Docker

2018-03-14T07:30:29Z

Hidenba:

[[Category:仮想化]]
[[en:Docker]]
[[ru:Docker]]
[[zh-hant:Docker]]
{{Related articles start}}
{{Related|systemd-nspawn}}
{{Related|Linux Containers}}
{{Related|Vagrant}}
{{Related articles end}}

[https://www.docker.com Docker] は軽量コンテナとしてあらゆるアプリケーションを詰めて運んで実行できるユーティリティです。

== インストール ==

{{Pkg|docker}} パッケージを[[pacman|インストール]]して {{ic|docker.service}} を[[systemd#ユニットを使う|起動]]してください。開発版を使いたい場合、{{AUR|docker-git}} をインストールしてください。動作検証するために、次を実行:

# docker info

docker を通常ユーザーで実行できるようにしたい場合は、ユーザーを docker [[グループ]]に追加してからログインしなおしてください。

{{Warning|ユーザーを {{ic|docker}} グループに追加することは root にするのと同義です。詳しくは [https://github.com/docker/docker/issues/9976] や [https://docs.docker.com/engine/security/security/] を参照。}}

{{Note|{{Pkg|linux}} 4.15.0-1の時点で、特定のプログラム（''apt-get''など）で必要な''vsyscalls''は、カーネルの設定ではデフォルトで無効になっています。再度有効にするには、{{ic|1=vsyscall=emulate}}を[[カーネルパラメータ]]に追加します。さらに詳しい情報は{{bug|57336}}を参照。}}

== 設定 ==

=== ストレージドライバー ===

docker のストレージドライバー (グラフドライバー) は性能に大きな影響を与えます。ストレージドライバーはコンテナのイメージレイヤーを効率的に保存し、複数のイメージでレイヤーを共有している場合、ディスク容量を使用するレイヤーはひとつだけになります。デフォルトのストレージドライバーである {{ic|devicemapper}} は次善的な性能しか発揮できず、ハードディスクでは問題外です。したがって、プロダクション環境で {{ic|devicemappper}} を使用することは推奨されません。

Arch Linux のカーネルは新しいため、古いドライバーを使用する意味はありません。{{ic|overlay2}} が新しいドライバーです。

現在のストレージドライバーを確認するには {{ic|# docker info {{!}} head}} を実行してください。最近の docker 環境では {{ic|overlay2}} がデフォルトで使われます。

ストレージドライバーを設定するには、[[ドロップインファイル]]を作成して {{ic|dockerd}} に {{ic|-s}} オプションを指定してください:
{{hc|/etc/systemd/system/docker.service.d/override.conf|2=
[Service]
ExecStart=
ExecStart=/usr/bin/dockerd -H fd:// -s overlay2
}}

{{ic|ExecStart}} を置き換えるには {{ic|1=ExecStart=}} を上記のように設定する必要があります。

オプションに関する詳細は [https://docs.docker.com/engine/userguide/storagedriver/selectadriver/ ユーザーガイド] を見てください。

=== Remote API を開く ===

ポート {{ic|4243}} で Remote API を手動で開くには:

# /usr/bin/dockerd -H tcp://0.0.0.0:4243 -H unix:///var/run/docker.sock

{{ic|-H tcp://0.0.0.0:4243}} で Remote API が開かれます。

{{ic|-H unix:///var/run/docker.sock}} はターミナルからホストマシンにアクセスできるようにします。

==== Remote API と systemd ====

docker デーモンで Remote API を起動するには、以下の内容で[[ドロップインファイル]]を作成してください:

{{hc|/etc/systemd/system/docker.service.d/override.conf|2=
[Service]
ExecStart=
ExecStart=/usr/bin/dockerd -H tcp://0.0.0.0:4243 -H unix:///var/run/docker.sock
}}

=== デーモンのソケットの設定 ===

''docker'' デーモンはデフォルトで [[Wikipedia:ja:UNIXドメインソケット|Unix ソケット]]を使います。特定のポートを listen させるには、{{ic|/etc/systemd/system/docker.socket}} を編集して、{{ic|ListenStream}} を使用したいポートに置き換えてください:

[Socket]
ListenStream=0.0.0.0:2375

=== プロキシ ===

プロキシの設定は2つに分けられます。ひとつは Docker デーモンのホストの設定で、もうひとつはコンテナからプロキシにアクセスできるようにするための設定です。

==== デーモンのプロキシの設定 ====

以下の内容で[[ドロップインファイル]]を作成:
{{hc|/etc/systemd/system/docker.service.d/proxy.conf|2=
[Service]
Environment="HTTP_PROXY=192.168.1.1:8080"
Environment="HTTPS_PROXY=192.168.1.1:8080"
}}

{{Note|上記ではプロクシサーバが {{ic|192.168.1.1}} になっています、{{ic|127.0.0.1}} は使わないでください。}}

変更を適用: {{ic|# systemctl daemon-reload}}。

設定がロードされたことを確認: {{hc|# systemctl show docker --property Environment|2=Environment=HTTP_PROXY=192.168.1.1}}

