socket远程拒绝_从socket权限问题重新认识docker架构

最新推荐文章于 2024-06-26 10:52:58 发布
最新推荐文章于 2024-06-26 10:52:58 发布
阅读量334 收藏 1
点赞数
文章标签: socket远程拒绝
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39615402/article/details/111574557
版权
本文讨论了jenkins在Docker中构建时遇到的socket权限问题,深入解析Docker Engine的client-server架构,强调了Docker守护进程的socket通信方式。解决方案是通过映射宿主机的unix socket到jenkins容器并解决权限问题,特别是确保uid和gid的一致性,以允许容器内的docker client访问宿主机的docker守护进程。
摘要由CSDN通过智能技术生成
69cccf6012ac7d5c0ad069abbe2c542b.png

jenkins构建出现socket权限问题

docker运行的jenkins实现对spring boot的docker部署,使用docker-maven-plugin插件。默认情况下,此插件在docker内部通过localhost:2375访问docker守护进程。

问题:

#jenkins构建过程中 mvn clean package docker:build 报错14:48:53 [INFO] I/O exception (java.io.IOException) caught when processings request to {}->unix://localhost:80: No such file or directory14:48:53 [INFO] Retrying request to {}->unix://localhost:8014:48:53 [INFO] I/O exception (java.io.IOException) caught when processing request to {}->unix://localhost:80: No such file or directory14:48:53 [INFO] Retrying request to {}->unix://localhost:8014:48:53 [INFO] I/O exception (java.io.IOException) caught when processing request to {}->unix://localhost:80: No such file or directory14:48:53 [INFO] Retrying request to {}->unix://localhost:80

原因:

docker-maven-plugin在jenkis 容器内中可以理解为一个docker client,但是容器内无法通过localhost:2375访问docker守护进程,因此会报此错误。

思考:

我们是否需要在jenkins容器内部安装docker,以便docker client能够访问docker守护进程。

对于这个疑问,我们先从docker架构入手找下答案。

Docker Engine

Docker Engine是一个client-server应用,主要由以下组件:

  1. docker daemon,守护进程dockerd;
  2. REST API,client与server进行通信及操作的接口;
  3. docker CLI,命令行界面的客户端;
5d4da81bb31faea36a17033180b8e155.png

基于client-server架构,Docker的工作机制如下:

  1. Docker客户端与Docker守护进程进行对话,该守护进程完成了构建,运行和分发Docker容器的繁重工作;
  2. Docker客户端和守护程序可以在同一系统上运行,或者您可以将Docker客户端连接到远程Docker守护程序;
  3. Docker客户端和守护程序在UNIX套接字或网络接口上使用REST API进行通信;

因此我们在服务器上安装的docker其实是包含client-server的,信息如下:

root@test:~# docker versionClient: Version:           18.09.1 API version:       1.39 Go version:        go1.10.6 Git commit:        4c52b90 Built:             Wed Jan  9 19:35:23 2019 OS/Arch:           linux/amd64 Experimental:      falseServer: Docker Engine - Community Engine:  Version:          18.09.1  API version:      1.39 (minimum version 1.12)  Go version:       go1.10.6  Git commit:       4c52b90  Built:            Wed Jan  9 19:02:44 2019  OS/Arch:          linux/amd64  Experimental:     false

Daemon socket

Docker守护程序可以通过三种不同类型的Socket供Docker Engine API请求:unix,tcp和fd。

  1. unix:默认情况下,在/var/run/docker.sock上创建unix socket,需要root许可或Docker组成员身份;
  2. tcp:当我们需要远程访问守护进程dockered时,可以使用tcp socket;
  3. fd:在基于Systemd的系统上,您可以通过Systemd套接字激活与守护程序通信;
#unix socketdockerd -H unix:///var/run/docker.sock#tcp socketdockerd -H tcp://0.0.0.0:2375#fd socketdockerd -H fd://

