ppc64le/docker

注意：这是 https://hub.docker.com/_/docker 的 ppc64le 架构构建的“按架构划分”仓库——更多信息请参见官方镜像文档中的 https://github.com/docker-library/official-images#architectures-other-than-amd64 和官方镜像 FAQ 中的 https://github.com/docker-library/faq#an-images-source-changed-in-git-now-what%E3%80%82

快速参考

• 维护者：
  https://github.com/docker-library/docker
• 获取帮助的途径：
  Docker 社区 Slack、Server Fault、Unix & Linux 或 Stack Overflow

支持的标签及对应的 Dockerfile 链接

警告：此镜像在 ppc64le 架构上不受支持

快速参考（续）

• 提交问题的位置：
  https://github.com/docker-library/docker/issues?q=
• 支持的架构：(https://github.com/docker-library/official-images#architectures-other-than-amd64)
  https://hub.docker.com/r/amd64/docker/%E3%80%81https://hub.docker.com/r/arm32v6/docker/%E3%80%81https://hub.docker.com/r/arm32v7/docker/%E3%80%81https://hub.docker.com/r/arm64v8/docker/%E3%80%81https://hub.docker.com/r/winamd64/docker/
• 已发布镜像工件详情：
  https://github.com/docker-library/repo-info/blob/master/repos/docker%EF%BC%88https://github.com/docker-library/repo-info/commits/master/repos/docker%EF%BC%89
  （镜像元数据、传输大小等）
• 镜像更新：
  https://github.com/docker-library/official-images/issues?q=label%3Alibrary%2Fdocker
  https://github.com/docker-library/official-images/blob/master/library/docker%EF%BC%88https://github.com/docker-library/official-images/commits/master/library/docker%EF%BC%89
• 此描述的来源：
  https://github.com/docker-library/docs/tree/master/docker%EF%BC%88https://github.com/docker-library/docs/commits/master/docker%EF%BC%89

什么是 Docker-in-Docker？

尽管通常不建议在 Docker 内部运行 Docker，但存在一些合法用例，例如 Docker 本身的开发。

Docker 是一个开源项目，通过在 Linux、Mac OS 和 Windows 上提供操作系统级虚拟化的额外抽象层和自动化，自动部署软件容器内的应用程序。

***.org/wiki/Docker_(software)

在运行 Docker-in-Docker 之前，请务必阅读 https://jpetazzo.github.io/2015/09/03/do-not-use-docker-in-docker-for-ci/%EF%BC%8C%E5%85%B6%E4%B8%AD%E4%BB%96%E6%A6%82%E8%BF%B0%E4%BA%86%E8%BF%99%E6%A0%B7%E5%81%9A%E7%9A%84%E4%B8%80%E4%BA%9B%E4%BC%98%E7%BC%BA%E7%82%B9%EF%BC%88%E4%BB%A5%E5%8F%8A%E6%82%A8%E5%8F%AF%E8%83%BD%E9%81%87%E5%88%B0%E7%9A%84%E4%B8%80%E4%BA%9B%E4%BB%A4%E4%BA%BA%E8%AE%A8%E5%8E%8C%E7%9A%84%E9%99%B7%E9%98%B1%EF%BC%89%E3%80%82

如果您仍然确信需要 Docker-in-Docker 而不仅仅是访问容器的主机 Docker 服务器，请继续阅读。

如何使用此镜像

TLS

从 18.09+ 版本开始，此镜像的 dind 变体将在 DOCKER_TLS_CERTDIR 环境变量指定的目录中自动生成 TLS 证书。

警告：在 18.09 版本中，此行为默认是禁用的（为了兼容性）。如果您使用 --network=host、共享网络命名空间（如 Kubernetes pod 中），或者以其他方式对容器具有网络访问权限（包括通过其网关接口在 dind 实例中启动的容器），这是一个潜在的安全问题（例如，可能导致对主机系统的访问）。建议通过将变量设置为适当的值（-e DOCKER_TLS_CERTDIR=/certs 或类似）来启用 TLS。在 19.03+ 版本中，此行为默认启用。

启用后，Docker 守护进程将以 --host=tcp://0.0.0.0:2376 --tlsverify ... 启动（禁用时，将以 --host=tcp://0.0.0.0:2375 启动）。

在 DOCKER_TLS_CERTDIR 指定的目录内，入口点脚本将创建/使用三个目录：

• ca：证书颁发机构文件（cert.pem、key.pem）
• server：dockerd（守护进程）证书文件（cert.pem、ca.pem、key.pem）
• client：docker（客户端）证书文件（cert.pem、ca.pem、key.pem；适用于 DOCKER_CERT_PATH）

