Зачем нужен Docker in Docker (Dind)?

Question

[Василий Алибабаевич]

Здравствуйте знатоки!

Объясните, пожалуйста. Я смотрю видеокурс по Gitlab Ci/Cd и там часто затрагивается тема docker in docker. Но я не могу понять для чего это нужно.
Я вот понимаю, для чего отдельный докер контейнер запускать, но вот зачем контейнер внутри контейнера - не пойму...И в рамках Ci/Cd процессов.

Answer 1

[Игорь Махов]

Могу объяснить: когда вы запускаете Job-ы в docker контейнере и вам потребовалось обрати ться к демону докера (чтобы собрать образы напрмер) у вас есть два варианта: подключиться к тому же демону, в котором вы сами сидите (путем проброса сокета демона докера в контейнер, так назывемый socket binding), однако в таком случае возникают серьезные проблемы с безопасностью, так как из job-ы становится возможным управлять основным демоном и соответственно глушить чужие job-ы или вытаскивать чужие образы, которые собирались на этом же демоне. Поэтому пременяется другой подход: праллельно с контейнером в котором работает ваша job-а стартует еще один контейнер с демоном docker-in-docker, который доступен только для этой job-ы и не оставляет следов после ее завершения.

Comments

[Василий Алибабаевич]

тоесть, это обусловлено лишь целями безопасности?

[shurshur]

Василий Алибабаевич, не только. Например, у нас есть большой сервис по предоставлению услуг развёртывания контейнеров, что будет, если клиенту нужно разворачивать свои контейнеры, которые пересекутся по именам с именами чужих контейнеров? Например, заведу я контейнер project-db и project-app, а кто-то ещё тоже решил свой проект назвать project и перечётся со мной, и что?

Конечно, это можно решить отдельными виртуалками или LXC-контейнерами, но разворачивание из докера привлекательнее с точки зрения скорости деплоя и универсальности.

Разумеется, сама мысль везде пихать докер внутрь докера ущербна. Это следует делать только тогда, когда это действительно оправдано и удобно. Впрочем, практика показывает, что докеры часто рвутся использовать не по делу, особенно люди с малым опытом.

Answer 2

[vreitech]

возможность запускать контейнер внутри контейнера нужна тогда, когда нет возможности запустить контейнер вне контейнера. например, когда для Gitlab CI/CD используется pipeline в контейнере (контейнер с gitlab-runner'ом), и в скриптах .gitlab-ci.yml имеются запуски других контейнеров (т. е. внутри контейнера с gitlab-runner'ом).

Comments

[Василий Алибабаевич]

Правильно ли я понимаю, что гитлаб-раннер с выбранным экзекьютером будь-то shell или docker, выполняют одну и ту же функцию, только в разном исполнении (если можно так сказать) ?

[Василий Алибабаевич]

Почему вне контейнера нельзя запустить другой контейнер ? Лишь потому что гитлаб-раннер экзекьютер docker ? Или какая-то другая причина ?

[vreitech]

Василий Алибабаевич

гитлаб-раннер с выбранным экзекьютером будь-то shell или docker, выполняют одну и ту же функцию, только в

разном исполнени
да

Почему вне контейнера нельзя запустить другой контейнер ?

запустить контейнер самому? можно и вне контейнера.
запуск контейнера происходит через Gitlab CI под управлением раннера в контейнере докера? у вас уже ситуация, когда контейнер запускается из другого контейнера, и вам либо нужно решать задачу "выбраться из контейнера, чтобы не делать запуск контейнера в контейнере", либо задачу "обеспечить запуск контейнера в контейнере".

Лишь потому что гитлаб-раннер экзекьютер docker ?

ну да.

Answer 3

[Вадим]

Для того чтобы билдился или деплоился какой-то проект используются (временные) CI/CD агенты, которые часто представляют собой докер контейнеры с минимальным набором библиотек. Например нам нужно сбилдить приложение дотнет, но в агенте CI/CD нет dotnet команды и других библиотек. Таким образом мы запускаем внутри агента докер контейнер например из имейджа mcr.microsoft.com/dotnet/sdk, билдим в нем данное приложение и возвращаем dll-ки в агент, в качестве артифакта. Поскольку агент - сам докер контейнер, то у нас и получается докер в докере.