碼上快樂

相關內容    簡體    繁體

docker的/var/run/docker.sock參數

本文轉載自   查看原文   2019-06-28 12:56   3636 

關於/var/run/docker.sock參數
在創建docker容器時,有時會用到/var/run/docker.sock這樣的數據卷參數,例如以下docker-compose.yml,可以看到kafka容器的數據卷參數帶有/var/run/docker.sock:

version: '2'
services:
zookeeper:
container_name: zookeeper
image: wurstmeister/zookeeper
ports:
- "2181:2181"
kafka:
container_name: kafka
image: wurstmeister/kafka:2.11-0.11.0.3
ports:
- "9092"
environment:
KAFKA_ADVERTISED_LISTENERS: PLAINTEXT://:9092
KAFKA_LISTENERS: PLAINTEXT://:9092
KAFKA_ZOOKEEPER_CONNECT: zookeeper:2181
volumes:
- /var/run/docker.sock:/var/run/docker.sock
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
本文要聊的就是這個/var/run/docker.sock參數。


注:關於上述docker-compose.yml的作用和相關實戰,請參考《kafka的Docker鏡像使用說明(wurstmeister/kafka)》;

預備知識
搞清楚/var/run/docker.sock參數的前提是了解docker的client+server架構,如下是執行docker version命令的結果:

[root@minikube ~]# docker version
Client:
Version: 1.13.1
API version: 1.26
Package version: docker-1.13.1-96.gitb2f74b2.el7.centos.x86_64
Go version: go1.10.3
Git commit: b2f74b2/1.13.1
Built: Wed May 1 14:55:20 2019
OS/Arch: linux/amd64

Server:
Version: 1.13.1
API version: 1.26 (minimum version 1.12)
Package version: docker-1.13.1-96.gitb2f74b2.el7.centos.x86_64
Go version: go1.10.3
Git commit: b2f74b2/1.13.1
Built: Wed May 1 14:55:20 2019
OS/Arch: linux/amd64
Experimental: false
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
可見在電腦上運行的docker由client和server組成,我們輸入docker version命令實際上是通過客戶端將請求發送到同一台電腦上的Doceker Daemon服務,由Docker Daemon返回信息,客戶端收到信息后展示在控制台上,來自stack overflow的架構圖如下:

做好了准備工作就可以進入正題了。

官方解釋
從下面這個官方文檔看起,地址是:https://docs.docker.com/v17.09/engine/reference/commandline/dockerd/#description

上圖是Docker Daemon的配置參數,紅框處可見daemon默認監聽的是/var/run/docker.sock這個文件,所以docker客戶端只要把請求發往這里,daemon就能收到並且做出響應。

按照上面的解釋來推理:我們也可以向/var/run/docker.sock發送請求,也能達到docker ps、docker images這樣的效果;

好吧,來試試!

向Docker Daemon發送請求
為了驗證Docker Daemon可以通過/var/run/docker.sock接收請求,我們用curl命令來驗證,測試環境如下:

操作系統:CentOS Linux release 7.6.1810
Docker: 1.13.1
接下來開始動手驗證:

執行docker image命令看本地有哪些鏡像:
[root@centos7 ~]# docker images
REPOSITORY TAG IMAGE ID CREATED SIZE
docker.io/tomcat 8.5.42-jdk8-openjdk-slim d9f443abac03 7 days ago 286 MB
docker.io/nginx 1.16.0-alpine ef04b00b089d 6 weeks ago 20.4 MB
1
2
3
4
可見有tomcat和nginx兩個鏡像;
2. 執行docker ps命令看本地有哪些正在運行的容器:

[root@centos7 ~]# docker ps
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
37df022f2429 docker.io/tomcat:8.5.42-jdk8-openjdk-slim "catalina.sh run" 7 minutes ago Up 7 minutes 8080/tcp tomcat
1
2
3
可見只運行了一個tomcat容器;
3. 執行以下命令,可以直接發http請求到Docker Daemon,獲取本地鏡像列表,等同於docker image:

curl -s --unix-socket /var/run/docker.sock http:/images/json
1
收到的響應是JSON,格式化后如下所示,可見通過/var/run/docker.sock向Docker Daemon發送請求是沒有問題的:

