只要是人做的事，随着重复执行次数的增加，难免引入失误，所以现在强调IaC（基础架构即代码）。笔者目前的工作与之息息相关，目标是构建一条 CI/CD流水线，将项目编译、测试、打包、发布自动化，选型时根据公司现状，决定用GitLab CI 实现。

本文主要是记录了通过GitLab CI 构建项目的容器镜像时遇到的一个小问题：使用dind(docker in docker)时，需要配置registry-mirror。

一、选用的组件

1、GitLab Runner
GitLab Runner 是配合GitLab CI使用的，是一个执行构建脚本的东西，而GitLab CI就是这些Runner 的管理中心，所有 Runner 都要在GitLab-CI里面登记注册，并且表明自己是为哪个GitLab 项目服务的。当项目发生变化时，GitLab CI就会通知相应的 Runner 执行构建脚本。

GitLab Runner 的安装可以有多种方式，比如二进制 、Docker，由于构建过程往往是较为消耗资源的，所以笔者选择了Docker方式，并且安装在k8s集群中，方便管理以及动态扩容。

2、dind(docker in docker)
由于Runner被Docker化运行在真实的物理机上，当需要在Docker化的Runner里构建项目镜像时就涉及到"Docker run Docker"的问题，官方给出了几种解决方案，大家可以根据实际情况做出选择。笔者这篇文章记录了试验“docker in docker”方案时遇到的问题。

docker in docker有风险，需了解清楚再决定是否使用。

二、注意点

• docker in docker需要开启特权模式。
• 在Docker v19.03或更高版本中，默认开启TLS，需要额外配置，可参考https://docs.gitlab.com/ee/ci/docker/using_docker_build.html#tls-enabled。
• dind支持通过command配置参数，如registry-mirror。

三、配置

1、GitLab Runner
配置文件：/etc/gitlab-runner/config.toml ，主要是“privileged = true”配置项，开启特权模式，从而可以使用dind。当然开启需谨慎，笔者只是试验用，并未真正用在正式环境。

concurrent = 10 
check_interval = 0
[session_server]
   session_timeout = 1800
[[runners]]
   name = "share-runner-k8s"
   url = "http://$ip/"
   token = "$token"
   cache_dir = "/cache"
   [runners.kubernetes]
       bearer_token_overwrite_allowed = false
       privileged = true                #重要！！！开启特权模式，才可以正常使用dind。
       service_account = "gitlab-runner"

2、.gitlab-ci.yml

build_docker_image: 
    stage: build_image
    variables: 
        DOCKER_HOST: tcp://localhost:2375
    image: docker:18.06.3-git   #指定v19.03之前的版本，以便避开TLS配置（试验使用，正式环境请使用高版本开启TLS）。
    services: 
        - name: docker:18.06.3-dind
          command: ["--registry-mirror=http://$ip:$port/"]   #通过command可以配置额外参数。
    script: 
        - build_docker_image
    only: 
      - branches
    tags: 
     - share-runner-k8s