Docker-in-Docker என்பது ஒரு மெய்நிகராக்கப்பட்ட டோக்கர் டீமான் சூழல், கொள்கலன் படங்களை உருவாக்குவதற்கு கொள்கலனிலேயே இயங்குகிறது. Docker-in-Docker ஐ உருவாக்குவதன் முக்கிய நோக்கம் Docker ஐ உருவாக்க உதவுவதாகும். ஜென்கின்ஸ் சிஐயை இயக்க பலர் இதைப் பயன்படுத்துகின்றனர். இது முதலில் சாதாரணமாகத் தெரிகிறது, ஆனால் ஜென்கின்ஸ் சிஐ கொள்கலனில் டோக்கரை நிறுவுவதன் மூலம் சிக்கல்களைத் தவிர்க்கலாம். இதை எப்படி செய்வது என்று இந்த கட்டுரை உங்களுக்கு சொல்கிறது. விவரங்கள் இல்லாமல் இறுதி தீர்வில் நீங்கள் ஆர்வமாக இருந்தால், கட்டுரையின் கடைசி பகுதியைப் படிக்கவும், "சிக்கலைத் தீர்ப்பது."
டோக்கர்-இன்-டோக்கர்: "நல்லது"
இரண்டு ஆண்டுகளுக்கு முன்பு நான் டோக்கரில் வைத்தேன்
- ஹேக்கிட்டி ஹேக்;
- கட்ட;
- இயங்கும் டோக்கர் டீமனை நிறுத்துதல்;
- புதிய டோக்கர் டீமனை அறிமுகப்படுத்துதல்;
- சோதனை;
- சுழற்சியை மீண்டும் செய்யவும்.
நீங்கள் ஒரு அழகான, இனப்பெருக்கம் செய்யக்கூடிய சட்டசபையை (அதாவது ஒரு கொள்கலனில்) உருவாக்க விரும்பினால், அது மிகவும் சிக்கலானதாக மாறியது:
- ஹேக்கிட்டி ஹேக்;
- டோக்கரின் வேலை செய்யும் பதிப்பு இயங்குகிறது என்பதை உறுதிப்படுத்தவும்;
- பழைய டோக்கருடன் புதிய டோக்கரை உருவாக்கவும்;
- டோக்கர் டீமனை நிறுத்து;
- புதிய டோக்கர் டீமானைத் தொடங்கவும்;
- சோதனை;
- புதிய டோக்கர் டீமனை நிறுத்து;
- மீண்டும்.
Docker-in-Docker இன் வருகையுடன், செயல்முறை எளிமையாகிவிட்டது:
- ஹேக்கிட்டி ஹேக்;
- சட்டசபை + ஒரு கட்டத்தில் துவக்கம்;
- சுழற்சியை மீண்டும் செய்யவும்.
இந்த வழி மிகவும் சிறந்தது அல்லவா?
டோக்கர்-இன்-டோக்கர்: "மோசம்"
இருப்பினும், பிரபலமான நம்பிக்கைக்கு மாறாக, டோக்கர்-இன்-டோக்கர் 100% நட்சத்திரங்கள், குதிரைவண்டி மற்றும் யூனிகார்ன்கள் அல்ல. நான் என்ன சொல்கிறேன் என்றால், ஒரு டெவலப்பர் அறிந்திருக்க வேண்டிய பல சிக்கல்கள் உள்ளன.
அவற்றில் ஒன்று AppArmor மற்றும் SELinux போன்ற LSM (லினக்ஸ் பாதுகாப்பு தொகுதிகள்) பற்றியது: ஒரு கொள்கலனை இயக்கும் போது, "உள் டோக்கர்" பாதுகாப்பு சுயவிவரங்களைப் பயன்படுத்த முயற்சி செய்யலாம், அது "வெளிப்புற டோக்கரை" முரண்படும் அல்லது குழப்பும். சலுகை பெற்ற கொடியின் அசல் செயலாக்கத்தை ஒன்றிணைக்க முயற்சிக்கும்போது இது மிகவும் கடினமான சிக்கலாகும். எனது மாற்றங்கள் வேலை செய்தன மற்றும் அனைத்து சோதனைகளும் எனது டெபியன் இயந்திரம் மற்றும் உபுண்டு சோதனை VM களில் கடந்து செல்லும், ஆனால் அவை மைக்கேல் கிராஸ்பியின் இயந்திரத்தில் செயலிழந்து எரியும் (நான் நினைவுகூருவது போல் அவருக்கு ஃபெடோரா இருந்தது). பிரச்சனைக்கான சரியான காரணத்தை என்னால் நினைவில் கொள்ள முடியவில்லை, ஆனால் மைக் SELINUX=enforce (நான் AppArmor ஐப் பயன்படுத்தினேன்) உடன் பணிபுரியும் ஒரு புத்திசாலியான பையன் என்பதாலும், எனது மாற்றங்கள் SELinux சுயவிவரங்களை கணக்கில் எடுத்துக் கொள்ளாததாலும் இருக்கலாம்.
