gitlab/dind Docker镜像文档

弃用通知

重要提示：gitlab/dind 镜像已被***标记为弃用，且不再提供更新。请立即迁移至 Docker *** DinD 镜像（docker:dind）以获取持续支持和安全更新。

1. 镜像概述和主要用途

gitlab/dind 是 GitLab ***曾提供的基于 Docker-in-Docker（DinD）模式的镜像，设计用于在 CI/CD 流水线中实现 Docker 工作流构建。其核心目标是允许用户在构建环境中直接运行 Docker 引擎，从而实现在容器内部构建、测试和推送 Docker 镜像的能力，尤其适用于需要嵌套 Docker 操作的自动化场景。

2. 核心功能和特性

在未弃用前，该镜像主要包含以下功能：

内置 Docker 引擎：镜像内部运行完整的 Docker 服务，支持标准 Docker 命令（如 docker build、docker run、docker push 等）。
集成 Docker Compose：预装 Docker Compose 工具，支持通过 docker-compose.yml 文件定义和管理多容器应用。
CI/CD 兼容性：针对 GitLab CI/CD 环境优化，可直接作为 Runner 执行器或服务容器，简化流水线配置。

3. 使用场景和适用范围

原 gitlab/dind 镜像主要适用于以下场景：

GitLab CI/CD 流水线：在自动化构建流程中需要构建 Docker 镜像的项目（如微服务应用、容器化部署的应用）。
嵌套 Docker 环境：开发或测试环境中，需要在容器内部临时搭建 Docker 运行时的场景。
多阶段构建验证：需要在构建脚本中验证 Docker 镜像构建、运行、网络配置等完整流程的场景。

4. 使用方法和配置说明

4.1 原 `gitlab/dind` 镜像使用（已弃用，不推荐）

警告：以下内容仅作历史参考，该镜像已停止更新，存在安全风险，请勿在生产环境使用。

基础运行命令

bash
docker run --privileged -d gitlab/dind

--privileged：DinD 模式需要特权模式以允许容器内运行 Docker 引擎（安全性注意事项：特权模式会提升容器权限，生产环境需谨慎）。

在 GitLab CI/CD 中的配置示例（历史参考）

yaml
# .gitlab-ci.yml（历史配置，已不推荐）
stages:
  - build

build-docker-image:
  stage: build
  image: gitlab/dind
  services:
    - docker:dind  # 实际应直接使用*** DinD 服务
  script:
    - docker build -t my-app .
    - docker push my-app:latest

4.2 推荐替代方案：Docker *** DinD 镜像（`docker:dind`）

4.2.1 基础运行命令

bash
docker run --privileged -d \
  -v /var/lib/docker \  # 可选：挂载宿主机 Docker 存储目录（提升性能，非必须）
  -e DOCKER_TLS_CERTDIR=/certs \  # 启用 TLS（推荐安全配置）
  docker:dind

4.2.2 Docker Compose 配置示例

yaml
# docker-compose.yml
version: '3'
services:
  dind:
    image: docker:dind
    privileged: true
    environment:
      - DOCKER_TLS_CERTDIR=/certs
    volumes:
      - dind-data:/var/lib/docker  # 持久化 Docker 数据
      - ./certs:/certs/client  # 挂载 TLS 证书目录（供客户端使用）
    ports:
      - "2376:2376"  # TLS 端口（默认安全端口）

volumes:
  dind-data:

4.2.3 在 GitLab CI/CD 中使用*** DinD 镜像

yaml
# .gitlab-ci.yml（推荐配置）
stages:
  - build

variables:
  DOCKER_HOST: tcp://docker:2376
  DOCKER_TLS_CERTDIR: "/certs"
  DOCKER_DRIVER: overlay2  # 推荐使用 overlay2 存储驱动提升性能

build-docker-image:
  stage: build
  image: docker:latest  # 使用*** Docker 客户端镜像
  services:
    - name: docker:dind
      command: ["--storage-driver", "overlay2"]
  script:
    - docker login -u $CI_REGISTRY_USER -p $CI_REGISTRY_PASSWORD $CI_REGISTRY
    - docker build -t $CI_REGISTRY_IMAGE:latest .
    - docker push $CI_REGISTRY_IMAGE:latest

4.3 环境变量配置（*** DinD 镜像）

环境变量	描述	默认值
`DOCKER_TLS_CERTDIR`	指定 TLS 证书存储目录，设为空字符串可禁用 TLS（不推荐）	`/certs`
`DOCKER_HOST`	Docker 守护进程地址（客户端连接使用）	`unix:///var/run/docker.sock`
`DOCKER_DRIVER`	Docker 存储驱动（推荐 `overlay2` 以提升性能）	取决于宿主机配置
`DOCKER_OPTS`	传递给 Docker 守护进程的额外参数（如 `--insecure-registry` 等）	无

5. 注意事项

安全风险：DinD 模式依赖 --privileged 标志，会赋予容器接近宿主机的权限，生产环境需严格限制使用范围，并通过网络隔离、资源限制等手段降低风险。
性能影响：容器内 Docker 引擎的存储驱动性能可能低于直接使用宿主机 Docker，建议通过挂载宿主机目录（如 /var/lib/docker）优化存储性能。
版本兼容性：*** docker:dind 镜像需与客户端镜像版本匹配（如 docker:20.10-dind 对应 docker:20.10 客户端），避免因 API 版本不一致导致问题。

6. 总结

gitlab/dind 镜像已停止维护，用户应立即迁移至 Docker *** DinD 镜像（docker:dind）。***镜像提供更完善的安全更新、版本支持和社区维护，且与主流 CI/CD 平台（如 GitLab CI、GitHub Actions）兼容性良好，是 Docker-in-Docker 场景的推荐选择。

Rancher提供的Docker in Docker基础镜像，用于在容器环境中运行Docker守护进程，支持容器化构建、测试等场景。

Docker-in-Docker（DIND）镜像支持在Docker容器内部运行Docker守护进程，主要用于CI/CD流程中构建和测试Docker镜像，或在隔离环境中进行Docker相关开发与测试，提供独立的Docker运行环境。

1M+ pulls

上次更新：7 天前