摆脱 Docker Desktop 即将到来的收费

最近本人在 Mac OS X 下安装的 Docker Desktop 经常蹦出要升级的窗口，Skip this update PRO 不能用，Install & Restart  也总是失败，所以每次只能 SNOOZE。原来觉得事有蹊跷，后来才知道这或许与近日吵得沸沸扬扬的 Docker Desktop 收费计划有关。Docker Desktop 是专门为 Windows 和 Mac OS X 定制的，Mac OS X 和 Windows  都是开发人员用的平台。Linux 下可以不用 Docker Desktop，Linux 下 Docker 之间甚至一层窗户纸都没有，实际部署的 Docker 服务也是运行在 Linux 下的。

墙里边微信正在谋划着对聊天记录的云存储收年费，外边是 Docker 在向大公司和开发人员下手，这难道是美国加州版的共同富裕？

查看一下当前 Docker Subscription Service Agreement, 将来可不被收费的对象包括个人用户，教育行业和非商业的开源项目，小企业不收费的门槛是雇员少于 250 并且年收入少于 1 千万美金。还给出一个开始有效日为 2021 年 8 月 31 日，再加一个慷慨的最后宽限日期为  2022 年 1 月 31 日，这其间大家自愿。

对于一个公司人数不少，且日常使用公司配发 Mac 笔记本的开发人员，只能等着被收费了，除非不计法律的风险。

不过，也别急着发慌，还是有替换方案，这里是 Docker Desktop 收费，Docker 仍然是免费的。这儿有两个 Docker Desktop 的替代方案：

1. hyperkit + minikube
2. Podman

原文见 Replacing Docker Desktop with hyperkit + minikube

未雨绸缪，况且本人几乎不用 Docker Desktop 提供的 UI, 更不愿用 Docker Desktop 提供的  Kubernetes。先在 Mac 下尝试一番没有 Docker Desktop 的日子，第一步把 Docker Desktop 痛痛快快的卸载掉，这时候连 docker 命令都没有了。

方案 一： hyperkit + minikube

首先要依次安装 docker cli，hyperkit, 和 minikube

安装 Docker CLI

$ brew install docker
$ brew install docker-compose     # 有必要的话把它装了

这时候应该就能执行 docker 和 docker-compose 这两个命令了, 但是 docker ps 等命令还无法执行, 因为还没有 DOCKER_HOST, 用 docker --version 看下版本还是可以的。

如果还不见 docker, 可以尝试下面的命令

$ brew install docker-toolbox

安装 hyperkit 和 minikube 前启动

$ brew install hyperkit
$ brew install minikube
$ minikube start

Minikube 实际上是启动了一个 Kubernetes 集群，这里是本人写的一篇 几种简单安装 Kubernetes 集群的方法, 其中就介绍到了如何用 Minikube 来体验 Kubernetes。

这里的 minikube 默认使用的 driver 是 hyperkit，相当于是 minikube start --driver=hyperkit, 也可以指定 virtualbox，命令为 minikube start --driver=virtualbox, 或通过 minikube config set driver virtualbox 来修改。minikube 推荐使用 hyperkit, 坚持使用 virtualbox 的话就可不用安装 hyperkit, 而需安装 virtualbox。使用 virtualbox 为 driver 就会看到在 VirtualBox 中会创建一个虚拟机，

Minikube 启动后可用 Kubernetes 的命令 kubectl get service 查看它所有启动的服务。假如提示 kubectl 命令找不到的话，即用下方命令安装它

$ brew install kubernetes-cli 

执行 docker 相关命令

即将到来的有小激动人心的时刻，现在立马执行像  docker ps 的命令会出现不能连接 Docker daemon 的错误

Cannot connect to the Docker daemon at unix:///var/run/docker.sock. Is the docker daemon running?

需先执行下面一条命令

eval $(minikube docker-env)

它其实是帮我们设置了四个环境变量，直接执行 minikube docker-env 就能看到它的输出

$ minikube docker-env
export DOCKER_TLS_VERIFY="1"
export DOCKER_HOST="tcp://192.168.64.2:2376"
export DOCKER_CERT_PATH="/Users/yanbin/.minikube/certs"
export MINIKUBE_ACTIVE_DOCKERD="minikube"
# To point your shell to minikube's docker-daemon, run:
# eval $(minikube -p minikube docker-env)

至此，我们就能做我们之前用  docker 做的所有事情了，像

docker build .
docker ps
docker push
等等

如果在每一个会话中都需要上面的环境变量，那么就把 eval $(minikube docker-env) 加到相应 shell 的初始化配置文件中去，如  Zsh 的  .zshrc 文件。

Minikube 的配置

这种方式又仿佛让我们回到了没有 Docker Desktop 之前用 boot2docker 的时代，回看之前 2014 年时写的 Mac 下通过 boot2docker 来使用 Docker 的日志 Mac OS X 下安装使用 Docker，都是被逼的, 轮回来得太快。

