINER ID        IMAGE               COMMAND                  CREATED             STATUS              PORTS                               NAMES
9fc27d5fcec1        test                "/bin/tini -- /usr/lo"   6 minutes ago       Up 6 minutes        0.0.0.0:8080->8080/tcp, 50000/tcp   jenkins
于 2016-03-25T14:43:52.480 回答