Docker を再起動: {{ic|# systemctl restart docker}}。

==== コンテナの設定 ====

{{ic|docker.service}} ファイルの設定はコンテナには適用されません。{{ic|Dockerfile}} で {{ic|ENV}} 変数を設定する必要があります:

FROM base/archlinux
ENV http_proxy="<nowiki>http://192.168.1.1:3128</nowiki>"
ENV https_proxy="<nowiki>https://192.168.1.1:3128</nowiki>"

[https://docs.docker.com/engine/reference/builder/#env Docker] は Dockerfile で {{ic|ENV}} を使って設定する方法について詳しい情報を提供しています。

=== DNS の設定 ===

デフォルトでは、docker はホストマシンにある {{ic|resolv.conf}} と同じ中身の {{ic|resolv.conf}} をコンテナに作成します。その際、ローカルアドレス (例: {{ic|127.0.0.1}}) は消されます。それによって {{ic|resolv.conf}} が空ファイルになった場合、Google の DNS サーバーが記述されます。[[Dnsmasq]] などのサービスを利用して名前を解決するようにしたい場合、設定が消されないように docker のネットワークインターフェイス用にエントリを {{ic|/etc/resolv.conf}} に追加する必要があります。

=== 手動で定義したネットワークで Docker を実行 ===

バージョン 220 以上の [[systemd-networkd]] を使ってネットワークを手動設定している場合、Docker で起動したコンテナがネットワークにアクセスできない場合があります。バージョン 220 から、ネットワークの転送設定 ({{ic|net.ipv4.conf.<interface>.forwarding}}) はデフォルトで {{ic|off}} になっており IP フォワーディングが使えません。また、コンテナの中で Docker によって有効になる {{ic|net.ipv4.conf.all.forwarding}} の設定と衝突します。

インターネットにアクセスするには、Docker のホスト側で {{ic|/etc/systemd/network/}} にある {{ic|<interface>.network}} ファイルを編集して以下のブロックを追加してください:

{{hc|/etc/systemd/network/<interface>.network|2=
[Network]
...
IPForward=kernel
...}}

上記の設定でコンテナから IP フォワーディングが使えるようになります。

=== イメージの置き場所 ===

デフォルトでは、docker のイメージは {{ic|/var/lib/docker}} に保存されます。置き場所は別のパーティションに移動することが可能です。

まず、{{ic|docker.service}} を[[systemd#ユニットを使う|停止]]してください。docker イメージを起動したことがある場合、イメージが完全にアンマウントされていることを確認します。そうしたら、イメージを {{ic|/var/lib/docker}} から好きな場所に移動してください。

その後、{{ic|docker.service}} の[[systemd#ドロップインファイル|ドロップインファイル]]を作成して、{{ic|ExecStart}} に {{ic|--data-root}} パラメータを追加してください:

{{hc|/etc/systemd/system/docker.service.d/docker-storage.conf|2=
[Service]
ExecStart=
ExecStart=/usr/bin/dockerd --data-root=''/path/to/new/location/docker'' -H fd://}}

最後に、設定をリロードして {{ic|docker.service}} を再度[[起動]]します。

== イメージ ==
=== Arch Linux ===
次のコマンドは [https://hub.docker.com/r/archlinux/base/ archlinux/base] x86_64 イメージを取得します:
# docker pull archlinux/base

詳しくは [https://github.com/archlinux/archlinux-docker/blob/master/README.md README.md] を参照してください。

=== Debian ===
以下のコマンドで [https://hub.docker.com/r/_/debian/ debian] x86_64 イメージが取得されます:
# docker pull debian

==== 手動 ====

{{Pkg|debootstrap}} で Debian イメージを作成:

# mkdir jessie-chroot
# debootstrap jessie ./jessie-chroot <nowiki>http://http.debian.net/debian/</nowiki>
# cd jessie-chroot
# tar cpf - . | docker import - debian
# docker run -t -i --rm debian /bin/bash

=== Skype ===

[[Skype#Docker]] を参照してください。

=== Arch Linux イメージとスナップショットリポジトリ ===
複数のイメージを作成した場合、アップデートによってパッケージのバージョンが食い違ってしまい問題が起こりやすくなります。Docker コンテナのパッケージのバージョンを統一するために、[https://registry.hub.docker.com/u/pritunl/archlinux/ Docker イメージとスナップショットリポジトリ] を利用することができます。スナップショットが作成された日に基づいて公式リポジトリから新しいパッケージをインストールすることができるようになります。

$ docker pull pritunl/archlinux:latest
$ docker run --rm -t -i pritunl/archlinux:latest /bin/bash

もしくは [[Arch Linux Archive]] を使って {{ic|/etc/pacman.d/mirrorlist}} を凍らせる方法もあります:
<nowiki>Server=https://archive.archlinux.org/repos/2020/01/02/$repo/os/$arch</nowiki>

