通过Jenkins Pipeline在Dockerfile内自动构建包含私有模块的golang项目

发表于2021年11月22日由阿辉

以前写的golang项目一直使用的都是公开的module，最近使用私有gitlab仓库的module时，发现go get mod时需要输入用户名密码，开发环境还好解决，手动输一次让他记住就好了。但是项目正式上线，通过公司统一的jenkins Pipeline执行构建时，没有办法去手动输用户名密码。

Dockerfile配置

要解决这个问题，可以通过.netrc文件来处理。Dockerfile如下：

FROM mirror.ccs.tencentyun.com/library/golang:1.17 as builder

ARG GIT_USR
ARG GIT_PWD

ENV GOPROXY=https://goproxy.cn,direct
ENV GOPRIVATE=stash.xxxx.com
ENV GOOS=linux
ENV GIT_TERMINAL_PROMPT=1

WORKDIR /build
COPY . ./

RUN go env -w GOPRIVATE=stash.xxxx.com \
    && echo "machine stash.xxxx.com login ${GIT_USR} password ${GIT_PWD}" > ~/.netrc \
    && GO111MODULE=on CGO_ENABLED=0 GOOS=${GOOS} GOPROXY=${GOPROXY} go build -o=knative-audit-log

################################################################################
##                               MAIN STAGE                                   ##
################################################################################
# Copy the manager into the distroless image.
FROM mirror.ccs.tencentyun.com/library/alpine:3.13

RUN echo 'https://mirrors.cloud.tencent.com/alpine/v3.13/main' > /etc/apk/repositories \
    && echo 'https://mirrors.cloud.tencent.com/alpine/v3.13/community' >>/etc/apk/repositories \
    && apk update && apk add tzdata && ln -sf /usr/share/zoneinfo/Asia/Shanghai /etc/localtime \
    && echo "Asia/Shanghai" > /etc/timezone

WORKDIR /usr/local/app
COPY --from=builder /build/knative-audit-log /usr/local/app/knative-audit-log
RUN chmod 755 /usr/local/app/knative-audit-log

ENTRYPOINT ["/usr/local/app/knative-audit-log"]

FROM mirror.ccs.tencentyun.com/library/golang:1.17 as builder

ARG GIT_USR

ARG GIT_PWD

ENV GOPROXY=https://goproxy.cn,direct

ENV GOPRIVATE=stash.xxxx.com

ENV GOOS=linux

ENV GIT_TERMINAL_PROMPT=1

WORKDIR /build

COPY . ./

RUN go env -w GOPRIVATE=stash.xxxx.com \

&& echo "machine stash.xxxx.com login ${GIT_USR} password ${GIT_PWD}" > ~/.netrc \

&& GO111MODULE=on CGO_ENABLED=0 GOOS=${GOOS} GOPROXY=${GOPROXY} go build -o=knative-audit-log

################################################################################

## MAIN STAGE ##

################################################################################

# Copy the manager into the distroless image.

FROM mirror.ccs.tencentyun.com/library/alpine:3.13

RUN echo 'https://mirrors.cloud.tencent.com/alpine/v3.13/main' > /etc/apk/repositories \

&& echo 'https://mirrors.cloud.tencent.com/alpine/v3.13/community' >>/etc/apk/repositories \

&& apk update && apk add tzdata && ln -sf /usr/share/zoneinfo/Asia/Shanghai /etc/localtime \

&& echo "Asia/Shanghai" > /etc/timezone

WORKDIR /usr/local/app

COPY --from=builder /build/knative-audit-log /usr/local/app/knative-audit-log

RUN chmod 755 /usr/local/app/knative-audit-log

ENTRYPOINT ["/usr/local/app/knative-audit-log"]

重点在3,4行和15行，3，4行通过传入GIT_USR和GIT_PWD两个参数到docker构建内，第15行生成.netrc配置。

现在我们就可以通过传参的方式来构建了：

docker build -t hub.docker.com/xxx/knative-audit-log:v0.1 --build-arg GIT_USR=**** --build-arg 'GIT_PWD=****' -f ./Dockerfile .

