在容器化的持续交付过程中，经常涉及到使用自己定制的镜像运行代码、测试等。如果这些镜像需要每次手动更新，不妨将这些镜像的打包与发布流程也加入CI/CD流程：

对镜像：

• 镜像的Dockerfile/依赖文件发生改动
• 自动build镜像
• 自动push到镜像仓库

对原有CI/CD流程：

• 代码发生改动
• 从镜像仓库拉取最新镜像
• 运行单元测试

以下内容就是如何实现镜像的持续交付。

注册docker hub账号

官方docker hub地址：https://hub.docker.com/

注册你的账号。

当然，也可以自己搭建一个私有仓库，过程与推送到官方仓库一样，不赘述。

注册gitlab-runner

详细的注册过程参考：gitlab-ci 持续集成完整实践 “Gitlab CI 基本配置”一节。

重点关注如下几个配置项：

• 指定executor为“docker”
• 指定tag为“docker”

添加.gitlab-ci.yml脚本

可以直接选择Dockerfile的yml模版，稍作修改即可。

image: docker:stable

services:
  - docker:dind

before_script:
  - docker login -uityoung -p<PASSWORD>

build:
  stage: build
  script:
    - docker build -t "ityoung/gradle:3.3" .
    - docker push ityoung/gradle:3.3
  only:
    - master
  tags:
    - docker

• 指定镜像为docker:stable，有关docker的操作都在本镜像中，如build, push等
• 指定services：docker:dind，启动dockerd并被docker:stable连接作为docker daemon
• 指定runner：添加tags:docker，为注册runner时指定的tag
• 修改login的账号与密码为自己的！

services指定docker:dind不是必须的。由于docker:stable执行入口不包含启动dockerd的操作，而docker:dind执行入口仅包含启动dockerd的操作，因此使用docker:dind作为services可以使docker:stable快速连接docker daemon而不用考虑如何启动dockerd。具体解释见参考[1]

问题解决

docker:dind服务启动失败

按照上述操作，有可能出现以下警告：

*** WARNING: Service runner-118b6b82-project-10-concurrent-0-docker-0 probably didn't start properly.

Health check error:
ContainerStart: Error response from daemon: Cannot link to a non running container: /runner-118b6b82-project-10-concurrent-0-docker-0 AS /runner-118b6b82-project-10-concurrent-0-docker-0-wait-for-service/service

Service container logs:
2018-09-10T06:02:08.161544784Z mount: permission denied (are you root?)
2018-09-10T06:02:08.161686312Z Could not mount /sys/kernel/security.
2018-09-10T06:02:08.161695928Z AppArmor detection and --privileged mode might break.
2018-09-10T06:02:08.164169464Z mount: permission denied (are you root?)

*********

出现的原因在于，在你的宿主机使用root用户安装docker（执行docker命令需要加上sudo），这种情况下，需要配置runner的privileged为true。

gitlab-runner的配置文件在宿主机上的默认位置为/srv/gitlab-runner/config/config.toml，直接修改该文件中的配置项即可。

无法登录HTTPS的Docker仓库

以Harbor为例，在启用HTTPS后，登录需要证书才可完成。但在试过将证书放置在docker:stable镜像的/etc/docker/certs.d/<domain>/目录下，仍然无法登录，提示x509: certificate signed by unknown authority。

最后在参考[4]的一个回答中得到解决方法并成功登录，即：

将证书放置于docker:dind镜像的/etc/docker/certs.d/<domain>/目录下。

实际上，提供docker daemon的就是该镜像，证书理应放在该镜像中。被两个"docker in docker"镜像搞迷糊了。

参考

[1] Role of docker-in-docker (dind) service in gitlab ci, Stack Overflow
[2] Push images to Docker Cloud, Docker Docs
[3] Unable to build docker image from .gitlab-ci.yml using shared runner, gitlab.com
[4] Getting x509: certificate signed by unknown authority when talking to docker registry, gitlab.com