前面看到的 DOCKER_HOST 是 192.168.64.2 这个主机，实际上 Docker 要做的事情都是它干的，docker 命令不过是个皮。我们一路下来，显示 192.168.64.2 就是 Minikube 启动的一个虚拟机，minikube ssh 就能进到里面去

进到该虚拟机，我们列出相关的信息，CPU 2 个，内存 4 G。该虚拟机的 CPU 和内存可以进行配置

$ minikube config set cpus 2
$ minikube config set memory 2048

需要在 minikube stop|start 后重新生效，还能在 minikube start 时指定配置参数

$ minikube start --memory=8192 --cpus=4 --disk-size=50g

更多的 minikube 命令用 minikube --help 查看，比如 minikube ip 直接查看到该虚拟机的 IP 地址。

$ minikube dashboard --url

上面命令让我们直接在浏览器中打开一个 Kubernetes Dashboard，想在其中看什么 Kubernetes 的信息都方便，绝对可以把 Docker Desktop 内置的 Kubernetes 比下去。

可能的一个问题，Mac 连了 VPN 之后 minikube 启动会有问题, 既然在无 VPN 情况下启动了 minikube, 一旦连接上了 VPN 后，还是不能用，原因是启动 minikube 的 bridge 的网络在连上 VPN 后不通。具体点讲就是连接了 VPN 之后，VPN 把到原本应该经过 xboxnetX 网络进到虚拟机(如 192.168.99.101) 的路由换成了走 VNP 的网络设备(如 utun2)，而且用 route 还删不掉，在 Cisco AnyConnect 中把  All local (LAN) access when using VPN (if configured) 勾选上也不行。

方案二：Podman

我们看到目前 Docker CLI 还是用 Apache 2.0 授权的，可自由使用，万一这也被 Docker 的后台公司看上商机了呢？不用慌张，我们还有一个后招，那就是 Docker CLI 的替代品 Podman。要是将来 Podman 也参于围剿，那会更热闹了。

在 Mac OS 下 Podman 的安装(无论什么都可以 brew 一下)

$ brew install podman

安装的 Podman 当前版本 为 3.3.1.

Podman 可独自挑大梁，它提供了兼容 Docker CLI 的 podman，以及 Mac OS 与 Docker 容器间的媒介虚拟机。在用 podman 之前需用 machine 命令创建并启动那个虚拟机

$ podman machine init
$ podman machine start

既然是一个 Linux 虚拟机就能 ssh 进去探个究竟，下面是那几个命令一并的输出信息

上面的信息告诉我们 podman 初始化并启动了一个  Qemu 的 fecora-coreos 虚拟机，一个 CPU, 内存为 2Gb。

如果我们需要调整该虚拟机的 CPU 和内存，在 podman machine init 时，可指定 --cpus, --memory  参数，用 podman machine init --help 查看帮助信息

$ podman machine init --help
Initialize a virtual machine
Description:
    initialize a virtual machine
Usage:
    podman machine init [options] [NAME]
Examples:
podman machine init myvm
Options:
        --cpus uint                          Number of CPUs. The default is 1. (default 1)
        --disk-size uint                  Disk size in GB (default 10)
        --ignition-path string       Path to ignition file
        --image-path string          Path to qcow image
        -m, --memory uint            Memory (in MB) (default 2048)

或用 podman info, podman system info 也能查看到 podman 系统的信息。

podman 可替代 Docker CLI, 所以先前的 docker build, docker ps 之类的命令可以用 podman build，podman ps 等，因此我们可创建一个别名

$ alias docker=podman

现在来试一下 podman pull busybox 试图拉取一个镜像

$ podman pull busybox
Error: failed to parse "X-Registry-Auth" header for /v3.3.1/libpod/images/pull?alltags=false&arch=&authfile=&os=&password=&policy=always&quiet=false&reference=busybox&username=&variant=: error storing credentials in temporary auth file (server: "https://index.docker.io/v1/", user: ""): key https://index.docker.io/v1/ contains http[s]:// prefix

原因是之前的 Docker Desktop 创建了 ～/.docker/config.json 文件，不能被 podman 所用，把它删除了(参考：podman: Error: failed to parse "X-Registry-Auth" header)，再试就没问题了。

如果一切顺利的话就可以用 podman 来替代 docker 去构建镜像等操作了。

可是在我的本地仍然是 podman build . 构建不了，也许是因为原来安装过 Docker Desktop, hyperkit, 和 minikube 的缘故，也可能是当前 podman  的 bug。

接着来构建一个镜像，Dockerfile 内容写成

或是

执行

$ podman --log-level=debug build .

