Dockerデーモンフラグは無視されました
環境:
- [〜#〜] os [〜#〜]:debian 8.0.0-AMD64、ubuntu-15.04、16.04
- Docker:1.x.x
手順:
/etc/default/dockerを変更してプライベートDockerレジストリを追加し、Dockerサービスを再起動して、ようやくいくつかのイメージをプルしようとしました。
$ cat /etc/default/docker
DOCKER_OPTS="--insecure-registry mydocker-registry.net:5000"
$ service docker restart
$ docker pull mydocker-registry.net:5000/testdb
FATA[0000] Error: v1 ping attempt failed with error: Get https://mydocker-
registry.net:5000/v1/_ping: dial tcp: lookup mydocker-registry.net: no
such Host. If this private registry supports only HTTP or HTTPS with an
unknown CA certificate, please add `--insecure-registry mydocker-
registry.net:5000` to the daemon's arguments. In the case of HTTPS, if
you have access to the registry's CA certificate, no need for the flag;
simply place the CA certificate at /etc/docker/certs.d/mydocker-
registry.net:5000/ca.crt
ps出力は、DOCKER_OPTS環境変数について何も示しません。
$ ps auxwww|grep docker
root 6919 0.0 0.1 331076 19984 ? Ssl 10:14 0:00 /usr/bin/docker -d -H fd://
質問:
Dockerのドキュメントによると、プライベートレジストリを使用する方法は、/etc/default/dockerのDOCKER_OPTSを使用することです。それを行った後、なぜこの環境では有効にならないのですか?
ノート:
- プライベートレジストリのホスト名はDNSによって正しく解決されます。
推奨される方法Docker 17.xx +
Dockerデーモンのデーモンフラグと環境変数を構成するには、いくつかの方法があります。 推奨される方法 は、プラットフォームに依存しないdaemon.jsonファイルを使用することです。このファイルは、デフォルトではLinuxの/etc/docker/にあります。
したがって、安全でないレジストリを構成するには、次のようにします。
/etc/docker/daemon.jsonファイルに次のフラグを設定します。{ "insecure-registries": ["mydocker-registry.net:5000"] }Dockerを再起動します
$ Sudo systemctl restart docker
毎回もっと簡単に!
Docker 1.12で以前推奨されていた方法
docker documentation によると、Dockerデーモンのデーモンフラグと環境変数を構成するための推奨される方法は、systemdを使用することですドロップインファイル。
したがって、この特定のケースでは、以下を実行します。
次の内容の
/etc/systemd/system/docker.service.d/private-registry.confというファイルを作成します。存在しない場合は、ディレクトリ
/etc/systemd/system/docker.service.dを作成します[Service] ExecStart= ExecStart=/usr/bin/dockerd --insecure-registry mydocker-registry.net:5000フラッシュの変更:
$ Sudo systemctl daemon-reloadDockerを再起動します。
$ Sudo systemctl restart docker
出来上がり!
推奨されない方法
ファイルを編集/lib/systemd/system/docker.service
...
[Service]
ExecStart=/usr/bin/docker -d -H fd:// $DOCKER_OPTS
...
EnvironmentFile=-/etc/default/docker
...
次に実行します
systemctl daemon-reload
systemctl restart docker
/etc/default/dockerが読み込まれていることを確認する
ps auxwww | grep docker
root 4989 0.8 0.1 265540 16608 ? Ssl 10:37 0:00 /usr/bin/docker -d -H fd:// --insecure-registry
それでおしまい。
Docker Ubuntu 16.04を使用して1.12.xで状況が変更されたようです。更新された documentation に基づく
DOCKER_OPTS="-g /mnt/somewhere/else/docker/ --storage-driver=overlay2"を/etc/default/dockerに追加
ファイルを編集/lib/systemd/system/docker.service
...
[Service]
ExecStart=/usr/bin/dockerd -H fd:// $DOCKER_OPTS
...
EnvironmentFile=-/etc/default/docker
...