[
{
"Containers": -1,
"Created": 1560552952,
"Id": "sha256:d9f443abac03d29c12d600d5e65dbb831fb75d681ade76a541daa5ecfeaf54df",
"Labels": null,
"ParentId": "",
"RepoDigests": [
"docker.io/tomcat@sha256:aa736d24929d391d98ece184b810cca869a31312942f2b45309b9acd063d36ae"
],
"RepoTags": [
"docker.io/tomcat:8.5.42-jdk8-openjdk-slim"
],
"SharedSize": -1,
"Size": 286484547,
"VirtualSize": 286484547
},
{
"Containers": -1,
"Created": 1557535081,
"Id": "sha256:ef04b00b089d1dc0f8afe7d9baea21609ff3edf91893687aed0eec1351429ff6",
"Labels": {
"maintainer": "NGINX Docker Maintainers <docker-maint@nginx.com>"
},
"ParentId": "",
"RepoDigests": [
"docker.io/nginx@sha256:270bea203d2fc3743fb9ce0193325e188b7e6233043487e3d3cf117ea4d3f337"
],
"RepoTags": [
"docker.io/nginx:1.16.0-alpine"
],
"SharedSize": -1,
"Size": 20421143,
"VirtualSize": 20421143
}
]
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
執行以下命令,可以直接發http請求到Docker Daemon,獲取運行中的容器列表,等同於docker ps:
curl -s --unix-socket /var/run/docker.sock http:/containers/json
1
收到的響應是JSON,格式化后如下所示:

[
{
"Id": "37df022f242924526750cda7580edb487085f9acde0ae65e2cebc7529fb02d5d",
"Names": [
"/tomcat"
],
"Image": "docker.io/tomcat:8.5.42-jdk8-openjdk-slim",
"ImageID": "sha256:d9f443abac03d29c12d600d5e65dbb831fb75d681ade76a541daa5ecfeaf54df",
"Command": "catalina.sh run",
"Created": 1561172541,
"Ports": [
{
"PrivatePort": 8080,
"Type": "tcp"
}
],
"Labels": {},
"State": "running",
"Status": "Up 18 minutes",
"HostConfig": {
"NetworkMode": "default"
},
"NetworkSettings": {
"Networks": {
"bridge": {
"IPAMConfig": null,
"Links": null,
"Aliases": null,
"NetworkID": "4509fb8eabe34dc61145284a637f138c2b734683749e590be878afb1763f07a9",
"EndpointID": "ebb5de894f92c36a88aa01f785be4b4782723c565e1628ea77bccf7a9c32017a",
"Gateway": "172.17.0.1",
"IPAddress": "172.17.0.2",
"IPPrefixLen": 16,
"IPv6Gateway": "",
"GlobalIPv6Address": "",
"GlobalIPv6PrefixLen": 0,
"MacAddress": "02:42:ac:11:00:02"
}
}
},
"Mounts": []
}
]
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
更多與Docker Daemon交互的請求信息請參考官方文檔:https://docs.docker.com/engine/api/v1.39 ,信息很全面,如下圖:

至此,我們對docker的client、server架構有了清楚的認識:Docker Daemon相當於一個server,監聽來自/var/run/docker.sock的請求,然后做出各種響應,例如返回鏡像列表,創建容器。
順便搞清楚一個常見問題
有個常見的問題相信大家都遇見過,執行docker命令時控制台報錯如下:
[root@centos7 ~]# docker ps
Cannot connect to the Docker daemon at unix:///var/run/docker.sock. Is the docker daemon running?
1
2
此時的您一定很清楚問題原因了:Docker Daemon服務不正常,所以客戶端發送請求得不到響應
2. 用systemctl status docker命令看看Docker Daemon狀態,應該是停止或報錯:

[root@centos7 ~]# systemctl status docker
● docker.service - Docker Application Container Engine
Loaded: loaded (/usr/lib/systemd/system/docker.service; enabled; vendor preset: disabled)
Active: inactive (dead) since 六 2019-06-22 11:45:14 CST; 3min 58s ago
Docs: http://docs.docker.com
Process: 9134 ExecStart=/usr/bin/dockerd-current --add-runtime docker-runc=/usr/libexec/docker/docker-runc-current --default-runtime=docker-runc --exec-opt native.cgroupdriver=systemd --userland-proxy-path=/usr/libexec/docker/docker-proxy-current --init-path=/usr/libexec/docker/docker-init-current --seccomp-profile=/etc/docker/seccomp.json $OPTIONS $DOCKER_STORAGE_OPTIONS $DOCKER_NETWORK_OPTIONS $ADD_REGISTRY $BLOCK_REGISTRY $INSECURE_REGISTRY $REGISTRIES (code=exited, status=0/SUCCESS)
Main PID: 9134 (code=exited, status=0/SUCCESS)
1
2
3
4
5
6
7
如果是停止狀態,執行systemctl start docker啟動服務即可,如果是錯誤就要case by case去分析了。
開篇問題
再回到文章開篇處的問題,啟動容器時的數據卷參數"/var/run/docker.sock:/var/run/docker.sock"有什么用?相信您已經猜到了:

