DooD:Docker+Jenkins

第一次发布博客。希望可以给需要的朋友们一些帮助。

1. 基础环境

本文基于64位的CentOS 7.2系统，内核版本如下：

图1 宿主机的操作系统内核版本

Docker版本如下：

图2 Docker版本

如需安装Docker，请点击：安装Docker

如需安装Docker加速器，请点击：配置Docker加速器

2.在容器中调用docker命令有以下几种方式

2.1 DooD（Docker-outside-of-Docker）

其实就是运行一个Jenkins镜像的docker容器，这种方式使用socket套接字（一般默认是/var/run/docker.sock文件）和宿主机进行交互，只限于本地通信。不会去监听任何端口。在创建Jenkins镜像时，可以给jenkins用户赋予sudo权限来调用docker命令；或者将jenkins用户加入到docker组，就可以直接在容器中调用docker命令，下文会分别讲到两种情况的Dockerfile的写法。不过相比较于不同的宿主机docker组的不同，使用sudo更具有普适性和可移植性。

2.2 DinD（Docker in Docker）

顾名思义，就是在Docker容器中重新安装一个Docker应用。容器中安装Docker和宿主机安装的Docker是完全没有关联的两个程序。一般情况下，我们想要的只是一个运行于docker的CI/CD环境，我们需要容器内外只有一个docker engine。 DinD显然比我们想要的要复杂的多，而且可能还有一些意想不到的问题会出现。

更详细的了解，请参考下面两篇文章：

https://zhuanlan.zhihu.com/p/27208085

https://github.com/jpetazzo/dind

2.3 使用HTTP/HTTPS与Docker Engine通讯

Docker还可以对外暴露Remote API，通过http/https就可以与docker engine进行通信，因为打开Remote API相应的要对外暴露端口，所以相对来说是不安全的。

在Jenkins容器中可以通过配置相应的Docker plugin，并在“系统管理”——>“系统设置”——>“云”中增添响应的Remote API信息。

详细信息请参考：

https://docs.docker.com/engine/security/https/

进过对比，我使用的是第一种方式：DooD。

注意点：请确保宿主机的doeker server已经开启本地套接字访问和远程通信

3.在宿主机上开启本地套接字访问和远程通信

默认情况下，Docker守护进程会生成一个socket（/var/run/docker.sock）文件来进行本地进程通信，而不会监听任何端口，因此只能在本地使用docker客户端或者使用Docker API进行操作。

如果想在其他主机上操作Docker主机，就需要让Docker守护进程监听一个端口，这样才能实现远程通信。

目前开启本地套接字访问和远程通信有以下两种方式：

3.1 修改/etc/docker/daemon.json

把以下内容添加进json文件中，注意添加前请确认2375端口是否被占用！！！

如下图所示：

图3 开启Docker socket套接字和Remote API

sudo vi /etc/docker/daemon.json

{

"hosts": ["unix:///var/run/docker.sock","tcp://0.0.0.0:2375"]

}

sudo systemctl daemon-reload

sudo service docker restart

3.2 修改/etc/systemd/system/docker.service

sudo vi /etc/systemd/system/docker.service

ExecStart=/usr/bin/dockerd –H tcp://0.0.0.0:2375 -Hunix:///var/run/docker.sock

sudo systemctl daemon-reload

sudo service docker restart

以上两种方式都可以通过下面的方式验证 docker remote API的2375端口是否开启

netstat -apn | grep 2375

4. 搭建jenkins(DooD模式)

4.1 新建挂载目录

在本地宿主机上新建一个Jenkins镜像数据的挂载目录，进行Jenkins数据的备份和持久化；因为Jenkins镜像中的Dockerfile中/var/jenkins_home权限为1000:1000，所以此处我们需要修改宿主机上的挂载目录权限，否则会出现权限不足的问题。注意：如果在生产中这样使用，一开始需要给/var/jenkins分配一个合理的容量，否则随着jenkins构建的增多会出现空间不足等问题。如下图：