继续阅读 →

通过docker overlay2 目录名查找容器名

发表于2019年7月18日由阿辉

有时候经常会有个别容器占用磁盘空间特别大，这个时候就需要通过docker overlay2 目录名查找容器名：

先进入overlay2的目录，这个目录可以通过docker的配置文件（/etc/docker/daemon.json）内找到。然后看看谁占用空间比较多。

[root@sh-saas-k8s1-node-qa-04 overlay2]# du -sc * | sort -rn  | more
33109420        total
1138888 20049e2e445181fc742b9e74a8819edf0e7ee8f0c0041fb2d1c9d321f73d8f5b
1066548 010d0a26a1fe5b00e330d0d87649fc73af45f9333fd824bf0f9d91a37276af18
943208  030c0f111675f6ed534eaa6e4183ec91d4c065dd4bdb5a289f4b572357667378
825116  0ad9e737795dd367bb72f7735fb69a65db3d8907305b305ec21232505241d044
824756  bf3c698966bc19318f3263631bc285bde07c6a1a4eaea25c4ecd3b7b8f29b3fd
661000  15763b72802e1e71cc943e09cba8b747779bf80fa35d56318cf1b89f7b1f1e71
575564  02eaa52e2f999dc387a9dee543028bada0762022cef1400596b5cc18a6223635
486780  4353c30611d7f51932d9af24bb1330db0fdb86faa9d9cae02ed618fa975c697a
486420  562a8874cc345b8ea830c1486c42211b288c886c5dca08e14d7057cacab984c1
486420  4f897e8cd355320b0e7ee1ecc9db5c43d5151f9afa29f1925fe264c88429be4c
448652  a8d0596d123fcc59983ce63df3f3acd40d5c930ed72874ce0a9efbc3234466de
448296  851cc4912edb9989e120acf241f26c82e9715e7fcb1d2bd19a002fcfb894f1f4
417780  20608baacae6bafcd4230a18a272857bc75703a6eefef5c9b40ba4ea19496b11
387388  43a8a76de3b5531e4c12f956f7bfcfcdb8fd38548faf20812cafa9a39813abc5

[root@sh-saas-k8s1-node-qa-04 overlay2]# du -sc * | sort -rn | more

33109420 total

1138888 20049e2e445181fc742b9e74a8819edf0e7ee8f0c0041fb2d1c9d321f73d8f5b

1066548 010d0a26a1fe5b00e330d0d87649fc73af45f9333fd824bf0f9d91a37276af18

943208 030c0f111675f6ed534eaa6e4183ec91d4c065dd4bdb5a289f4b572357667378

825116 0ad9e737795dd367bb72f7735fb69a65db3d8907305b305ec21232505241d044

824756 bf3c698966bc19318f3263631bc285bde07c6a1a4eaea25c4ecd3b7b8f29b3fd

661000 15763b72802e1e71cc943e09cba8b747779bf80fa35d56318cf1b89f7b1f1e71

575564 02eaa52e2f999dc387a9dee543028bada0762022cef1400596b5cc18a6223635

486780 4353c30611d7f51932d9af24bb1330db0fdb86faa9d9cae02ed618fa975c697a

486420 562a8874cc345b8ea830c1486c42211b288c886c5dca08e14d7057cacab984c1

486420 4f897e8cd355320b0e7ee1ecc9db5c43d5151f9afa29f1925fe264c88429be4c

448652 a8d0596d123fcc59983ce63df3f3acd40d5c930ed72874ce0a9efbc3234466de

448296 851cc4912edb9989e120acf241f26c82e9715e7fcb1d2bd19a002fcfb894f1f4

417780 20608baacae6bafcd4230a18a272857bc75703a6eefef5c9b40ba4ea19496b11

387388 43a8a76de3b5531e4c12f956f7bfcfcdb8fd38548faf20812cafa9a39813abc5

再通过目录名查找容器名：

[root@sh-saas-k8s1-node-qa-04 overlay2]#  docker ps -q | xargs docker inspect --format '{{.State.Pid}}, {{.Name}}, {{.GraphDriver.Data.WorkDir}}' | grep "20049e2e445181fc742b9e74a8819edf0e7ee8f0c0041fb2d1c9d321f73d8f5b"
4884, /k8s_taskmanager_flink-taskmanager-java-qa-7879d55f45-xbd74_public-tjpm-flink-java-qa_ad8bf915-a23f-11e9-be66-52540088db9a_0, /data/kubernetes/docker/overlay2/20049e2e445181fc742b9e74a8819edf0e7ee8f0c0041fb2d1c9d321f73d8f5b/work