டோக்கர்-இன்-டோக்கர்: "தீமை"
இரண்டாவது சிக்கல் டோக்கர் சேமிப்பக இயக்கிகளில் உள்ளது. நீங்கள் Docker-in-Dockerஐ இயக்கும் போது, வெளிப்புற Docker ஆனது வழக்கமான கோப்பு முறைமையில் (EXT4, BTRFS அல்லது உங்களிடம் உள்ளவை) இயங்குகிறது மற்றும் உள் டோக்கர் ஒரு நகல்-ஆன்-ரைட் சிஸ்டத்தின் (AUFS, BTRFS, சாதன மேப்பர்) மேல் இயங்குகிறது. , முதலியன). இது வேலை செய்யாத பல சேர்க்கைகளை உருவாக்குகிறது. எடுத்துக்காட்டாக, நீங்கள் AUFS க்கு மேல் AUFS ஐ இயக்க முடியாது.
நீங்கள் BTRFS க்கு மேல் BTRFS ஐ இயக்கினால், அது முதலில் வேலை செய்ய வேண்டும், ஆனால் உள்ளமைக்கப்பட்ட துணைத்தொகுதிகள் இருந்தால், பெற்றோர் துணைத்தொகுதியை நீக்குவது தோல்வியடையும். சாதன மேப்பர் தொகுதிக்கு பெயர்வெளி இல்லை, எனவே பல டோக்கர் நிகழ்வுகள் அதை ஒரே கணினியில் இயக்கினால், அவை அனைத்தும் ஒன்றுக்கொன்று மற்றும் கொள்கலன் காப்பு சாதனங்களில் உள்ள படங்களைப் பார்க்க முடியும் (மற்றும் தாக்கத்தை ஏற்படுத்துகிறது). இது மோசம்.
இந்தப் பிரச்சனைகளில் பலவற்றைத் தீர்க்கும் வழிகள் உள்ளன. எடுத்துக்காட்டாக, நீங்கள் உள் டோக்கரில் AUFS ஐப் பயன்படுத்த விரும்பினால், /var/lib/docker கோப்புறையை ஒரு தொகுதியாக மாற்றவும், நீங்கள் நன்றாக இருப்பீர்கள். டோக்கர் சில அடிப்படை பெயர்வெளிகளை டிவைஸ் மேப்பர் இலக்கு பெயர்களில் சேர்த்துள்ளார், இதனால் பல டோக்கர் அழைப்புகள் ஒரே கணினியில் இயங்கினால், அவை ஒன்றையொன்று காலடி எடுத்து வைக்காது.
இருப்பினும், அத்தகைய அமைப்பு எளிமையானது அல்ல, இவற்றிலிருந்து பார்க்க முடியும்
Docker-in-Docker: இது மோசமாகிறது
உருவாக்க கேச் பற்றி என்ன? இதுவும் மிகவும் கடினமாக இருக்கலாம். "நான் Docker-in-Dockerஐ இயக்கினால், எல்லாவற்றையும் எனது உள் டோக்கருக்குள் இழுப்பதற்குப் பதிலாக எனது ஹோஸ்டில் ஹோஸ்ட் செய்யப்பட்ட படங்களை எப்படிப் பயன்படுத்துவது" என்று அடிக்கடி என்னிடம் மக்கள் கேட்பார்கள்?
சில ஆர்வமுள்ள நபர்கள் ஹோஸ்டில் இருந்து /var/lib/docker ஐ Docker-in-Docker கொள்கலனுடன் பிணைக்க முயற்சித்துள்ளனர். சில நேரங்களில் அவர்கள் பல கொள்கலன்களுடன் /var/lib/docker ஐப் பகிர்ந்து கொள்கிறார்கள்.