Docker客户端可使用DOCKER_HOST环境变量来为客户端设置-H标志:

docker -H tcp://0.0.0.0:2375 ps或export DOCKER_HOST="tcp://0.0.0.0:2375"docker ps

通过不同的socket,server不仅可以提供给本地client调用,还可以满足远程client的调用。只不过我们日常操作都是基于在/var/run/docker.socket 上创建的unix socket 与本地的server进行交互。

#本地通过http方式访问,还可通过sdk方式访问curl -s --unix-socket /var/run/docker.sock http:/v1.39/info

解决方案

通过对docker engine 和 daemon socket的了解,jenkins容器内的docker client是否可以远程访问宿主机的docker守护进程, 这样可以在不增加镜像的大小的情况下解决问题。

联想到本地的client、server交互,我们通过映射宿主机的unix socket到容器内,使其像在本地一样和docker守护进程进行交互。

vim docker-compose.yml#将本地socket映射到容器内version: '3.7'services:  jenkins:    image: jenkins/jenkins:lts    container_name: jenkins    restart: always    ports:      - "8080:8080"      - "50000:50000"    volumes:      - "/media/yanggd/work/jenkins:/var/jenkins_home"      - "/App/maven:/usr/local/maven"      # 将本地socket映射到容器内      - "/var/run/docker.sock:/var/run/docker.sock"#启动docker docker-compose up -d

docker-compose重新启动后,jenkins构建再次报错:

14:58:02 [INFO] I/O exception (java.io.IOException) caught when processing request to {}->unix://localhost:80: Permission denied14:58:02 [INFO] Retrying request to {}->unix://localhost:8014:58:02 [INFO] I/O exception (java.io.IOException) caught when processing request to {}->unix://localhost:80: Permission denied14:58:02 [INFO] Retrying request to {}->unix://localhost:8014:58:02 [INFO] I/O exception (java.io.IOException) caught when processing request to {}->unix://localhost:80: Permission denied14:58:02 [INFO] Retrying request to {}->unix://localhost:80

看来jenkins容器内的docker client能访问宿主的unix socket,但是因为权限问题访问被拒绝。

具体分析如下:

  1. 从jenkins的官方镜像得知,jenkins容器内部默认使用jenkins用户且uid、gid均为1000。而为了保证jenkins的备份,我们已经在宿主机新增jenkins用户,并且已经对jenkins_home授权
  2. uninx socket需要root许可或Docker组成员身份,我们在宿主机将jenkins用户添加到docker组中,以实现普通用户对/var/run/docker.sock 的访问。
root@test:~# usermod -G docker jenkinsroot@test:~# id jenkinsuid=1001(jenkins) gid=1001(jenkins) groups=1001(jenkins),999(docker)#重启dockersystemctl restart docker

经过修改后,jenkins构建仍然报错,这是为什么呢?难道这种方案不行吗?

#登录容器dock exec -it jenkins /bin/bash#查看权限jenkins@3387b9e025bd:/$ cat /etc/group |grep 1000jenkins:x:1000:jenkins@3387b9e025bd:/$ cat /etc/passwd |grep 1000jenkins:x:1000:1000::/var/jenkins_home:/bin/bash#查看容器内的docker.sockjenkins@3387b9e025bd:~/workspace/helloworld$ ls -l /var/run/docker.sock srw-rw---- 1 root 999 0 Mar 25 07:42 /var/run/docker.sock

通过登录容器查看权限发现,我们虽然在宿主机上将jenkins用户加入到docker组中,但是在容器内部docker.sock 的属组为999,而jenkins的uid及gid都为1000,因此由于gid的不同,在宿主机上授权并不代表容器内也授权成功。我们需要保证宿主机和jenkins容器内部的uid、gid保持一致。

