Sean's Blog

DooD 与 DinD

6分钟阅读

一、概念与架构

  • DooD(Docker-outside-of-Docker)
    • 容器内只装 Docker CLI,直接连接宿主机的 dockerd(通常通过挂载 /var/run/docker.sock)。
    • 你在容器里运行的 docker 命令,其实在“宿主级”创建/管理容器(与当前开发容器是兄弟容器)。
  • DinD(Docker-in-Docker)
    • 在容器内启动独立的 dockerd(常见镜像 docker:dind),容器里再跑容器。
    • 内层容器完全由内层 daemon 管理,与宿主隔离。

二、核心差异(按影响维度)

  • 守护进程位置
    • DooD:宿主机 dockerd。
    • DinD:容器内 dockerd。
  • 隔离性
    • DooD:弱隔离,共享宿主镜像/网络/卷,操作会影响宿主。
    • DinD:强隔离,镜像/网络/卷与宿主分离。
  • 镜像与缓存
    • DooD:复用宿主镜像缓存,首次/重复构建更快、更省空间。
    • DinD:需单独拉取/缓存,占空间,首次慢。
  • 性能与 IO
    • DooD:一般更快(没有“嵌套层”与额外 daemon 开销)。
    • DinD:多一层 FS/daemon,可能更慢。
  • 网络与端口
    • DooD:内层“兄弟容器”直接映射到宿主;-p 即暴露到宿主。
    • DinD:端口先暴露到 dind 容器,再由 dind 容器映射到宿主,层级更复杂。
  • 卷与数据持久化
    • DooD:卷即宿主卷;对宿主影响直接。
    • DinD:卷由内层 daemon 管理,天然隔离。
  • 权限与安全
    • DooD:暴露 docker.sock 等同宿主 root 权限,风险高;需信任容器内容。
    • DinD:常需 —privileged 或大量内核能力;风险边界在 dind 容器内,但仍需审慎。
  • GPU/硬件加速
    • DooD:复用宿主 nvidia-container-toolkit,—gpus=all 直接可用。
    • DinD:需在 dind 容器内单独安装并配置 runtime。
  • Rootless/系统兼容
    • DooD:可以使用宿主 Rootless Docker,安全性更好(需传递对应 socket)。
    • DinD:可用 dockerd-rootless,但更复杂;普通 dind 多用 —privileged。
  • CI/CD 适配
    • DooD:速度快,但会污染/影响 runner 宿主状态。
    • DinD:隔离好,CI 常用;可让每个 Job 自带干净的 Docker 环境。

三、典型使用场景

  • 选择 DooD 的场景
    • 本地开发、Dev Containers、需要共享宿主镜像缓存与网络、追求构建速度与简洁。
    • 要使用宿主 GPU/硬件能力且希望配置最少。
  • 选择 DinD 的场景
    • CI/CD 强隔离、希望每次构建是可复现的“干净环境”。
    • 不希望污染宿主 Docker 状态或担心 docker.sock 暴露带来的高权限风险。

四、在 Dev Containers 中的实践要点

  • DooD
    • 通过 feature docker-outside-of-docker + 挂载 docker.sock 实现。
    • 优点:开发体验流畅、缓存复用、支持 GPU 更简单。
    • 注意:
      • 容器内 docker 命令等同在操作宿主;清理命令(prune/rm)需谨慎。
      • 确保容器内用户在 docker 组,避免 “permission denied”。
      • 多项目并行时注意容器名/网络名冲突(建议给容器命名含工作区后缀)。
  • DinD
    • 需运行 docker:dind(或在容器内启动 dockerd),通常需要 —privileged。
    • 使用独立的 DOCKER_HOST(指向内层 dockerd),内外层网络/镜像完全分离。
    • 需要额外配置存储驱动、cgroup v2、镜像加速、GPU 运行时等。

五、安全与合规建议

  • DooD
    • 仅在可信镜像/代码中使用 docker.sock;考虑使用 rootless Docker socket 或代理层限制能力。
    • 配合最小权限原则、只读文件系统、受控的用户/组权限。
  • DinD
    • 最小化特权(如果可能,用精确的 capabilities 与 cgroup 配置代替 —privileged)。
    • 将 dockerd 数据目录放到短生命周期卷,Job 完成后清理。

六、常见问题与排查

  • DooD “permission denied while trying to connect to the Docker daemon socket”
    • 容器内用户未在 docker 组;确保 feature 添加 docker 组并将用户加入,或使用 sudo。
  • DinD 启动 dockerd 失败
    • 缺少 —privileged、存储驱动不兼容、cgroup v2 未配置、/var/lib/docker 权限问题。
  • GPU 不可用
    • DooD:宿主需安装 nvidia-container-toolkit;内层容器使用 —gpus=all。
    • DinD:dind 容器内需安装配置 toolkit,且内层容器再 —gpus=all。

七、如何选择(决策清单)

  • 关注速度与简单:优先 DooD。
  • 关注隔离与可复现:优先 DinD。
  • 需要 GPU 且不想重复配置:DooD 更省心。
  • 在共享 Runner 或多租户环境:DinD 更安全、可控。
  • 本地 Dev Container 开发:DooD 是默认优选。

目录

Graph View