（一）Docker-in-Docker on Kubernetes

1. 场景

请参考docker in docker 文章

2. DinD

我们将采用主机Docker守护程序作为外部守护程序，Docker守护程序作为内部守护程序在容器内运行。运行DinD的一个重要方面是处理Docker守护进程存储的配置和管理。

3.Case 1: Pods and DooD

Kubectl create -f dood.yaml

apiVersion: v1
kind: Pod
metadata:
    name: dood
spec:
    containers:
      - name: docker-cmds
        image: docker:1.12.6
        command: ['docker', 'run', '-p', '80:80', 'httpd:latest']
        resources:
            requests:
                cpu: 10m
                memory: 256Mi
        volumeMounts:
          - mountPath: /var/run
            name: docker-sock
    volumes:
      - name: docker-sock
        hostPath:
            path: /var/run 

Pod将创建一个将在Pod外部运行的容器。通过使用DooD运行容器，您会为生成的容器丢失以下内容：

• Pod Networking - 无法使用Pod IP访问容器。
• Pod生命周期 - 在Pod终止时，此容器将继续运行，尤其是在容器以-dflag 启动时。
• Pod清理 - pod终止后不会清理图形存储。
• 调度和资源利用 - Pod请求的Cpu和内存仅用于Pod，而不是从Pod生成的容器。此外，生成的容器不会继承对Pod设置的CPU和内存的限制。

4. Case 1: Pods and DinD

apiVersion: v1
kind: Pod
metadata:
    name: dind
spec:
    containers:
      - name: docker-cmds
        image: docker:1.12.6
        command: ['docker', 'run', '-p', '80:80', 'httpd:latest']
        resources:
            requests:
                cpu: 10m
                memory: 256Mi
        env:
          - name: DOCKER_HOST
            value: tcp://localhost:2375
      - name: dind-daemon
        image: docker:1.12.6-dind
        resources:
            requests:
                cpu: 20m
                memory: 512Mi
        securityContext:
            privileged: true
        volumeMounts:
          - name: docker-graph-storage
            mountPath: /var/lib/docker
    volumes:
      - name: docker-graph-storage
        emptyDir: {}

5. 解决方案

我们在这里退一步吧。你真的想要Docker-in-Docker吗？或者你只是希望能够从CI系统运行Docker（特别是：构建，运行，有时推送容器和图像），而这个CI系统本身就在容器中？

我敢打赌，大多数人都想要后者。您想要的只是一个解决方案，以便像Jenkins这样的CI系统可以启动容器。

最简单的方法是将Docker套接字暴露给CI容器，方法是将其与-v标志绑定。

简单地说，当您启动CI容器（Jenkins或其他）时，不要与Docker-in-Docker一起攻击某些东西，而是启动它：

docker run -v /var/run/docker.sock:/var/run/docker.sock ...

现在这个容器可以访问Docker套接字，因此可以启动容器。除了不启动“子”容器，它将启动“兄弟”容器。

尝试使用docker官方图像（包含Docker二进制文件）：

docker run -v /var/run/docker.sock:/var/run/docker.sock \
           -ti docker

这看起来像Docker-in-Docker，感觉就像Docker-in-Docker，但它不是Docker-in-Docker：当这个容器创建更多容器时，这些容器将在顶级Docker中创建。您将不会遇到嵌套副作用，并且将在多个调用之间共享构建缓存。

️这篇文章的旧版本建议将docker二进制文件从主机绑定到容器。这不再可靠，因为Docker Engine不再作为（几乎）静态库分发。

如果您想使用Jenkins CI系统中的Docker，您有多种选择：

• 使用基本映像的打包系统安装Docker CLI（即如果您的映像基于Debian，请使用.deb包），
• 使用Docker API。

参考：https://www.jianshu.com/p/3b6c6c94b745

参考：http://dockone.io/article/2758

参考：https://applatix.com/case-docker-docker-kubernetes-part/

参考：https://container-solutions.com/running-docker-in-jenkins-in-docker/

参考：https://jpetazzo.github.io/2015/09/03/do-not-use-docker-in-docker-for-ci/

参考：https://applatix.com/case-docker-docker-kubernetes-part-2/

参考：https://hub.docker.com/_/docker/

参考：https://github.com/jpetazzo/dind

参考：https://www.codercto.com/a/33822.html

参考：https://hub.docker.com/_/docker/?tab=description

参考：https://blog.csdn.net/xts_huangxin/article/details/51502878

参考：https://www.jianshu.com/p/43ffba076bc9