由于宿主机在本地更改uid、gid会影响工作使用,在此我使用chmod临时授权解决,但是在生产环境中一定要保持一致。

chmod 666 /var/run/docker.sock

注意:当docker重启启动后,需要重新授权。

总结

通过解决权限问题加深了对docker的了解,希望通过在docker的应用实践中,不断总结经验。

weixin_39615402
关注
使用docker-compose部署MySQL三主六从半同步集群(MMM架构
Java程序员廖志伟
03-14 483
🌟我是廖志伟,一名Java开发工程师、Java领域优质创作者、CSDN博客专家、51CTO专家博主、阿里云专家博主、清华大学出版社签约作者、产品软文专业写手、技术文章评审老师、问卷调查设计师、个人社区创始人、开源项目贡献者。🌎跑过十五公里、🚀徒步爬过衡山、🔥有过三个月减肥20斤的经历、是个喜欢躺平的狠人。
偷偷学 Docker 系列 | 细谈 Docker存在的安全问题 | 架构缺陷与安全机制 | 衡量安全基线的六大标准
Xucf1
03-31 1031
文章目录前言:Docker 容器与虚拟机的区别①隔离性(共享)②性能(损耗)一、细谈 Dcoker 存在的安全问题1.自身漏洞方面2.源码问题方面①黑客上传恶意镜像②镜像使用有漏洞的软件③中间人攻击(篡改)二、细谈 Docker架构缺陷与安全机制1.容器之间的局域网攻击2.DDoS 攻击耗尽资源3.利用宿主机漏洞4.用户权限三、细谈 Docker 衡量安全基线的六大标准1.内核级别2.主机级别3.网络级别4.镜像级别5.容器级别6.其他设置五、其他注意事项1.Docker remote api 访问控制
docker容器服务无法访问题解决
lurenyi333的博客
05-21 3477
问题现象 前不久通过docker启动的容器服务均无法访问,开始以为容器坏了,也不着急使用就没当回事,最近这几天需要部署监控服务,容器启动后浏览器访问一直提示网络连接错误 并且在启动容器时有以下提示 WARNING: IPv4 forwarding is disabled. Networking will not work. 解决方案 首先根据以上提示信息大概搜索一下,基本都指向修改/etc/sysctl.conf文件 尝试修改,在sysctl.conf文件中追加以下 # 1代表启用 net.ipv
socket权限问题重新认识docker架构
yanggd1987的专栏
03-26 819
问题引入 组件 备注 jenkins docker运行 docker-maven-plugin maven插件 jenkins 实现java项目的docker运行, 15:01:22 [INFO] Copying src/main/docker/Dockerfile -> /var/jenkins_home/workspace/helloworld/target/do...
docker (java.io.IOException) caught when processing request to {}->unix://localhost:80: Permission d
最新发布
m0_68408633的博客
06-26 149
应用mvn+dockerfile插件构建镜像时,报错。重启docker解决!
org.apache.maven.plugin.MojoExecutionException: Could not build image
The Fifth Leaf 的博客
05-08 8842
Jan 02, 2019 7:53:16 PM com.spotify.docker.client.shaded.org.apache.http.impl.execchain.RetryExec execute INFO: I/O exception (java.io.IOException) caught when processing request to {}->unix://localhost:80: Connection reset by peer [WARNING] An attempt
socket连接失败 权限_websocket长连接和公共状态管理方案(vuex + websocket or redux + websocket )...
weixin_35803802的博客
01-25 710
一 为什么将websocket和公共状态管理扯到一起我们都知道在vue和react这种单页面组件化项目中,建立socket连接会遇到:重复连接,切换页面连接中断,状态丢失等问题,而且如果想要在任何页面接受到来自socket传递的信息,所以在建立socket连接时候就要考虑是否要把连接实例化放在公共state里边统一管理,这样可以方便在任何组件中调用socket方法。这里会介绍sock...
通过jenkins构建docker镜像,出现 processing request to {}->unix://localhost:80: Permission denied
julywind1的专栏
09-24 3161
1. 打开docker远程api访问(参考:https://blog.csdn.net/csde12/article/details/70240721)     sudo vi /etc/systemd/system/docker.service      ExecStart=/usr/bin/dockerd -H tcp://0.0.0.0:2375 -H unix:///var/run/...