உங்கள் தரவை சிதைக்க விரும்புகிறீர்களா? ஏனெனில் இதுவே உங்கள் தரவை சேதப்படுத்தும்!
டோக்கர் டெமான் தெளிவாக /var/lib/docker க்கான பிரத்தியேக அணுகலைப் பெற வடிவமைக்கப்பட்டுள்ளது. இந்தக் கோப்புறையில் உள்ள டோக்கர் கோப்புகளை வேறு எதுவும் "தொடவோ, குத்தவோ அல்லது தூண்டவோ" கூடாது.
ஏன் இப்படி? ஏனெனில் இது dotCloud ஐ உருவாக்கும் போது கற்றுக்கொண்ட கடினமான பாடங்களில் ஒன்றின் விளைவாகும். ஒரே நேரத்தில் /var/lib/dotcloud ஐ அணுகும் பல செயல்முறைகளைக் கொண்டு dotCloud கொள்கலன் இயந்திரம் இயங்கியது. அணுக் கோப்பு மாற்றுதல் (இன்-இன்-பிளேஸ் எடிட்டிங்கிற்குப் பதிலாக), ஆலோசனை மற்றும் கட்டாய பூட்டுகளுடன் கூடிய பெப்பர்ரிங் குறியீடு மற்றும் SQLite மற்றும் BDB போன்ற பாதுகாப்பான அமைப்புகளுடன் கூடிய பிற சோதனைகள் போன்ற தந்திரமான தந்திரங்கள் எப்போதும் வேலை செய்யவில்லை. நாங்கள் எங்கள் கொள்கலன் இயந்திரத்தை மறுவடிவமைப்பு செய்தபோது, அது இறுதியில் டோக்கராக மாறியது, பெரிய வடிவமைப்பு முடிவுகளில் ஒன்று, ஒரே டீமானின் கீழ் அனைத்து கன்டெய்னர் செயல்பாடுகளையும் ஒருங்கிணைத்து, அனைத்து ஒத்திசைவு முட்டாள்தனங்களையும் அகற்றுவதாகும்.
என்னை தவறாக எண்ண வேண்டாம்: பல செயல்முறைகள் மற்றும் நவீன இணையான கட்டுப்பாட்டை உள்ளடக்கிய நல்ல, நம்பகமான மற்றும் வேகமான ஒன்றை உருவாக்குவது முற்றிலும் சாத்தியமாகும். ஆனால் டோக்கரை ஒரே பிளேயராகப் பயன்படுத்தி குறியீட்டை எழுதுவதும் பராமரிப்பதும் எளிமையானது மற்றும் எளிதானது என்று நாங்கள் நினைக்கிறோம்.
பல டோக்கர் நிகழ்வுகளுக்கு இடையில் /var/lib/docker கோப்பகத்தைப் பகிர்ந்தால், உங்களுக்கு சிக்கல்கள் ஏற்படும். நிச்சயமாக, இது வேலை செய்யலாம், குறிப்பாக சோதனையின் ஆரம்ப கட்டங்களில். "கேளுங்கள், மா, நான் உபுண்டுவை டாக்கராக இயக்க முடியும்!" ஆனால் இரண்டு வெவ்வேறு நிகழ்வுகளில் இருந்து ஒரே படத்தை இழுப்பது போன்ற சிக்கலான ஒன்றை முயற்சிக்கவும், உலகம் எரிவதை நீங்கள் காண்பீர்கள்.
இதன் பொருள் என்னவென்றால், உங்கள் CI சிஸ்டம் பில்ட்கள் மற்றும் மறுகட்டமைப்பைச் செய்தால், ஒவ்வொரு முறையும் உங்கள் டோக்கர்-இன்-டோக்கர் கொள்கலனை மறுதொடக்கம் செய்தால், அதன் தற்காலிக சேமிப்பில் ஒரு அணுவைக் கைவிடும் அபாயம் உள்ளது. இது குளிர்ச்சியாக இல்லை!
சிக்கல் தீர்க்கும்
ஒரு படி பின்வாங்குவோம். உங்களுக்கு உண்மையில் Docker-in-Docker தேவையா அல்லது அந்த CI அமைப்பு ஒரு கொள்கலனில் இருக்கும் போது டோக்கரை இயக்கி, உங்கள் CI அமைப்பிலிருந்து கண்டெய்னர்கள் மற்றும் படங்களை உருவாக்கி இயக்க விரும்புகிறீர்களா?