== Docker とイメージの削除 ==

Docker を完全に削除したい場合は以下の手順に従ってください。

{{Note|コマンドを実行する前にどういう意味なのか考えてください。何も考えずにコピーアンドペーストしてはいけません。}}

実行中のコンテナをチェック:

# docker ps

削除するホストで実行中の全てのコンテナを確認:

# docker ps -a

実行中のコンテナを停止:

# docker stop <CONTAINER ID>

停止しないコンテナを終了:

# docker kill <CONTAINER ID>

ID で指定して全てのコンテナを削除:

# docker rm <CONTAINER ID>

全ての Docker イメージを確認:

# docker images

ID で指定して全てのイメージを削除:

# docker rmi <IMAGE ID>

全ての Docker データを削除:

# rm -R /var/lib/docker

== 便利なヒント ==

実行中のコンテナの IP アドレスを取得するには:

{{hc|<nowiki>$ docker inspect --format '{{ .NetworkSettings.IPAddress }}' <container-name OR id> </nowiki>|
172.17.0.37}}

== トラブルシューティング ==

=== systemd 232 でコンテナが起動できない ===
[[カーネルパラメータ]]として {{ic|1=systemd.legacy_systemd_cgroup_controller=yes}} を追加してください。詳しくは [https://github.com/opencontainers/runc/issues/1175 バグレポート] を参照。

=== Btrfs ファイルシステムで Docker イメージを消去 ===

[[btrfs]] ファイルシステムで docker イメージを削除すると {{ic|/var/lib/docker/btrfs/subvolumes/}} にサイズが0のイメージが残されてしまいます。これを削除しようとするとパーミッションエラーが表示されます:
# docker rm bab4ff309870
# rm -Rf /var/lib/docker/btrfs/subvolumes/*
rm: cannot remove '/var/lib/docker/btrfs/subvolumes/85122f1472a76b7519ed0095637d8501f1d456787be1a87f2e9e02792c4200ab': Operation not permitted

このエラーは btrfs が docker イメージのためにサブボリュームを作成したのが原因です。したがって削除するときの正しいコマンドは次のようになります:
# btrfs subvolume delete /var/lib/docker/btrfs/subvolumes/85122f1472a76b7519ed0095637d8501f1d456787be1a87f2e9e02792c4200ab

=== docker0 ブリッジが IP を取得できない / コンテナからインターネットにアクセスできない ===

Docker は自分で IP フォワーディングを有効にしますが、デフォルトでは systemd によって sysctl の設定が上書きされてしまいます。以下の設定によって上書きされないようにできます (全てのインターフェイスで有効):

{{hc|/etc/systemd/network/ipforward.network|<nowiki>
[Network]
IPForward=kernel
</nowiki>}}

{{hc|/etc/sysctl.d/99-docker.conf|<nowiki>
net.ipv4.ip_forward = 1
</nowiki>}}

# sysctl -w net.ipv4.ip_forward=1

{{Note|systemd バージョン 220 では、Docker によって使われるブリッジが IP アドレスを消失することが確認されています。手動で定義したネットワークでは問題なく動作します。}}

docker ブリッジが ip を消失する問題を回避するには、networkd でブリッジを ''Unmanaged'' に設定:

# cat > /etc/systemd/network/50-docker.network <<EOF
[Match]
Name=docker0

[Network]
IPForward=kernel

[Link]
Unmanaged=true
EOF

最後に {{ic|systemd-networkd}} と {{ic|docker}} サービスを[[再起動]]してください。

=== デフォルトで使用できるプロセスやスレッドの数が少なすぎる ===

以下のようなエラーメッセージが表示される場合:

java.lang.OutOfMemoryError: unable to create new native thread

fork failed: Resource temporarily unavailable

systemd によって許可されるプロセスの数を調整する必要があります。デフォルトは 500 ですが ({{ic|system.conf}} を参照)、複数の docker コンテナを動作させるには少なすぎます。以下のようなドロップインファイルを作成してください:

{{hc|/etc/systemd/system/docker.service.d/tasks.conf|<nowiki>
[Service]
TasksMax=infinity
</nowiki>}}

その後、systemd をリロードして {{ic|docker.service}} を再起動してください。

=== Error initializing graphdriver: devmapper ===

{{ic|systemctl}} で docker の起動に失敗して以下のエラーが表示される場合:

Error starting daemon: error initializing graphdriver: devmapper: Device docker-8:2-915035-pool is not a thin pool

サービスを停止して、{{ic|/var/lib/docker/}} をバックアップし、{{ic|/var/lib/docker/}} の中身を消してから、サービスを起動してみてください。詳しくは [https://github.com/docker/docker/issues/21304 GitHub issue] を参照。

== 参照 ==

* [https://docs.docker.com/engine/installation/linux/archlinux/ Arch Linux on docs.docker.com]
* [http://opensource.com/business/14/7/docker-security-selinux Are Docker containers really secure?] — opensource.com
* [[Wikipedia:ja:Docker]]

ArchWiki - 利用者の投稿記録 [ja]

Docker