[root@sh-saas-k8s1-node-qa-04 overlay2]# docker ps -q | xargs docker inspect --format '{{.State.Pid}}, {{.Name}}, {{.GraphDriver.Data.WorkDir}}' | grep "20049e2e445181fc742b9e74a8819edf0e7ee8f0c0041fb2d1c9d321f73d8f5b"

4884, /k8s_taskmanager_flink-taskmanager-java-qa-7879d55f45-xbd74_public-tjpm-flink-java-qa_ad8bf915-a23f-11e9-be66-52540088db9a_0, /data/kubernetes/docker/overlay2/20049e2e445181fc742b9e74a8819edf0e7ee8f0c0041fb2d1c9d321f73d8f5b/work

如果发现有目录查不到，通常是因为容器已经被删掉了，目录没有清理，这时直接清理便可：

docker system prune -a -f

1 2	docker system prune -a -f

通过重定向实现在容器内进行网络调试

发表于2019年5月21日由阿辉

在容器内，很多时候ping，telnet的命令都没有，进行网络调试很受限，可通过重定向实现基于tcp/udp协议的软件通讯。

linux 设备里面有个比较特殊的文件:

/dev/[tcp|upd]/host/port 只要读取或者写入这个文件，相当于系统会尝试连接:host 这台机器，对应port端口。如果主机以及端口存在，就建立一个socket 连接。将在，/proc/self/fd目录下面，有对应的文件出现。

[chengmo@centos5 shell]$ cat</dev/tcp/127.0.0.1/22
SSH-2.0-OpenSSH_5.1
#我的机器shell端口是：22
#实际:/dev/tcp根本没有这个目录，这是属于特殊设备
[chengmo@centos5 shell]$ cat</dev/tcp/127.0.0.1/223
-bash: connect: 拒绝连接
-bash: /dev/tcp/127.0.0.1/223: 拒绝连接
#223接口不存在,打开失败

[chengmo@centos5 shell]$ exec 8<>/dev/tcp/127.0.0.1/22
[chengmo@centos5 shell]$ ls -l /proc/self/fd/
总计 0
lrwx------ 1 chengmo chengmo 64 10-21 23:05 0 -> /dev/pts/0
lrwx------ 1 chengmo chengmo 64 10-21 23:05 1 -> /dev/pts/0
lrwx------ 1 chengmo chengmo 64 10-21 23:05 2 -> /dev/pts/0
lr-x------ 1 chengmo chengmo 64 10-21 23:05 3 -> /proc/22185/fd
lrwx------ 1 chengmo chengmo 64 10-21 23:05 8 -> socket:[15067661]

#文件描述符8，已经打开一个socket通讯通道，这个是一个可以读写socket通道,因为用："<>"打开
[chengmo@centos5 shell]$ exec 8>&-
#关闭通道
[chengmo@centos5 shell]$ ls -l /proc/self/fd/
总计 0
lrwx------ 1 chengmo chengmo 64 10-21 23:08 0 -> /dev/pts/0
lrwx------ 1 chengmo chengmo 64 10-21 23:08 1 -> /dev/pts/0
lrwx------ 1 chengmo chengmo 64 10-21 23:08 2 -> /dev/pts/0
lr-x------ 1 chengmo chengmo 64 10-21 23:08 3 -> /proc/22234/fd

