xkand/dind 镜像技术文档

1. 镜像概述与主要用途

1.1 概述

xkand/dind 镜像基于 "Docker in Docker"（简称 dind）技术实现，允许在容器内部运行完整的 Docker 引擎。通过该镜像，用户可在隔离的容器环境中执行 Docker 命令（如构建镜像、运行容器、管理容器网络等），无需依赖宿主机的 Docker 环境。

1.2 主要用途

提供独立的 Docker 运行时环境，适用于需要在容器内嵌套运行 Docker 的场景，如 CI/CD 流水线、开发环境隔离、测试环境快速部署等。

2. 核心功能与特性

2.1 核心功能

• Docker in Docker 架构：容器内部集成完整 Docker 引擎，支持标准 Docker 命令操作。
• SSH 服务支持：内置 SSH 服务，可通过自定义端口和密码远程访问容器内环境。
• 灵活配置映射：支持挂载外部 daemon.json 文件，自定义 Docker 引擎配置（如镜像加速、存储驱动等）。

2.2 关键特性

• 持久化存储：支持挂载数据卷持久化 Docker 引擎数据（如镜像、容器数据），避免容器重启后数据丢失。
• 特权模式运行：需以特权模式（privileged: true）启动，确保容器内 Docker 引擎正常访问宿主机内核资源。
• 网络模式可选：支持 host 和 bridge 两种网络模式，适应不同网络隔离需求。
• 交互式终端：默认启用 tty 和 stdin_open，支持交互式操作容器内环境。

3. 使用场景与适用范围

3.1 典型使用场景

• CI/CD 流水线：在持续集成/部署流程中，需在容器内构建、测试 Docker 镜像并推送至仓库。
• 开发环境隔离：为开发人员提供独立的 Docker 环境，避免与宿主机 Docker 配置冲突。
• 测试环境快速部署：快速搭建包含 Docker 引擎的临时测试环境，用于验证容器化应用兼容性。
• 培训与演示：在隔离环境中演示 Docker 命令操作，避免影响宿主机系统。

3.2 适用范围

• 需要嵌套运行 Docker 引擎的场景。
• 对环境隔离性、可重复性有较高要求的场景（如开发、测试、CI/CD）。
• 不建议用于生产环境（dind 存在性能损耗和安全风险，生产环境推荐使用 Docker 套接字挂载）。

4. 使用方法与配置说明

4.1 前置要求

• 宿主机已安装 Docker 和 Docker Compose（如需使用 Compose 部署）。
• 宿主机内核支持 Docker 引擎运行（需开启相关内核模块，如 overlay2 存储驱动）。

4.2 Docker Compose 部署（推荐）

通过 docker-compose.yml 配置文件可快速部署，支持自定义参数。以下为完整配置示例及说明：

version: '3'
services:
  dind:
    image: xkand/dind:latest  # 使用最新版本镜像
    container_name: dind      # 容器名称，可自定义
    restart: always           # 容器退出后自动重启
    tty: true                 # 启用终端支持
    stdin_open: true          # 保持标准输入打开，支持交互式操作
    privileged: true          # 必须开启特权模式，确保 Docker 引擎正常运行
    volumes:
      # 持久化 Docker 数据（镜像、容器、卷等），映射宿主机 ./data 目录到容器 /var/lib/docker
      - ./data:/var/lib/docker
      # 映射宿主机自定义 daemon.json 到容器，配置 Docker 引擎（如镜像加速、日志驱动等）
      - ./daemon.json:/etc/docker/daemon.json
      # 映射宿主机 ./docker 目录到容器 /root/docker，用于存放用户自定义脚本或配置
      - ./docker:/root/docker
    # 网络模式：可选 host 或 bridge（二选一）
    network_mode: host        # host 模式：容器共享宿主机网络，无需端口映射
    # bridge 模式：需手动映射端口（右侧端口需与环境变量 SSH_PORT 一致）
    # ports:
    #   - "32321:32321"        # 例如：宿主机 32321 端口映射到容器 SSH 端口
    environment:
      - ROOT_PASSWORD=123456  # SSH 登录密码，默认值：无（建议显式设置）
      - SSH_PORT=32321        # SSH 服务端口，默认值：32321（自定义时需同步端口映射）
    # 可选：如需支持 GPU 资源（如容器内运行 GPU 镜像），添加设备映射
    # devices:
    #   - /dev/dri:/dev/dri    # 映射 GPU 设备（需宿主机支持）

部署步骤：

1. 创建 docker-compose.yml 文件，复制上述配置并根据需求修改参数（如密码、端口、卷路径）。
2. 在配置文件所在目录执行命令：

   docker-compose up -d  # 后台启动服务
   

4.3 Docker Run 命令部署

如需快速启动，可直接使用 docker run 命令，示例如下（参数与 Compose 配置对应）：

docker run -d \
  --name dind \
  --restart always \
  -t \
  -i \
  --privileged \
  -v ./data:/var/lib/docker \
  -v ./daemon.json:/etc/docker/daemon.json \
  -v ./docker:/root/docker \
  --network host \
  -e ROOT_PASSWORD=123456 \
  -e SSH_PORT=32321 \
  xkand/dind:latest

说明：

• -t -i 对应 Compose 中的 tty: true 和 stdin_open: true。
• --privileged 必须添加，否则容器内 Docker 引擎无法启动。
• 如需使用 bridge 网络模式，替换 --network host 为 -p 32321:32321（端口需与 SSH_PORT 一致）。

5. 配置参数详解

5.1 环境变量

5.2 卷挂载

5.3 网络模式

• host 模式：容器共享宿主机网络命名空间，SSH 服务直接使用宿主机端口（无需端口映射）。优势：网络性能好；劣势：端口与宿主机共享，可能冲突。
• bridge 模式：容器使用独立网络命名空间，需通过 -p <宿主机端口>:<容器端口> 映射 SSH 端口，且容器端口需与 SSH_PORT 一致（如 32321:32321）。优势：网络隔离性好；劣势：需手动配置端口映射。

5.4 其他关键配置

• privileged: true：必须开启，Docker 引擎运行依赖宿主机内核资源（如 cgroup、设备访问等），特权模式允许容器访问宿主机所有设备。
• restart: always：确保容器异常退出后自动重启，提高可用性（根据需求可调整为 on-failure 等策略）。
• tty: true 与 stdin_open: true：支持通过 docker exec -it dind /bin/bash 进入容器交互式操作。

6. 注意事项

• 安全风险：特权模式容器具有较高权限，需确保镜像来源可信，避免在生产环境暴露公网。
• 性能损耗：dind 本质是嵌套运行 Docker，相比直接使用宿主机 Docker 存在一定性能损耗（如镜像存储冗余）。
• daemon.json 配置：挂载自定义 daemon.json 时，需确保配置格式正确（JSON 语法），否则 Docker 引擎可能启动失败。
• 数据备份：./data 目录包含关键数据，建议定期备份，避免数据丢失。

7. 参考链接

• 项目源码：[***]