பெரும்பாலான மக்கள் பிந்தைய விருப்பத்தை விரும்புகிறார்கள் என்று நான் பந்தயம் கட்டுகிறேன், அதாவது ஜென்கின்ஸ் போன்ற CI அமைப்பு கொள்கலன்களை இயக்க முடியும் என்று அவர்கள் விரும்புகிறார்கள். இதைச் செய்வதற்கான எளிதான வழி, உங்கள் CI கொள்கலனில் ஒரு டோக்கர் சாக்கெட்டைச் செருகி அதை -v கொடியுடன் இணைப்பதாகும்.
எளிமையாகச் சொன்னால், உங்கள் CI கொள்கலனை (ஜென்கின்ஸ் அல்லது பிற) இயக்கும்போது, டோக்கர்-இன்-டாக்கருடன் சேர்ந்து எதையாவது ஹேக் செய்வதற்குப் பதிலாக, அதை வரியுடன் தொடங்கவும்:
docker run -v /var/run/docker.sock:/var/run/docker.sock ...
இந்தக் கொள்கலன் இப்போது டோக்கர் சாக்கெட்டிற்கான அணுகலைக் கொண்டிருக்கும், எனவே கொள்கலன்களை இயக்க முடியும். "குழந்தை" கொள்கலன்களை இயக்குவதற்குப் பதிலாக, அது "உடன்பிறப்பு" கொள்கலன்களைத் தொடங்கும்.
அதிகாரப்பூர்வ டாக்கர் படத்தைப் பயன்படுத்தி இதை முயற்சிக்கவும் (இதில் டோக்கர் பைனரி உள்ளது):
docker run -v /var/run/docker.sock:/var/run/docker.sock
-ti docker
இது Docker-in-Docker போன்று தோற்றமளிக்கிறது மற்றும் வேலை செய்கிறது, ஆனால் இது Docker-in-Docker அல்ல: இந்தக் கொள்கலன் கூடுதல் கொள்கலன்களை உருவாக்கும் போது, அவை உயர்மட்ட டோக்கரில் உருவாக்கப்படும். கூடு கட்டுவதால் ஏற்படும் பக்கவிளைவுகளை நீங்கள் அனுபவிக்க மாட்டீர்கள் மேலும் அசெம்பிளி கேச் பல அழைப்புகளில் பகிரப்படும்.
குறிப்பு: இந்தக் கட்டுரையின் முந்தைய பதிப்புகள் டோக்கர் பைனரியை ஹோஸ்டிலிருந்து கொள்கலனுடன் இணைக்க அறிவுறுத்தியது. டோக்கர் இன்ஜின் நிலையான அல்லது அருகிலுள்ள நிலையான நூலகங்களை உள்ளடக்காது என்பதால் இது இப்போது நம்பமுடியாததாகிவிட்டது.
எனவே, நீங்கள் ஜென்கின்ஸ் CI இலிருந்து டோக்கரைப் பயன்படுத்த விரும்பினால், உங்களுக்கு 2 விருப்பங்கள் உள்ளன:
அடிப்படை பட பேக்கேஜிங் அமைப்பைப் பயன்படுத்தி Docker CLI ஐ நிறுவுதல் (அதாவது உங்கள் படம் டெபியனை அடிப்படையாகக் கொண்டால், .deb தொகுப்புகளைப் பயன்படுத்தவும்), Docker API ஐப் பயன்படுத்தி.
சில விளம்பரங்கள் 🙂
எங்களுடன் தங்கியதற்கு நன்றி. எங்கள் கட்டுரைகளை விரும்புகிறீர்களா? மேலும் சுவாரஸ்யமான உள்ளடக்கத்தைப் பார்க்க வேண்டுமா? ஒரு ஆர்டரை வைப்பதன் மூலம் அல்லது நண்பர்களுக்கு பரிந்துரை செய்வதன் மூலம் எங்களை ஆதரிக்கவும்,
ஆம்ஸ்டர்டாமில் உள்ள Equinix Tier IV தரவு மையத்தில் Dell R730xd 2 மடங்கு மலிவானதா? இங்கே மட்டும்
ஆதாரம்: www.habr.com