[chengmo@centos5 shell]$ cat</dev/tcp/127.0.0.1/22

SSH-2.0-OpenSSH_5.1

#我的机器shell端口是：22

#实际:/dev/tcp根本没有这个目录，这是属于特殊设备

[chengmo@centos5 shell]$ cat</dev/tcp/127.0.0.1/223

-bash: connect: 拒绝连接

-bash: /dev/tcp/127.0.0.1/223: 拒绝连接

#223接口不存在,打开失败

[chengmo@centos5 shell]$ exec 8<>/dev/tcp/127.0.0.1/22

[chengmo@centos5 shell]$ ls -l /proc/self/fd/

总计 0

lrwx------ 1 chengmo chengmo 64 10-21 23:05 0 -> /dev/pts/0

lrwx------ 1 chengmo chengmo 64 10-21 23:05 1 -> /dev/pts/0

lrwx------ 1 chengmo chengmo 64 10-21 23:05 2 -> /dev/pts/0

lr-x------ 1 chengmo chengmo 64 10-21 23:05 3 -> /proc/22185/fd

lrwx------ 1 chengmo chengmo 64 10-21 23:05 8 -> socket:[15067661]

#文件描述符8，已经打开一个socket通讯通道，这个是一个可以读写socket通道,因为用："<>"打开

[chengmo@centos5 shell]$ exec 8>&-

#关闭通道

[chengmo@centos5 shell]$ ls -l /proc/self/fd/

总计 0

lrwx------ 1 chengmo chengmo 64 10-21 23:08 0 -> /dev/pts/0

lrwx------ 1 chengmo chengmo 64 10-21 23:08 1 -> /dev/pts/0

lrwx------ 1 chengmo chengmo 64 10-21 23:08 2 -> /dev/pts/0

lr-x------ 1 chengmo chengmo 64 10-21 23:08 3 -> /proc/22234/fd

Downloading a URL via /dev/tcp:

exec 5<>/dev/tcp/www.net.cn/80
echo -e "GET / HTTP/1.0\n" >&5
cat <&5

exec 5<>/dev/tcp/www.net.cn/80

echo -e "GET / HTTP/1.0\n" >&5

cat <&5

通过进程ID找到对应的容器

发表于2019年5月21日由阿辉

先使用ps auxw 查看进程的ID，再执行：
docker ps -q | xargs docker inspect --format '{{.State.Pid}}, {{.Name}}' | grep "^%PID%"
其中％PID％是ps查看到的CONTAINER PID.

如果ps auxw取到的进程ID不为CONTAINER PID,通常情况下是由于这个进程不是容器的1号进程造成的。可以通过
pstree -sg <PID>
先找到父ID，再执行：
docker ps -q | xargs docker inspect --format '{{.State.Pid}}, {{.Name}}' | grep "^%PID%"
就可以了。

使用nsenter进入docker容器的命名空间

发表于2019年4月9日由阿辉

centos 7 已经自喧nsenter这个命令，可以直接使用，它可以方便的让我们进入docker容器的命名空间。

首先获取容器pid，示例如下：

[root@sh-saas-k8s1-master-dev-01 ~]# docker ps
CONTAINER ID        IMAGE                                                                 COMMAND                  CREATED             STATUS              PORTS               NAMES
f8b1e0b8caa7        nginx                                                                 "nginx -g 'daemon of…"   33 seconds ago      Up 33 seconds       80/tcp              nginx
[root@sh-saas-k8s1-master-dev-01 ~]# pid=$(docker inspect --format "{{ .State.Pid }}" f8b1e0b8caa7)
[root@sh-saas-k8s1-master-dev-01 ~]# echo $pid
16042

[root@sh-saas-k8s1-master-dev-01 ~]# docker ps

CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES

f8b1e0b8caa7 nginx "nginx -g 'daemon of…" 33 seconds ago Up 33 seconds 80/tcp nginx

[root@sh-saas-k8s1-master-dev-01 ~]# pid=$(docker inspect --format "{{ .State.Pid }}" f8b1e0b8caa7)

[root@sh-saas-k8s1-master-dev-01 ~]# echo $pid

16042

然后使用nsenter命令进入：

[root@sh-saas-k8s1-master-dev-01 ~]# nsenter --target $pid --mount --uts --ipc --net --pid
mesg: ttyname failed: No such file or directory
root@f8b1e0b8caa7:/# ls
bin  boot  dev  etc  home  lib  lib64  media  mnt  opt  proc  root  run  sbin  srv  sys  tmp  usr  var
root@f8b1e0b8caa7:/# ip a
-bash: ip: command not found
root@f8b1e0b8caa7:/# exit
logout