图4 创建Jenkins挂载目录

图5  Dockerfile中的JENKINS_HOME

sudo mkdir /var/jenkins

sudo chown 1000:1000 /var/jenkins/

ls -al /var/jenkins/

4.2 编写Dockerfile

第一种：在docker容器中，jenkins用户使用sudo执行docker命令

FROM jenkins/jenkins:lts

MAINTAINER Allen

USER root

#清除了基础镜像设置的源，切换成阿里云的jessie加快构建镜像速度

RUN echo '' > /etc/apt/sources.list.d/jessie-backports.list \

       && echo "deb http://mirrors.aliyun.com/debian jessie main contrib non-free" > /etc/apt/sources.list \

       && echo "deb http://mirrors.aliyun.com/debian jessie-updates main contrib non-free" >> /etc/apt/sources.list \

       && echo "deb http://mirrors.aliyun.com/debian-security jessie/updates main contrib non-free" >> /etc/apt/sources.list

RUN apt-get update -y \

      && apt-get install -y sudo \

      && apt-get install -y libltdl7 \

      && rm -rf /var/lib/apt/lists/*

RUN echo "jenkins ALL=NOPASSWD: ALL" >> /etc/sudoers

USER jenkins

第二种：在docker容器中，jenkins用户可直接使用docker命令

FROM jenkins/jenkins:lts

MAINTAINER Allen

USER root

ARG docker_gid=1001

#清除了基础镜像设置的源，切换成阿里云的jessie加快构建镜像速度

RUN echo '' > /etc/apt/sources.list.d/jessie-backports.list \

    && echo "deb http://mirrors.aliyun.com/debian jessie main contrib non-free" > /etc/apt/sources.list \

    && echo "deb http://mirrors.aliyun.com/debian jessie-updates main contrib non-free" >> /etc/apt/sources.list \

    && echo "deb http://mirrors.aliyun.com/debian-security jessie/updates main contrib non-free" >> /etc/apt/sources.list

RUN apt-get update -y \

     && apt-get install -y libltdl7 \

    && rm -rf /var/lib/apt/lists/*

RUN echo "docker:x:${docker_gid}:jenkins" >> /etc/group

USER jenkins

我选用的是第二种，但是因为所在宿主机的不同，docker_gid会有所差异，建议使用第一种方式。

4.3 构建jenkins镜像

在上一步构建好的Dockerfile所在目录，执行下面的命令构建Jenkins镜像

docker build -t jenkins:v1 .

图6 构建成功部分日志

4.4 启动Jenkins容器

使用上一步构建好的镜像，启动Jenkins容器，命令如下

docker run -d -p 8080:8080 -p50000:50000 --name jenkins -v /var/jenkins/:/var/jenkins_home -v /var/run/docker.sock:/var/run/docker.sock -v $(which docker):/usr/bin/docker jenkins:v1

图7 启动Jenkins容器

4.4 查看Jenkins日志

使用如下命令查看安装密码，也可直接去看容器里边对应位置的文件（/var/jenkins_home/secrets/initialAdminPassword），或者去宿主机挂载的目录下查看文件（/var/jenkins//secrets/initialAdminPassword）

docker logs jenkins

图8 查看Jenkins安装密码

4.5 按步骤安装Jenkins

图9 Jenkins安装步骤1

图10 Jenkins安装步骤2

图11 Jenkins安装步骤3

图12 Jenkins安装步骤4  

图13 Jenkins安装步骤5 

5. 搭建过程遇到的问题（未完待续）

5.1 docker-client版本问题

Q1:搭建的jenkins容器出现下列错误，在容器中无法正常运行docker命令，可能是docker client的版本问题。

图14 Jenkins-client版本问题

我当时出现问题的版本如下：

图15 docker version

A1:该问题，有两种解决办法：第一，卸载重新安装合适的版本，上图这个版本是我使用yum install 安装的版本；第二种，只需安装docker-client。

参考资料：

Docker官网：https://www.docker.com/

Docker社区：https://forums.docker.com/

DaoCloud：https://www.daocloud.io/

DockOne:http://dockone.io/

Jenkins Base Dockerfile Github:https://github.com/jenkinsci/docker/blob/master/Dockerfile

https://zhuanlan.zhihu.com/p/27208085

https://www.cnblogs.com/leolztang/p/6934694.html

https://blog.csdn.net/xinluke/article/details/52267995

https://www.cnblogs.com/leolztang/p/6934694.html