ua-hosting Feb 16 2020 at 09:06

Хорошо подумайте, прежде чем использовать Docker-in-Docker для CI или тестовой среды

6 min

44K

ua-hosting.company corporate blogProgramming*IT Infrastructure*Version control systems*Debugging*

Translation

+20

Comments 13

gecube Feb 16 2020 at 10:37

Статья безнадежно устарела. А проброс сокета докера, ну, явно в разы менее безопасно, чем dind.
Для кубернетеса и пр — вообще придумали daemonless сборщики образов. Kaniko, buildah, umoci, img и пр. Тулинг все ещё активно развивается

AUFS, кстати, уже давно нет — везде overlay2

chemtech Feb 16 2020 at 10:46

В чем устарела статья?
Kaniko, buildah, umoci, img — они мало популярны.
Люди инертны и до сих пор используют docker без Kaniko, buildah, umoci, img.
Не везде overlay2. У нас сервера на CentOS 6-7, а там storage-driver=devicemapper

gecube Feb 16 2020 at 10:54

Ну, device-mapper — это все равно не aufs.

Kaniko, buildah, umoci, img — они мало популярны.

Ага, только вот другого нормального способа собирать образы докер в кубернетес не придумали. Нормальный — с кэшем, повторяемыми сборками, безопасный.

Если же мы говорим именно про docker на выделенных узлах, то действительно докер через сокет позволяет пользоваться кэшем сборок на хосте, но это порождает дополнительные проблемы — вроде невозможности конкуретнных сборок, очень жирный минус в безопасности (т.к. по факту контейнеры запущены в рамках одного демона на хосте). Проблемы со скоростью AUFS уже сейчас вроде как решены.
В общем, я предлагаю не слепо следовать рекомендациям из этой статьи, а думать своей головой. Ну, и самая мякотка — оригинал от 2015 года!!! Уже 2020 на дворе так-то

chemtech Feb 16 2020 at 10:59

Поэтому я не пользуюсь Docker-in-Docker.
Некоторые компании по уровню инфраструктурных утилит застряли на уровне 2015 года.
Для таких компаний пост актуальный

gecube Feb 16 2020 at 11:03

Для компаний из 2015 вообще в целом использование докера, кхм, наверное, нельзя рекомендовать.

Borikinternet Feb 16 2020 at 12:20

Тег #перевод был бы не лишним, по-моему

Arris Mar 2 2020 at 00:50

Было бы не лишним удаление статьи модераторами. Потому что это плохой, некачественный, совершенно невычитанный гуглоперевод.

IDVsbruck Feb 16 2020 at 16:00

У нас в компании еще в 2017 году прекратили использование privileged, я почему-то думал, что это deprecated фича, но мануал говорит, что ошибался. Но на корпоративном хосте запустить докер с повышенными привилегиями банально было нельзя, мы достаточно сложно обходили данные ограничения.

RoykerZen Feb 17 2020 at 12:24

Читал эту статью в оригинале еще 5 лет назад, когда она вышла. С тех пор многое изменилось, не вижу смысла заниматься некромантией.

Zhandos Feb 18 2020 at 14:22

эти подходы до сих пор используются, например я недавно столкнулся с этим при работе с Gitlab CI

chemtech Feb 21 2020 at 12:22

Пожалуйста, расскажите отдельной статьей.

akdes Feb 18 2020 at 15:02

Я сам активно "запилил" ci/cd на dind (gitlab runner) — он мне делает docker image и заливает в регистри гитлаб. Судя по комментам, я "устарел".
Скажите или опубликуйте пожалуйста, как делают сегодня, в 2020.

Спасибо

dmitriym09 Mar 13 2020 at 16:38

Так же делаем)