Запустите докер с пользователем jenkins внутри контейнера jenkins на Centos7

Я пытаюсь запустить Docker внутри моего подчиненного контейнера Jenkins на Centos7.1. Это шаги, которые я выполнил в своем файле докеров:

FROM java:8
ARG user=jenkins
ARG group=jenkins
ARG uid=1000
ARG gid=1000
RUN groupadd -g ${gid} ${group} \
&& useradd -d "$JENKINS_HOME" -u ${uid} -g ${gid} -m -s /bin/bash ${user}
RUN groupadd -g 983 docker \
&& gpasswd -a ${user} docker

Итак, у меня есть пользователь jenkins (id1000) в группе jenkins (gid1000) + в группе docker (gid983). Почему я выбрал гид 983? Что ж, если я проверю /etc/group на своем хосте, я увижу:

docker:x:983:centos

В моем сценарии создания докеров я монтирую свой сокет докера, поэтому я использовал тот же gid, что и на моем хосте.

Часть docker-compose:

volumes:
  - /var/run/docker.sock:/var/run/docker.sock
  - /usr/bin/docker:/usr/bin/docker

Когда я exec внутри своего контейнера как root:

root@c4af16c386d7:/var/jenkins_home# docker images
REPOSITORY          TAG                 IMAGE ID            CREATED             SIZE
jenkins-slave       1.0                 94a5d6606f86        10 minutes 
jenkins             2.7.1               b4974ba62598        3 weeks ago         741 MB
java                8-jdk               264282a59a95        7 weeks ago         669.2 MB

Но как пользователь jenkins:

Cannot connect to the Docker daemon. Is the docker daemon running on this host?

В моем контейнере:

cat /etc/passwd
jenkins:x:1000:1000::/var/jenkins_home:/bin/bash

cat /etc/group
jenkins:x:1000:
docker:x:983:jenkins

Дополнение:

$ docker exec -it ec52d4125a02 bash
root@ec52d4125a02:/var/jenkins_home# whoami
root
root@ec52d4125a02:/var/jenkins_home# su jenkins
jenkins@ec52d4125a02:~$ docker ps
CONTAINER ID        IMAGE               COMMAND                  CREATED             STATUS              PORTS                                                                      NAMES
a23521523249        jenkins:2.7.1       "/bin/tini -- /usr/lo"   20 minutes ago      Up 20 minutes       0.0.0.0:8080->8080/tcp, 0.0.0.0:32777->22/tcp, 0.0.0.0:32776->50000/tcp    jenkins-master
ec52d4125a02        jenkins-slave:1.0   "setup-sshd"             20 minutes ago      Up 20 minutes       0.0.0.0:32775->22/tcp, 0.0.0.0:32774->8080/tcp, 0.0.0.0:32773->50000/tcp   jenkins-slave

но:

$ docker exec -it -u jenkins ec52d4125a02 bash
jenkins@ec52d4125a02:~$ docker ps
Cannot connect to the Docker daemon. Is the docker daemon running on this host?

В первом случае мой пользователь jenkins:

uid=1000(jenkins) gid=1000(jenkins) groups=1000(jenkins),983(docker)

Во втором случае:

uid=1000(jenkins) gid=1000(jenkins) groups=1000(jenkins)

docker jenkins dockerfile

lvthillo 04.08.2016 источник

comment

Вам не хватает нескольких ключевых элементов, необходимых для воссоздания проблемы. В частности, строка FROM в файле Dockerfile. Я сделал что-то подобное с основными отличиями в том, что мой образ Jenkins устанавливает Docker, а не монтирует исполняемый файл, а мои команды основаны на Debian. Ваша переменная $DOCKER_HOST определена внутри вашего контейнера? - BMitch 04.08.2016

comment

Переменная не определена. На самом деле я пытаюсь использовать докер как jenkinsuser в jenkins-slave, который я создаю с помощью docker compose. Это просто контейнер с java и SSH-доступом, в котором есть группа jenkins-user+ и смонтированные тома докеров. Он действительно не содержит jenkins в файле докеров (он исходит от мастера). Я добавил свой FROM + я не использую эту переменную. - lvthillo 05.08.2016

comment

@BMitch Я также добавил дополнение к своему вопросу. - lvthillo 05.08.2016

comment

Я запустил ваш Dockerfile в своей лаборатории. Запуск с пользователем jenkins показывает gid 983 в выводе id. Не могу воспроизвести вашу проблему. - BMitch 05.08.2016

Ответы (1)

arrow_upward
0
arrow_downward

Во-первых, зачем вам нужно вращать контейнеры внутри другого с помощью Jenkins? Вот почему это не очень хорошая идея.

Сказав это, вы все еще хотите идти вперед. Во-первых, вам нужно выполнить несколько шагов, чтобы запустить Docker внутри контейнера Docker. Например, вы запустили этот контейнер в режиме --priviledged?