制作ARM架构 docker镜像
l00102795的博客
05-27 757
Docker 客户端有两种替代选项:名为docker的命令行应用程序或名为 Docker Desktop 的基于图形用户界面 (GUI) 的应用程序。CLI 和 Docker Desktop 均与 Docker 服务器交互。来自 CLI 或 Docker Desktop 的docker命令使用 Docker REST API 将指令发送到本地或远程服务器,并作为用于管理容器的主要接口。
Docker——Docker安全及日志管理
weixin_59792733的博客
12-05 325
Docker——Docker安全及日志管理
24 个 Docker 常见问题处理技巧
weixin_72753070的博客
07-23 785
启动服务的时候,发现有时候服务之前可以相互连通,而有时启动的多个服务之前却出现了无法访问的情况。平台部署服务的时候,也有时会因为启动问题需要,使启动的服务不直接退出,来手动调试和排查问题原因。中,那么很显然,我们还必须找到一个地方储存文件的元信息,比如文件的创建者、文件的创建日期、文件的大小等等。但是奇怪的是,本地调试的时候发现服务都是可以正常运行的,文件加锁也是没问题的。而是,因为对于分区的。容器在导入或者启动的时候,如果提示磁盘空间不足的,那么多半是真的因为物理磁盘空间真的有问题导致的。...
Docker build 异常
zmj199536的博客
12-05 2820
主要报错为: com.spotify.docker.client.shaded.org.apache.http.impl.execchain.RetryExec execute INFO: I/O exception (java.io.IOException) caught when processing request to {}->unix://localhost:80: Connect...
Qt网络编程:QLocalSocket
友善啊,朋友的博客
06-24 3340
一、描述 此类在 Windows 上这是一个命名管道,在 Unix 上这是一个本地域socket。(命名管道和本地域socket都用于进程间通信) 二、类型成员 1、QLocalSocket::LocalSocketError:此枚举表示可能发生的错误。最近的错误可通过调用error() 来检索。 ConnectionRefusedError:连接被对等方拒绝(或超时)。 PeerClosedError:远程套接字关闭了连接。 请注意,客户端套接字(即此套接字)将在发送远程关闭通知后关闭。 Se
启动Tomcat,抛出java.io.IOException异常
小码哥的专栏
06-13 7825
今日调试项目时,启动Tomcat出现java.io.IOException异常.主要错误提示如下: 严重: IOException while loading persisted sessions: java.io.EOFException 严重: Exception loading sessions from persistent storage 参照出处:http://www.javaeye.
docker的/var/run/docker.sock参数
热门推荐
程序员欣宸的博客
06-22 3万+
/var/run/docker.sock是运行docker容器时常用的数据卷参数,本文就来学习这个参数的用处,揭示背后的原理。
没有IP和端口号,可以进行socket通信吗?
码农爱学习的博客
10-24 2339
在使用socket通信时,无论是本机内部通信,还是两台机器通信,也无论是TCP的方式,还是UDP的方式,一般都要指定IP和端口号。在Linux开发中,如果是同一台设备内部通信,也可以不需要IP和端口号,这就是Unix域socket通信,它实际上是通过文件的方式实现通信,从而不再需要IP和端口号。本篇就来介绍了Unix域socket的使用示例。
使用HttpClient请求超时- I/O exception (java.net.SocketException) caught when processing request: 连接超时
weixin_43831997的博客
11-05 1万+
这里写自定义目录标题背景问题排查项目场景:问题描述:原因分析:解决方案:功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 背景 问题排查 首先排查这个报错是建立链接报错,不是被调用方等待超时或者被调用方服务扛不住。 看日志发现首次发
"重新认识Docker容器:白话容器基础
本文是张磊在2018年9月10日分享的主题是"白话容器基础之重新认识Docker容器"。他在前面的三次分享中从Linux Namespace的隔离能力、Linux Cgroups的限制能力,以及基于rootfs的文件系统三个角度,详细讲解了Linux容器...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值