Dockerコンテナ内でdockerコマンドを使う(dockerクライアントバイナリだけインストール方法)

  • 5
    いいね
  • 0
    コメント

はじめに

Dockerコンテナ内でdockerコマンドが使いたい。
このエントリは、いわゆるDocker in Dockerでネストしたいわけではなくて、同じdockerデーモンを共有する兄弟コンテナを立てたい場合の話です。

どういうユースケースかというと、

  • 社内Heroku的なアプリケーションをDockerコンテナで動かして、Web画面をポチポチするとdocker service createしたいとか
  • HubotをDockerコンテナで動かして、特定の発言に反応してdocker runしたいとか
  • JenkinsをDockerコンテナで動かして、CIの実行でdocker runしたいとか

Dockerを使ってるとなんでもDockerにしたい病になるので、Dockerコンテナを起動するような必要があるアプリケーションもDockerで管理したい。

作戦としては必要なイメージにdockerクライアントのバイナリだけをインストールしておいて、
docker runするときにホスト側の/var/run/docker.sockをマウントする。

dockerクライアントだけをインストール

dockerコマンドだけ欲しいんだけど、普通にDockerをインストールするとデーモンも付いてくるし、インストール処理でいろいろ設定変更されるので、そういうのはして欲しくないんだ。

というわけで何か良い方法ないかなと思ってdockerのissueを眺めてたら同じような話があった
Release client-only binaries for Linux

要するにビルド済のバイナリはクライアントとデーモンで分かれたので、リリースページにダウンロードURL書いてあるからアーカイブを展開して必要なバイナリファイルだけコピーしてねということらしい。
https://github.com/docker/docker/releases

なるほど。やってみよう。ミニマムな検証コード。以下のDockerfileを準備する。

FROM debian:jessie

RUN apt-get update && apt-get install -y \
  curl \
  && rm -rf /var/lib/apt/lists/*

ENV DOCKER_CLIENT_VERSION=1.12.3
ENV DOCKER_API_VERSION=1.24
RUN curl -fsSL https://get.docker.com/builds/Linux/x86_64/docker-${DOCKER_CLIENT_VERSION}.tgz \
  | tar -xzC /usr/local/bin --strip=1 docker/docker

最初にcurlがなかったので、curlを入れてる。
で、簡単にワンライナーの解説しておくと、curlで必要なバイナリをダウンロードしてきたのをパイプでtarに渡して展開している。
このとき、 --strip=1 で展開時のディレクトリ作成を抑止し、 docker/docker が抽出したいファイルを指定して、 -C で展開先のパスを /usr/local/bin に指定することで中間ファイルを一切残さずに直接1ファイルだけ配置している。

ちなみに DOCKER_API_VERSION の環境変数を設定しているのは、dockerデーモンの方がバージョンが古くて通信できないときに、環境変数を上書きしてAPIをダウングレードする用です。dockerのバージョンとAPIバージョンの対応関係は以下を参照。

https://docs.docker.com/engine/reference/api/docker_remote_api/

稼働確認

よし。稼働確認してみよう。ポイントとして起動する時に -v でホスト側のdocker.sockをマウントします。
コンテナ側にホストのアクセスを許可しているのでセキュリティ的にリスクがあることはご注意下さい。

$ docker build -t docker-client ./
$ docker run --rm -it -v /var/run/docker.sock:/var/run/docker.sock docker-client /bin/bash
root@68a109a5d6e2:/# docker version
Client:
 Version:      1.12.3
 API version:  1.24
 Go version:   go1.6.3
 Git commit:   6b644ec
 Built:        Wed Oct 26 23:26:11 2016
 OS/Arch:      linux/amd64

Server:
 Version:      1.12.1
 API version:  1.24
 Go version:   go1.6.3
 Git commit:   23cf638
 Built:        Thu Aug 18 17:52:38 2016
 OS/Arch:      linux/amd64

root@68a109a5d6e2:/# docker run nginx nginx -V
nginx version: nginx/1.11.5
built by gcc 4.9.2 (Debian 4.9.2-10)
built with OpenSSL 1.0.1t  3 May 2016
TLS SNI support enabled
configure arguments: --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx --modules-path=/usr/lib/nginx/modules --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --pid-path=/var/run/nginx.pid --lock-path=/var/run/nginx.lock --http-client-body-temp-path=/var/cache/nginx/client_temp --http-proxy-temp-path=/var/cache/nginx/proxy_temp --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp --http-scgi-temp-path=/var/cache/nginx/scgi_temp --user=nginx --group=nginx --with-compat --with-file-aio --with-threads --with-http_addition_module --with-http_auth_request_module --with-http_dav_module --with-http_flv_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_mp4_module --with-http_random_index_module --with-http_realip_module --with-http_secure_link_module --with-http_slice_module --with-http_ssl_module --with-http_stub_status_module --with-http_sub_module --with-http_v2_module --with-mail --with-mail_ssl_module --with-stream --with-stream_realip_module --with-stream_ssl_module --with-stream_ssl_preread_module --with-cc-opt='-g -O2 -fstack-protector-strong -Wformat -Werror=format-security -Wp,-D_FORTIFY_SOURCE=2' --with-ld-opt='-Wl,-z,relro -Wl,-z,now -Wl,--as-needed'

うん。よさげ。

dockerコマンドのバイナリだけ入ったDockerfile作っておくか。。。あ、?

ここまで書いてdockerコマンドのバイナリだけ入ったDockerfile作っておいたら便利そうだなと思って、
リポジトリを作ろうとしてふと誰かもう作ってないかDocker Hubを調べたら、
公式のdocker自体のDockerfileが似たようなことをしていた。
ワンライナーじゃないし、クライアント以外のバイナリもコピーしちゃってるけど。

https://hub.docker.com/_/docker/

そうか公式か。あとから考えるとあってしかるべきなんだけど。その発想はなかった。
公式の方がチェックサム確認してたりするので、ちゃんとしてます。
ちゃんとチェックサムみたい人は公式のDockefileを参考にするとよいんじゃなかろうか。

そして、よくよく考えたら、何かのベースのイメージがあってそのなかでdockerコマンドが使いたいんであって、
dockerコマンドだけ使えるDockerfileあっても、ホストのdockerコマンド使えよってだけで、あんまりうれしくないよね。
Fromで継承するのはたぶんそのアプリケーションの言語のランタイムになるだろう。
というわけでdockerコマンドが必要なイメージにさっきのcurlのワンライナーをコピペする運用で十分な気がする。

まとめ

Dockerコンテナ内でdockerコマンドが使い方が分かった。これでdockerizeが捗りますね。