Вам следует попробовать использовать Docker в Docker Джерома Петаццони, поскольку он все, что вам нужно.

Затем вы можете объединить материал DInD с установкой Jenkins. Вот пример, который я собрал, смешав DInD Джерома с другими вещами и собрав док-контейнер с Jenkins, Docker Compose и другими полезными вещами:

Файл Docker:

FROM ubuntu:xenial
ENV UBUNTU_FLAVOR xenial

#== Ubuntu flavors - common
RUN  echo "deb http://archive.ubuntu.com/ubuntu ${UBUNTU_FLAVOR} main universe\n" > /etc/apt/sources.list \
  && echo "deb http://archive.ubuntu.com/ubuntu ${UBUNTU_FLAVOR}-updates main universe\n" >> /etc/apt/sources.list

MAINTAINER Rogério Peixoto

ENV JENKINS_HOME /var/jenkins_home
ENV JENKINS_SLAVE_AGENT_PORT 50000

ARG user=jenkins
ARG group=jenkins
ARG uid=1000
ARG gid=1000

# Jenkins is run with user `jenkins`, uid = 1000
# If you bind mount a volume from the host or a data container,
# ensure you use the same uid
RUN groupadd -g ${gid} ${group} \
&& useradd -d "$JENKINS_HOME" -u ${uid} -g ${gid} -m -s /bin/bash ${user}

 # useful stuff.
 RUN apt-get update -q && apt-get install -qy \
    apt-transport-https \
    ca-certificates \
    curl \
    lxc \
    supervisor \
    zip \
    git \
    iptables \
    locales \
    nano \
    make \
    openssh-client \
    openjdk-8-jdk-headless \
  && rm -rf /var/lib/apt/lists/*

# Install Docker from Docker Inc. repositories.
RUN curl -sSL https://get.docker.com/ | sh

# Install the wrapper script from https://raw.githubusercontent.com/docker/docker/master/hack/dind.
ADD ./wrapdocker /usr/local/bin/wrapdocker
RUN chmod +x /usr/local/bin/wrapdocker

# Define additional metadata for our image.
VOLUME /var/lib/docker

ENV JENKINS_VERSION 2.8
ENV JENKINS_SHA 4d83a40319ecf4eaab2344a18c197bd693080530

RUN mkdir -p /usr/share/jenkins/ \
  && curl -SL http://repo.jenkins-ci.org/public/org/jenkins-ci/main/jenkins-war/${JENKINS_VERSION}/jenkins-war-${JENKINS_VERSION}.war -o /usr/share/jenkins/jenkins.war
# RUN echo "$JENKINS_SHA  /usr/share/jenkins/jenkins.war" | sha1sum -c -

ENV JENKINS_UC https://updates.jenkins.io
RUN mkdir -p /usr/share/jenkins/ref \
  && chown -R ${user} "$JENKINS_HOME" /usr/share/jenkins/ref

RUN usermod -a -G docker jenkins
ENV DOCKER_COMPOSE_VERSION 1.8.0-rc1

# Install Docker Compose
RUN curl -L https://github.com/docker/compose/releases/download/${DOCKER_COMPOSE_VERSION}/docker-compose-`uname -s`-`uname -m` > /usr/local/bin/docker-compose
RUN chmod +x /usr/local/bin/docker-compose

RUN apt-get install -y python-pip && pip install supervisor-stdout

EXPOSE 8080
EXPOSE 50000

ADD supervisord.conf /etc/supervisor/conf.d/supervisord.conf
CMD ["/usr/bin/supervisord"]

supervisord.conf

[supervisord]
nodaemon=true

[program:docker]
priority=10
command=wrapdocker
startsecs=0
exitcodes=0,1

[program:chown]
priority=20
command=chown -R jenkins:jenkins /var/jenkins_home
startsecs=0

[program:jenkins]
priority=30
user=jenkins
environment=JENKINS_HOME="/var/jenkins_home",HOME="/var/jenkins_home",USER="jenkins"
command=java -jar /usr/share/jenkins/jenkins.war
stdout_events_enabled = true
stderr_events_enabled = true

[eventlistener:stdout]
command=supervisor_stdout
buffer_size=100
events=PROCESS_LOG
result_handler=supervisor_stdout:event_handler

Вы можете получить файл wrapdocker здесь

Поместите все это в один каталог и соберите его:

docker build -t my_dind_jenkins .

Затем запустите его:

docker run -d --privileged \ 
    --name=master-jenkins \
    -p 8080:8080 \
    -p 50000:50000 my_dind_jenkins

Rogério Peixoto 04.08.2016

comment

Неясно, что OP делает DinD, судя по монтированию docker.sock, я подозреваю, что они следуют разделу решения вашей ссылки, почему вам не следует делать DinD статьи. - BMitch; 04.08.2016

Запустите докер с пользователем jenkins внутри контейнера jenkins на Centos7

Ответы (1)

Похожие вопросы