Gitlab CI自动发布Docker镜像
在容器化的持续交付过程中,经常涉及到使用自己定制的镜像运行代码、测试等。如果这些镜像需要每次手动更新,不妨将这些镜像的打包与发布流程也加入CI/CD流程:
对镜像:
- 镜像的Dockerfile/依赖文件发生改动
- 自动build镜像
- 自动push到镜像仓库
对原有CI/CD流程:
- 代码发生改动
- 从镜像仓库拉取最新镜像
- 运行单元测试
以下内容就是如何实现镜像的持续交付。
注册docker hub账号
官方docker hub地址:https://hub.docker.com/
注册你的账号。
当然,也可以自己搭建一个私有仓库,过程与推送到官方仓库一样,不赘述。
注册gitlab-runner
详细的注册过程参考:gitlab-ci 持续集成完整实践 “Gitlab CI 基本配置”一节。
重点关注如下几个配置项:
- 指定executor为“docker”
- 指定tag为“docker”
添加.gitlab-ci.yml脚本
可以直接选择Dockerfile的yml模版,稍作修改即可。
image: docker:stable
services:
- docker:dind
before_script:
- docker login -uityoung -p<PASSWORD>
build:
stage: build
script:
- docker build -t "ityoung/gradle:3.3" .
- docker push ityoung/gradle:3.3
only:
- master
tags:
- docker
- 指定镜像为
docker:stable,有关docker的操作都在本镜像中,如build, push等 - 指定services:
docker:dind,启动dockerd并被docker:stable连接作为docker daemon - 指定runner:添加
tags:docker,为注册runner时指定的tag - 修改login的账号与密码为自己的!
services指定docker:dind不是必须的。由于docker:stable执行入口不包含启动dockerd的操作,而docker:dind执行入口仅包含启动dockerd的操作,因此使用docker:dind作为services可以使docker:stable快速连接docker daemon而不用考虑如何启动dockerd。具体解释见参考[1]
问题解决
docker:dind服务启动失败
按照上述操作,有可能出现以下警告:
*** WARNING: Service runner-118b6b82-project-10-concurrent-0-docker-0 probably didn't start properly.
Health check error:
ContainerStart: Error response from daemon: Cannot link to a non running container: /runner-118b6b82-project-10-concurrent-0-docker-0 AS /runner-118b6b82-project-10-concurrent-0-docker-0-wait-for-service/service
Service container logs:
2018-09-10T06:02:08.161544784Z mount: permission denied (are you root?)
2018-09-10T06:02:08.161686312Z Could not mount /sys/kernel/security.
2018-09-10T06:02:08.161695928Z AppArmor detection and --privileged mode might break.
2018-09-10T06:02:08.164169464Z mount: permission denied (are you root?)
*********
出现的原因在于,在你的宿主机使用root用户安装docker(执行docker命令需要加上sudo),这种情况下,需要配置runner的privileged为true。
gitlab-runner的配置文件在宿主机上的默认位置为/srv/gitlab-runner/config/config.toml,直接修改该文件中的配置项即可。
无法登录HTTPS的Docker仓库
以Harbor为例,在启用HTTPS后,登录需要证书才可完成。但在试过将证书放置在docker:stable镜像的/etc/docker/certs.d/<domain>/目录下,仍然无法登录,提示x509: certificate signed by unknown authority。
最后在参考[4]的一个回答中得到解决方法并成功登录,即:
将证书放置于docker:dind镜像的/etc/docker/certs.d/<domain>/目录下。
实际上,提供docker daemon的就是该镜像,证书理应放在该镜像中。被两个"docker in docker"镜像搞迷糊了。
参考
[1] Role of docker-in-docker (dind) service in gitlab ci, Stack Overflow
[2] Push images to Docker Cloud, Docker Docs
[3] Unable to build docker image from .gitlab-ci.yml using shared runner, gitlab.com
[4] Getting x509: certificate signed by unknown authority when talking to docker registry, gitlab.com