[root@sh-saas-k8s1-master-dev-01 ~]# nsenter --target $pid --mount --uts --ipc --net --pid

mesg: ttyname failed: No such file or directory

root@f8b1e0b8caa7:/# ls

bin boot dev etc home lib lib64 media mnt opt proc root run sbin srv sys tmp usr var

root@f8b1e0b8caa7:/# ip a

-bash: ip: command not found

root@f8b1e0b8caa7:/# exit

logout

继续阅读 →

docker 在宿主机上根据进程PID查找归属容器ID

发表于2019年3月6日由阿辉

在使用docker时经常出现一台docker主机上跑了多个容器，可能其中一个容器里的进程导致了整个宿主机load很高，其实一条命令就可以找出罪魁祸首

#查找容器ID

docker inspect -f "{{.Id}} {{.State.Pid}} {{.Name}} " $(docker ps -q) |grep <PID>

#查找k8s pod name

docker inspect -f "{{.Id}} {{.State.Pid}} {{.Config.Hostname}}" $(docker ps -q) |grep <PID>

#如果PID是容器内运行子进程那docker inspect就无法显示了

for i in  `docker ps |grep Up|awk '{print $1}'`;do echo \ &&docker top $i &&echo ID=$i; done |grep -A 10 <PID>

1 2	for i in `docker ps \|grep Up\|awk '{print $1}'`;do echo \ &&docker top $i &&echo ID=$i; done \|grep -A 10 <PID>

转自：https://www.cnblogs.com/37yan/p/9559308.html

docker swarm 集群及多主机overlay网络测试

发表于2018年8月10日由阿辉

docker的swarm集群已经支持多主机的overlay网络，而且目前测试下来发现安装及配置非常方便，跟k8s相比，安装及配置要轻松好多。

1. 测试环境

使用2台虚拟机来测试，操作系统为ubuntu 14.04.04，系统自带内核为4.2，注意overlay需要3.16以上的内核版本。

主机名	IP	备注
ubuntu1	192.168.11.21	manger
ubuntu2	192.168.11.22	worker

2. 安装docker

在所有主机上安装docker,使用官方APT源。

#删除系统自带的docker
apt-get remove docker docker-engine docker.io

#安装内核模块
apt-get install \
    linux-image-extra-$(uname -r) \
    linux-image-extra-virtual

#下载安装Docker APT库源证书
curl -fsSL https://download.docker.com/linux/ubuntu/gpg | apt-key add -
apt-key fingerprint 0EBFCD88

#增加APT库，使用阿里云镜像
add-apt-repository \
   "deb [arch=amd64] https://mirrors.aliyun.com/docker-ce/linux/ubuntu/ \
   $(lsb_release -cs) \
   stable"

#安装docker
apt-get update
apt-get install docker-ce

#删除系统自带的docker

apt-get remove docker docker-engine docker.io

#安装内核模块

apt-get install \

linux-image-extra-$(uname -r) \

linux-image-extra-virtual

#下载安装Docker APT库源证书

curl -fsSL https://download.docker.com/linux/ubuntu/gpg | apt-key add -

apt-key fingerprint 0EBFCD88

#增加APT库，使用阿里云镜像

add-apt-repository \

"deb [arch=amd64] https://mirrors.aliyun.com/docker-ce/linux/ubuntu/ \

$(lsb_release -cs) \

stable"

#安装docker

apt-get update

apt-get install docker-ce

继续阅读 →

阿辉的博客

docker kubernetes istio等分布式系统和云计算等技术研究

分类目录归档：docker

通过Jenkins Pipeline在Dockerfile内自动构建包含私有模块的golang项目

Dockerfile配置

通过docker overlay2 目录名查找容器名

通过重定向实现在容器内进行网络调试

通过进程ID找到对应的容器

使用nsenter进入docker容器的命名空间

docker 在宿主机上根据进程PID查找归属容器ID

docker swarm 集群及多主机overlay网络测试

1. 测试环境

2. 安装docker

2021年 12月
一	二	三	四	五	六	日
		1	2	3	4	5
6	7	8	9	10	11	12
13	14	15	16	17	18	19
20	21	22	23	24	25	26
27	28	29	30	31