Флаги демона докеров игнорируются

Окружающая среда:

  • ОС: debian 8.0.0-amd64, ubuntu-15.04, 16.04
  • Docker: 1.x.x

Процедура:

Я изменил /etc/default/docker, чтобы добавить приватный реестр докеров, затем перезапустил службу докеров и, наконец, попытался вытащить некоторое изображение.

$ cat /etc/default/docker
DOCKER_OPTS="--insecure-registry mydocker-registry.net:5000"

$ service docker restart

$ docker pull mydocker-registry.net:5000/testdb
FATA[0000] Error: v1 ping attempt failed with error: Get https://mydocker-
registry.net:5000/v1/_ping: dial tcp: lookup mydocker-registry.net: no 
such host. If this private registry supports only HTTP or HTTPS with an 
unknown CA certificate, please add `--insecure-registry mydocker-
registry.net:5000` to the daemon arguments. In the case of HTTPS, if 
you have access to the registry CA certificate, no need for the flag; 
simply place the CA certificate at /etc/docker/certs.d/mydocker-
registry.net:5000/ca.crt

A ps вывод ничего не показывает о среде DOCKER_OPTS var.

$ ps auxwww|grep docker
root  6919   0.0   0.1   331076   19984 ? Ssl 10:14   0:00 /usr/bin/docker -d -H fd://

Вопрос:

В соответствии с документацией докеров доступ к частному реестру осуществляется через DOCKER_OPTS в /etc/default/docker. Почему после этого он не вступает в силу в этой среде?

Примечания:

  • Имя хоста частного реестра правильно разрешено DNS.

Ответы

Ответ 1

Рекомендуемый способ Docker 17.xx +

Есть несколько способов настроить флаги демона и переменные окружения для вашего демона Docker. Рекомендуется использовать независимый от daemon.json файл daemon.json, который по умолчанию находится в /etc/docker/ в Linux.

Итак, для настройки небезопасных реестров сделайте следующее:

  1. Установите следующий флаг в файле /etc/docker/daemon.json:

    {
    "insecure-registries": ["mydocker-registry.net:5000"]
}

  2. Перезапустите Docker

     $ sudo systemctl restart docker

Проще каждый раз!

Ранее рекомендуемый способ с докером 1.12

Согласно документации докера, рекомендуемый способ настроить флаги демона и переменные среды для вашего демона Docker - это использовать системный файл dropd -in.

Итак, для этого конкретного случая сделайте следующее:

  1. Создайте файл /etc/systemd/system/docker.service.d/private-registry.conf со следующим содержимым:

    Если не существует, создайте каталог /etc/systemd/system/docker.service.d

    [Service]
ExecStart=
ExecStart=/usr/bin/dockerd --insecure-registry mydocker-registry.net:5000

  2. Флеш изменения:

    $ sudo systemctl daemon-reload

  3. Перезапустите Docker:

     $ sudo systemctl restart docker

Вуаля!

Не рекомендуемый способ

Отредактируйте файл /lib/systemd/system/docker.service

...
[Service]
ExecStart=/usr/bin/docker -d -H fd:// $DOCKER_OPTS
...
EnvironmentFile=-/etc/default/docker
...

Затем выполните

systemctl daemon-reload
systemctl restart docker

Убедитесь, что /etc/default/docker загружен

ps auxwww | grep docker
root      4989  0.8  0.1 265540 16608 ?        Ssl  10:37   0:00 /usr/bin/docker -d -H fd:// --insecure-registry

Это.

Ответ 2

Вещи, похоже, изменились в Ubuntu 16.04 с помощью docker 1.12.x. На основе обновленной документации

Добавьте DOCKER_OPTS="-g /mnt/somewhere/else/docker/ --storage-driver=overlay2" в /etc/default/docker

Редактировать файл /lib/systemd/system/docker.service

...
[Service]
ExecStart=/usr/bin/dockerd -H fd:// $DOCKER_OPTS
...
EnvironmentFile=-/etc/default/docker
...

Затем выполните:

sudo systemctl daemon-reload
sudo systemctl restart docker

Ответ 3

Системные системы не читают /etc/default конфигурации, вы должны поместить их в /etc/systemd сейчас, см. также ошибку докеры ошибка # 12926

Теперь есть официальная документация на сайте Docker, см. Управление и настройка Docker с помощью systemd.

