chore(sandbox): remove Docker daemon from image#14
Open
mreuvekamp wants to merge 1 commit intofeat/sandbox-maven-mcp-agentfrom
Open
chore(sandbox): remove Docker daemon from image#14mreuvekamp wants to merge 1 commit intofeat/sandbox-maven-mcp-agentfrom
mreuvekamp wants to merge 1 commit intofeat/sandbox-maven-mcp-agentfrom
Conversation
Verwijdert de rootless Docker daemon en alle bijbehorende build- en runtime- infrastructuur uit de sandbox-image. De host-side Maven MCP-agent (PR #13) levert de Docker-functionaliteit nu via host.docker.internal, dus een aparte daemon in de container is niet meer nodig. Wijzigingen: - Dockerfile: ARG INSTALL_DOCKER, het hele install-docker-blok en de rootless ENV-vars (XDG_RUNTIME_DIR, DOCKER_HOST, DOCKERD_ROOTLESS_ROOTLESSKIT_FLAGS, TESTCONTAINERS_HOST_OVERRIDE) weg. - compose.yml: INSTALL_DOCKER build-arg en de privileged-flag weg. cap_add blijft (NET_ADMIN/NET_RAW nodig voor de firewall). - entrypoint.sh: dockerd-rootless-startblok met crash-detect en socket- poll weg. - .env.sample: INSTALL_DOCKER variabele weg. - install-docker.sh: verwijderd. - README.md: INSTALL_DOCKER-rij + privileged-notitie uit toggles-tabel; Dependency-onderhoud refereert niet meer aan Docker apt-pakketten; Maven MCP-sectie aangepast (de image heeft geen Docker daemon meer, dus testcontainers via host.docker.internal i.p.v. nested Docker). - .github/workflows/check-upstream.yml: 'docker-apt' job verwijderd (~85 regels) — er is geen install-docker.sh meer om versies in te pinnen. Image-grootte daalt aanzienlijk en de privileged-modus is niet meer nodig voor de standaard-flow, wat de aanvalsoppervlakte verkleint. Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
This file contains hidden or bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment
1 participant
Add this suggestion to a batch that can be applied as a single commit.This suggestion is invalid because no changes were made to the code.Suggestions cannot be applied while the pull request is closed.Suggestions cannot be applied while viewing a subset of changes.Only one suggestion per line can be applied in a batch.Add this suggestion to a batch that can be applied as a single commit.Applying suggestions on deleted lines is not supported.You must change the existing code in this line in order to create a valid suggestion.Outdated suggestions cannot be applied.This suggestion has been applied or marked resolved.Suggestions cannot be applied from pending reviews.Suggestions cannot be applied on multi-line comments.Suggestions cannot be applied while the pull request is queued to merge.Suggestion cannot be applied right now. Please check back later.
Summary
mvnpraten viahost.docker.internal:7777met de host-Docker.privileged: trueis niet meer nodig voor de standaard-flow → kleinere aanvalsoppervlakte.Wijzigingen per bestand
DockerfileARG INSTALL_DOCKERweg; install-docker-blok weg; alle Docker ENV-vars (XDG_RUNTIME_DIR,DOCKER_HOST,DOCKERD_ROOTLESS_ROOTLESSKIT_FLAGS,TESTCONTAINERS_HOST_OVERRIDE) wegcompose.ymlINSTALL_DOCKERbuild-arg enprivileged:regel weg.cap_add: [NET_ADMIN, NET_RAW]blijft voor de firewallentrypoint.shdockerd-rootless-startblok met crash-detect en socket-poll weg.env.sampleINSTALL_DOCKERvariabele weginstall-docker.shREADME.mdINSTALL_DOCKER-rij uit toggles-tabel; privileged-notitie weg; Dependency-onderhoud refereert niet meer aan Docker apt-pakketten; Maven MCP-sectie herschreven (image heeft geen Docker daemon meer).github/workflows/check-upstream.ymldocker-aptjob (~85 regels) verwijderd — er is geeninstall-docker.shmeer om versies in te pinnenWat bewust gebleven is
cap_add: [NET_ADMIN, NET_RAW]— nodig vooriptables/ipsetin de firewall, niet voor Dockerdocker compose ...voorbeelden in de README — die slaan op de host-Docker (compose runtime), niet op Docker-in-de-imageinit-firewall.shover127.0.0.11Docker DNS — dat is Docker's bridge-DNS van de host, blijft relevant.claude/settings.local.jsonpermissies voorBash(docker compose *)— host-CLI, blijftTest plan
docker compose up --buildmet default.env.sample(INSTALL_DOCKER variabele weg) — image bouwt en container start zonder de privileged flagdocker compose exec claude bash -lc 'command -v dockerd-rootless.sh || echo MISSING'→MISSINGdocker compose exec claude bash -lc 'env | grep -E "^(DOCKER_HOST|XDG_RUNTIME_DIR|DOCKERD_ROOTLESS|TESTCONTAINERS_HOST)"'→ leegdocker images claude-sandbox)init-firewall.shsuccesvol —cap_add: NET_ADMIN/NET_RAWis voldoende, geen privileged nodig)claude mcp add→run_maven).github/workflows/check-upstream.ymlparseert nog (geen syntax errors door verwijderde job)🤖 Generated with Claude Code