为了从“客户端”容器利用此功能，至少需要共享 $DOCKER_TLS_CERTDIR 目录的 client 子目录（如以下示例所示）。

要禁用此镜像行为，只需覆盖容器命令或入口点以直接运行 dockerd（... ppc64le/docker:dind dockerd ... 或 ... --entrypoint dockerd ppc64le/docker:dind ...）。

启动守护进程实例

console
$ docker run --privileged --name some-docker -d \
	--network some-network --network-alias docker \
	-e DOCKER_TLS_CERTDIR=/certs \
	-v some-docker-certs-ca:/certs/ca \
	-v some-docker-certs-client:/certs/client \
	ppc64le/docker:dind

注意：--privileged 是 Docker-in-Docker 正常运行所必需的，但应谨慎使用，因为它提供对主机环境的完全访问权限，如 Docker 文档的相关部分 所述。

从第二个容器连接到它

console
$ docker run --rm --network some-network \
	-e DOCKER_TLS_CERTDIR=/certs \
	-v some-docker-certs-client:/certs/client:ro \
	ppc64le/docker:latest version

自定义守护进程标志

console
$ docker run --privileged --name some-docker -d \
	--network some-network --network-alias docker \
	-e DOCKER_TLS_CERTDIR=/certs \
	-v some-docker-certs-ca:/certs/ca \
	-v some-docker-certs-client:/certs/client \
	ppc64le/docker:dind --storage-driver overlay2

运行时设置注意事项

受 https://github.com/docker/docker-ce-packaging/blob/57ae892b13de399171fc33f878b70e72855747e6/systemd/docker.service#L30-L45 的启发，您可能需要考虑以下运行时配置选项的不同值，尤其是对于生产 Docker 实例：

console
$ docker run --privileged --name some-docker -d \
	... \
	--ulimit nofile=-1 \
	--ulimit nproc=-1 \
	--ulimit core=-1 \
	--pids-limit -1 \
	--oom-score-adj -500 \
	ppc64le/docker:dind

其中一些选项可能不被主机 dockerd 的设置支持，例如 --ulimit nofile=-1 会给出类似 error setting rlimit type 7: operation not permitted 的错误，有些可能从主机 dockerd 实例继承合理的值，或者可能不适用于您对 Docker-in-Docker 的使用（例如，您可能希望将 --oom-score-adj 设置为高于主机 Docker 实例的值，以便您的 Docker-in-Docker 实例在主机 Docker 实例之前被终止）。

数据存储位置

重要提示：有多种方式存储在 Docker 容器中运行的应用程序使用的数据。我们鼓励 docker 镜像的用户熟悉可用的选项，包括：

• 让 Docker 通过使用自己的内部卷管理在主机系统上写入磁盘来管理数据存储 （通过卷）。这是默认选项，对用户来说简单且相当透明。缺点是对于直接在主机系统上运行的工具和应用程序（即容器外部）来说，文件可能难以定位。
• 在主机系统上（容器外部）创建一个数据目录，并 将其挂载到容器内可见的目录。这将文件放置在主机系统上的已知位置，并使主机系统上的工具和应用程序易于访问这些文件。缺点是用户需要确保目录存在，并且主机系统上的目录权限和其他安全机制设置正确。

Docker 文档是了解不同存储选项和变体的良好起点，并且有许多博客和论坛帖子讨论并提供这方面的建议。我们在此仅展示上述后一种选项的基本步骤：

1. 在主机系统的合适卷上创建一个数据目录，例如 /my/own/var-lib-docker。
2. 像这样启动您的 docker 容器：

   console
   $ docker run --privileged --name some-docker -v /my/own/var-lib-docker:/var/lib/docker -d ppc64le/docker:dind
   

命令中的 -v /my/own/var-lib-docker:/var/lib/docker 部分将底层主机系统的 /my/own/var-lib-docker 目录挂载为容器内的 /var/lib/docker，Docker 默认会在此处写入其数据文件。

许可证

查看此镜像中包含的软件的 https://github.com/docker/docker/blob/eb7b2ed6bbe3fbef588116d362ce595d6e35fc43/LICENSE%E3%80%82

与所有 Docker 镜像一样，这些镜像可能还包含其他软件，这些软件可能受其他许可证（例如基础发行版中的 Bash 等，以及所包含的主要软件的任何直接或间接依赖项）约束。

一些能够自动检测到的额外许可证信息可能在 https://github.com/docker-library/repo-info/tree/master/repos/docker 中找到。

至于任何预构建镜像的使用，镜像用户有责任确保对此镜像的任何使用都符合其中包含的所有软件的相关许可证。