Вы никогда не должны напрямую взламывать служебные файлы для конфигурации.

Протестировано и работает над системами на базе Arch и Debian - мне пришлось включить опцию игнорировать любые устаревшие директивы EnvironmentFile (см. также ссылку на Docker, но я не заметил ее поначалу и считал, что это не нужно)

-EnvironmentFile=/etc/default/docker
ExecStart=
ExecStart=/usr/bin/docker daemon ...

Ответ 4

Systemd действительно не предназначен для добавления параметров в ExecStart или Environment. Лучший, а также самый независимый от платформы способ - использовать конфигурационный файл /etc/docker/daemon.json .

Вот:

cat > /etc/docker/daemon.json <<DOCKERCONFIG
{
  "labels": ["foo=bar"],
  "insecure-registries": ["mydocker-registry.net:5000"]
}
DOCKERCONFIG

Ответ 5

Решение Ubuntu для небезопасного реестра через DOCKER_OPTS

Потому что...

$ dpkg --list | grep -i docker
ii  docker.io                          1.12.3-0ubuntu4~16.04.2            amd64        Linux container runtime

... отправляется с...

$ cat /etc/systemd/system/multi-user.target.wants/docker.service
[Unit]
Description=Docker Application Container Engine
Documentation=https://docs.docker.com
After=network.target docker.socket
Requires=docker.socket

[Service]
Type=notify
# the default is not to use systemd for cgroups because the delegate issues still
# exists and systemd currently does not support the cgroup feature set required
# for containers run by docker
EnvironmentFile=-/etc/default/docker
ExecStart=/usr/bin/dockerd -H fd:// $DOCKER_OPTS
ExecReload=/bin/kill -s HUP $MAINPID
# Having non-zero Limit*s causes performance problems due to accounting overhead
# in the kernel. We recommend using cgroups to do container-local accounting.
LimitNOFILE=infinity
LimitNPROC=infinity
LimitCORE=infinity
# Uncomment TasksMax if your systemd version supports it.
# Only systemd 226 and above support this version.
TasksMax=infinity
TimeoutStartSec=0
# set delegate yes so that systemd does not reset the cgroups of docker containers
Delegate=yes
# kill only the docker process, not all processes in the cgroup
KillMode=process

[Install]
WantedBy=multi-user.target

... (В частности: ExecStart=/usr/bin/dockerd -H fd:// $DOCKER_OPTS) вы можете использовать гибридный подход, сочетающий [выбранный ответ] " Рекомендуемый путь" и использование DOCKER_OPTS, чтобы не взорвать опцию -H fd://, если вы должны были переопределить ExecStart

# The docker.io package doesn't create a systemd drop-ins directory, so we will
$ mkdir -p /etc/systemd/system/docker.service.d
$ cat > /etc/systemd/system/docker.service.d/10-insecure-registry.conf <<EOF
[Service]
Environment="DOCKER_OPTS=--insecure-registry docker.internal:5000"
EOF

Ответ 6

У меня была похожая проблема. Когда я начал искать, чтобы начать перемещение некоторых систем из Ubuntu 14.04 в Ubuntu 16.04. Моя цель состояла в том, чтобы использовать один файл конфигурации dockerd с флагами dockerd (DOCKER_OPTS) для Ubuntu 16.04 (systemd) и Ubuntu 14.04 (Upstart), кроме /etc/docker/daemon.json. Я решил не использовать /etc/docker/daemon.json для настройки демона docker, потому что json не поддерживает комментарии.

Я хотел, чтобы дизайн systemd использовал файл переопределения, который только изменяет флаги dockerd. Он использует стандартный файл конфигурации Docker systemd (/lib/systemd/system/docker.service) для других настроек Docker. Другой целью было настроить systemd в каждой системе после каждого изменения или загрузки.

Это решает мою проблему. Это может помочь вам.

https://github.com/BradleyA/docker-security-infrastructure/tree/master/dockerd-configuration-options

git clone https://github.com/BradleyA/docker-scripts
cd docker-scripts/dockerd-configuration-options