次に実行します:
Sudo systemctl daemon-reload
Sudo systemctl restart docker
Systemdベースのシステムは/ etc/default設定を読み取らないため、これらを/ etc/systemdに配置する必要があります。Dockerバグも参照してください docker bug#12926
現在、Dockerサイトに公式ドキュメントがあります。 systemdを使用してDockerを制御および構成する を参照してください。
サービスファイルを直接ハッキングして構成することはできません。
ArchおよびDebianベースのシステムでテストして動作します。ただし、廃止されたEnvironmentFileディレクティブを無視するオプションを含める必要がありました(リンクされたDockerリファレンスも参照してください。
-EnvironmentFile=/etc/default/docker
ExecStart=
ExecStart=/usr/bin/docker daemon ...
Systemdは、ExecStartまたはEnvironmentへのappendingオプション用に設計されていません。プラットフォームに依存しない最良の方法は、/etc/docker/daemon.json構成ファイル 。
見よ:
cat > /etc/docker/daemon.json <<DOCKERCONFIG
{
"labels": ["foo=bar"],
"insecure-registries": ["mydocker-registry.net:5000"]
}
DOCKERCONFIG
DOCKER_OPTSによる安全でないレジストリに対するUbuntu固有のソリューション
なぜなら...
$ dpkg --list | grep -i docker
ii docker.io 1.12.3-0ubuntu4~16.04.2 AMD64 Linux container runtime
...同梱...
$ cat /etc/systemd/system/multi-user.target.wants/docker.service
[Unit]
Description=Docker Application Container Engine
Documentation=https://docs.docker.com
After=network.target docker.socket
Requires=docker.socket
[Service]
Type=notify
# the default is not to use systemd for cgroups because the delegate issues still
# exists and systemd currently does not support the cgroup feature set required
# for containers run by docker
EnvironmentFile=-/etc/default/docker
ExecStart=/usr/bin/dockerd -H fd:// $DOCKER_OPTS
ExecReload=/bin/kill -s HUP $MAINPID
# Having non-zero Limit*s causes performance problems due to accounting overhead
# in the kernel. We recommend using cgroups to do container-local accounting.
LimitNOFILE=infinity
LimitNPROC=infinity
LimitCORE=infinity
# Uncomment TasksMax if your systemd version supports it.
# Only systemd 226 and above support this version.
TasksMax=infinity
TimeoutStartSec=0
# set delegate yes so that systemd does not reset the cgroups of docker containers
Delegate=yes
# kill only the docker process, not all processes in the cgroup
KillMode=process
[Install]
WantedBy=multi-user.target
...(具体的には、ExecStart=/usr/bin/dockerd -H fd:// $DOCKER_OPTS) [選択された回答] " 推奨される方法 "とDOCKER_OPTSを使用して、-H fd://を吹き飛ばさないようにするハイブリッドアプローチを実行できます。 ExecStartを再定義する場合のオプション
# The docker.io package doesn't create a systemd drop-ins directory, so we will
$ mkdir -p /etc/systemd/system/docker.service.d
$ cat > /etc/systemd/system/docker.service.d/10-insecure-registry.conf <<EOF
[Service]
Environment="DOCKER_OPTS=--insecure-registry docker.internal:5000"
EOF
私も同じような挑戦をしました。一部のシステムをUbuntu 14.04からUbuntu 16.04に移行することを検討し始めたとき。私の目標は、/ etc/docker/daemon.json以外のUbuntu 16.04(systemd)とUbuntu 14.04(Upstart)の両方で、1つのdockerd構成ファイルにdockerdフラグ(DOCKER_OPTS)を使用することでした。 jsonはコメントをサポートしていないため、Dockerデーモン構成に/etc/docker/daemon.jsonを使用しないことを選択しました。
Systemdデザインで、dockerdフラグのみを変更するオーバーライドファイルを使用する必要がありました。他のDocker設定には、デフォルトのDocker systemd構成ファイル(/lib/systemd/system/docker.service)を使用します。別の目的は、変更または起動するたびに、各システムでsystemdをカスタマイズすることでした。
それは私の挑戦を解決します。それはあなたを助けるかもしれません。
https://github.com/BradleyA/docker-security-infrastructure/tree/master/dockerd-configuration-options
git clone https://github.com/BradleyA/docker-scripts
cd docker-scripts/dockerd-configuration-options