会看到两种类型的错误

Error: failed Request: Unable to copy tar file from request body /v3.3.1/libpod/build?dockerfile=%5B%22Dockerfile%22%5D&forcerm=1&isolation=1&jobs=1&layers=1&networkmode=0&nsoptions=%5B%7B%22Name%22%3A%22user%22%2C%22Host%22%3Atrue%2C%22Path%22%3A%22%22%7D%2C%7B%22Name%22%3A%22network%22%2C%22Host%22%3Atrue%2C%22Path%22%3A%22%22%7D%5D&outputformat=application%2Fvnd.oci.image.manifest.v1%2Bjson&pullpolicy=missing&rm=1&shmsize=67108864&t=

或是

Error: mkdir /var/tmp/libpod_builder721137603: no space left on device

用 podman machine ssh 进到虚拟机果然看到

[core@localhost ~]$ mkdir /var/tmp/libpod_builder721137603
mkdir: cannot create directory ‘/var/tmp/libpod_builder721137603’: No space left on device

删除了 ~/.config/containers  和 ~/.local/share/containers 也无济于事。

后来发现  No space left on device 是因为把 Dockerfile 放在了 ~/Downloads 目录中，在构建 Docker 镜像时把该目录中的所有文件都发向了 podman machine, 把  Dockerfile 挪出到一个新建目录中就行。

后来重启后，又瞎折腾了一翻，发现 podman build . 又能工作了，不知所以。

至于 Dockerfile 中的 FROM 要不是加上 docker.io 前缀，这是无所谓的，用 podman info 可查看 podman 搜寻 Docker 镜像的顺序是

registries:
  search:
  - registry.fedoraproject.org
  - registry.access.redhat.com
  - docker.io
  - quay.io

podman login docker.io 按提示输入用户名和密码就能创建 docker hub, 能往其中 push  自己的镜像。

AWS 的 ECR 登陆，用

$ aws ecr get-login-password --region us-east-1 | podman login --username AWS --password-stdin <1234567890>.dkr.ecr.us-east-1.amazonaws.com

也可以登陆成功，之后就能 podman pull <1234567890>.dkr.ecr.us-east-1.amazonaws.com/abc:latest，或者是 podman pull AWS ECR 上的 image 了.

方案三：原始的 Docker Machine

再不济我们还可以再回到重新，用 docker-machine 的办法

$ brew install docker-machine
$ docker-machine create --driver virtualbox default
$ eval $(docker-machine env)
$ docker ps

前面的 Minikube + hyperkit 和这里的 Docker Machine 最终都是用的 Docker Daemon, docker 命令连接到 Docker Machine 来操作的。则 podman 是 Daemonless 的，所以也就只有它不怕 VPN 连接的干扰。

我本人目前的使用的就是 docker-machine，创建的是 VirtualBox 虚拟机，具体步骤是

$ docker-machine create --driver virtualbox --engine-env DOCKER_TLS=no --engine-opt host=tcp://0.0.0.:2375 default
$ docker-machine stop
$ VBoxManage modifyvm "default" --natpf1 "docker,tcp,127.0.0.1,2375,,2375
$ docker-machine start
$ export DOCKER_HOST=tcp://localhost:2375
$ docker ps

通过本地的端口映射就不会受连接 VPN 之后路由的影响，同时在 docker-machine 里还能访问外面(包括 VPN 的资源)

如果在使用 AWS ECR 时出现类似下面的错误

$ aws ecr get-login-password --region us-east-1 | \

  docker login --username AWS --password-stdin 123456789077.dkr.ecr.us-east-1.amazonaws.com

Error saving credentials: error storing credentials - err: exec: "docker-credential-desktop": executable file not found in $PATH, out:

总结

其实在 Mac 下通过 minikube 来使用 docker 与 Docker Desktop 的方式是差不多的，用 Docker Desktop 来运行容器也是在它的一个虚拟机中运行，Docker Desktop 给出的虚拟机内存默认为 2 G, 需要更大内存来运行像 Java 容器同样需要修改 Docker Desktop 的配置。

最后重新罗列基本的命令

$ brew install docker
$ brew install hyperkit
$ brew install minikube
$ minikube start
$ eval $(minikube docker-env)
$ docker ......................

podman 一个 Docker Desktop 的完全替代方案，它管理自己的中间虚拟机，podman 命令可作为  docker 命令的别名使用。

用回 Docker Machine 也没问题，只有 podman 在连接了 VPN 后还能正常使用，而其他要配置 DOCKER_HOST 的方式会受到 VPN 连接的影响，需手工加 route, 或更难做。Docker Desktop 也没有这个 VPN 的问题。

最后还发现一个 Docker Desktop 的替代品 Lima, 见 Lima：Docker Desktop for Mac 的免费开源且自由的替代品，尝试了一下，没有前两种方式那么友好。再有 Canonical 的 MicroK8s, 没有 Docker Desktop 的日子会更热闹了。