01.

前言

开发 AI Agent 的时候需要一个代码执行工具，看到 hello-elaina^[1] 这个项目就也准备来手动开发一个。

考虑了下安全问题，就想用容器嵌套容器的方案来进行，目前容器嵌套有三种方案：

1. 1. 共享宿主机 dockerd 服务（启动的时候需要把 /var/run/docker.sock 映射容器内

2. 2. 基于 Docker 提供的 docker:dind 镜像（启动的时候需要开启：特权模式 privileged

3. 3. 类似于 sysbox 这种软件实现的 runc（启动的时候需要指定 runtime

第一种太不安全了，第三种可能runtime支持的不够，就草率的决定采用第二种方案吧。

02.

开始开发

dind

    这种方式提供的容器中的容器运行环境和宿主机上的 dockerd 是相互独立的：

原文始发于微信公众号（凹陷外壳）：基于 dind 开发一个远程代码运行器