宿主機的/var/run/docker.sock被映射到了容器內,有以下兩個作用:

在容器內只要向/var/run/docker.sock發送http請求就能和Docker Daemon通信了,可以做的事情前面已經試過了,官方提供的API文檔中有詳細說明,鏡像列表、容器列表這些統統不在話下;
如果容器內有docker文件,那么在容器內執行docker ps、docker port這些命令,和在宿主機上執行的效果是一樣的,因為容器內和宿主機上的docker文件雖然不同,但是他們的請求發往的是同一個Docker Daemon;
基於以上結論,開篇問題中的鏡像wurstmeister/kafka:2.11-0.11.0.3既然用到了/var/run/docker.sock參數,那么該容器應該會向Docker Daemon發送請求,接下來我們嘗試着分析一下,看看能否證實這個推測;

證實推測
去鏡像的官網找到容器啟動時自動執行的腳本 start-kafka.sh,地址是:https://github.com/wurstmeister/kafka-docker/blob/0.10.0/start-kafka.sh ,如下圖紅框所示,果然有用到docker客戶端,執行的是docker port命令:

上圖紅框中的功能:通過docker port命令得到該容器的端口映射信息,再通過sed命令從該信息中取得端口號,然后再用export命令暴露出去。

還剩最后一個問題:上圖紅框中的docker命令在容器中可以執行么?會不會提示"找不到docker命令"?
對於這個問題,我的猜測是該鏡像已經包含了可執行文件"docker",所以去看看該鏡像的Dockerfile文件吧,地址是:https://github.com/wurstmeister/kafka-docker/blob/0.10.0/Dockerfile 如下圖紅框,果然在構建鏡像的時候就安裝了docker應用,因此在容器中執行docker xxx命令是沒問題的:

至此,所有理論上的推測都找到了直接證據,可以動手驗證:進kafka容器內試試docker命令。

驗證上述分析
首先確保您的電腦上docker、docker-compose都已經裝好可以正常使用;
創建名為docker-compose.yml的文件,內容如下(其實就是開篇貼出的那個):
version: '2'
services:
zookeeper:
container_name: zookeeper
image: wurstmeister/zookeeper
ports:
- "2181:2181"
kafka:
container_name: kafka
image: wurstmeister/kafka:2.11-0.11.0.3
ports:
- "9092"
environment:
KAFKA_ADVERTISED_LISTENERS: PLAINTEXT://:9092
KAFKA_LISTENERS: PLAINTEXT://:9092
KAFKA_ZOOKEEPER_CONNECT: zookeeper:2181
volumes:
- /var/run/docker.sock:/var/run/docker.sock
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
在docker-compose.yml所在目錄執行命令docker-compose up -d創建容器:
[root@centos7 22]# docker-compose up -d
Creating network "22_default" with the default driver
Creating zookeeper ... done
Creating kafka ...
1
2
3
4
執行以下命令進入kafka容器:
docker exec -it kafka /bin/bash
1
在容器內執行命令docker ps,看到的內容和在宿主機上執行docker ps命令是一樣的:
bash-4.4# docker ps
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
d612301ea365 wurstmeister/zookeeper "/bin/sh -c '/usr/sb…" 3 hours ago Up 2 hours 22/tcp, 2888/tcp, 3888/tcp, 0.0.0.0:2181->2181/tcp zookeeper
9310ab2d82f4 wurstmeister/kafka:2.11-0.11.0.3 "start-kafka.sh" 3 hours ago Up 2 hours 0.0.0.0:32769->9092/tcp kafka
1
2
3
4
可見容器內的docker客戶端發出的請求的確是到達了宿主機的Docker Daemon,並且收到了響應。
6. 在容器內執行命令ps -ef|grep docker,沒有結果,證明容器內沒有Docker Daemon服務在運行,在宿主機執行此命令可以看到如下內容,證明宿主機上的Docker Daemon服務是正常的:

[root@centos7 22]# ps -ef|grep docker
root 14604 1 0 12:00 ? 00:00:46 /usr/bin/dockerd-current --add-runtime docker-runc=/usr/libexec/docker/docker-runc-current --default-runtime=docker-runc --exec-opt native.cgroupdriver=systemd --userland-proxy-path=/usr/libexec/docker/docker-proxy-current --init-path=/usr/libexec/docker/docker-init-current --seccomp-profile=/etc/docker/seccomp.json --selinux-enabled --log-driver=journald --signature-verification=false --storage-driver overlay2
root 14610 14604 0 12:00 ? 00:00:11 /usr/bin/docker-containerd-current -l unix:///var/run/docker/libcontainerd/docker-containerd.sock --metrics-interval=0 --start-timeout 2m --state-dir /var/run/docker/libcontainerd/containerd --shim docker-containerd-shim --runtime docker-runc --runtime-args --systemd-cgroup=true
root 27981 14604 0 16:03 ? 00:00:00 /usr/libexec/docker/docker-proxy-current -proto tcp -host-ip 0.0.0.0 -host-port 32769 -container-ip 172.18.0.2 -container-port 9092
root 27999 14610 0 16:03 ? 00:00:00 /usr/bin/docker-containerd-shim-current 9310ab2d82f41629f734a9dcf54d0002945eaccb7cfcc2352d5a76141a709a14 /var/run/docker/libcontainerd/9310ab2d82f41629f734a9dcf54d0002945eaccb7cfcc2352d5a76141a709a14 /usr/libexec/docker/docker-runc-current
root 28022 14604 0 16:03 ? 00:00:00 /usr/libexec/docker/docker-proxy-current -proto tcp -host-ip 0.0.0.0 -host-port 2181 -container-ip 172.18.0.3 -container-port 2181
root 28029 14610 0 16:03 ? 00:00:00 /usr/bin/docker-containerd-shim-current d612301ea365ac6c6e2b8987e28beb2c2c3eccca720e7d5d7214bf9945c15034 /var/run/docker/libcontainerd/d612301ea365ac6c6e2b8987e28beb2c2c3eccca720e7d5d7214bf9945c15034 /usr/libexec/docker/docker-runc-current
root 38299 10540 0 19:23 pts/0 00:00:00 grep --color=auto docker
1
2
3
4
5
6
7
8
優化建議
目前我們docker的client、server架構已經比較清楚了,對開篇的問題也找到了答案,不過細心的您是否注意到一個問題,如下圖,這是kafka鏡像的Dockerfile文件:

上圖顯示kafka鏡像中安裝了docker應用,這里面包含了client和daemon,但實際上只用到了client,這樣是否有些浪費呢?如果以后我們制作鏡像的時候要用到docker客戶端,難道我們的鏡像也要這樣把整個docker應用裝好么?

一篇來自官方的文檔給我們了啟發,地址是:https://docs.docker.com/docker-for-azure/upgrade/ ,如下圖紅框所示,將宿主機的可執行文件docker映射到容器的/usr/bin目錄下,這樣容器啟動后就可以直接執行docker命令了:

至此,對docker的/var/run/docker.sock參數的學習和實戰就全部完成了,希望本文能幫助您加深對docker的理解,靈活的使用該參數可以助您設計出更強大的docker鏡像。
---------------------


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 關於/var/run/docker.sock docker的/var/run/docker.sock參數(待總結) Docker in Docker(實際上是 Docker outside Docker): /var/run/docker.sock 執行docker ps時提示"dial unix /var/run/docker.sock: connect: permission denied"如何處理? docker dial unix /var/run/docker.sock: connect: permission denied docker啟動失敗(can't create unix socket /var/run/docker.sock: is a directory) 安裝Docker時錯誤提示 "could not change group /var/run/docker.sock to docker: group docker not found"的解決方案 [問題解決]Got permission denied while trying to connect to the Docker daemon socket at unix:///var/run/docker.sock 【解決】Got permission denied while trying to connect to the Docker daemon socket at......dial unix /var/run/docker.sock: permission denied docker 解決:Get http:///var/run/docker.sock/v1.19/version: dial unix /var/run/docker.sock: no such file or directory. Are you trying to connect to a TLS-enabled daemon without TLS?
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM