Запуск докеров внутри докеров (a.k.a. dind), при возможности, следует избегать, если это вообще возможно. (Источник приведен ниже). Вместо этого вы хотите настроить способ для вашего основного контейнера производить и связываться с контейнерами sibling.
Jérôme Petazzoni - автор функции, которая позволила Docker работать внутри контейнера Docker - фактически написана a blog post saying not to do it. Пример использования, который он описывает, соответствует конкретному варианту использования OP контейнера CI Docker, который должен выполнять задания внутри других контейнеров Docker.
Petazzoni перечисляет две причины, по которым dind хлопотно:
- Это не очень хорошо взаимодействуют с модулями Linux безопасности (МНК).
- Это создает несоответствие файловых систем, создающих проблемы для контейнеров, созданных внутри родительских контейнеров.
Из этого сообщения в блоге, он описывает следующую альтернативу,
[] Простейший способ это просто разоблачить разъем Docker к вашему CI контейнера, путем привязки-монтажным его с -v флагом.
Проще говоря, когда вы начинаете свой CI контейнер (Jenkins или другой), вместо того, чтобы хакерство что-то вместе с Докер-в-Докер, начните его с:
docker run -v /var/run/docker.sock:/var/run/docker.sock ...
Сейчас этот контейнер будет иметь доступ к Docker, и, следовательно, сможет запускать контейнеры. За исключением того, что вместо запуска «дочерних» контейнеров он будет запускать «брачные» контейнеры.
Другая возможность заключается в том, чтобы установить гнездо докера со стороны хоста в качестве объема в контейнере. Это позволяет создавать контейнеры «sibling» и имеет то преимущество, что вы можете повторно использовать кеш. –
Я обнаружил, что при использовании сокета-док-станции с хоста, в тех случаях, когда я хочу монтировать внешние тома, необходимо установить путь тома относительно хоста, так как он запускает демон докеров. Установка его относительно контейнера, который запускает контейнеры, не обязательно будет работать, если только пути не совпадают. –