一文看懂如何构建非root启动Nacos镜像

啊小何同学

已于 2024-03-17 20:35:29 修改

阅读量1k

点赞数 20

分类专栏： JAVA服务框架相关 Nacos 文章标签： java nacos 微服务

于 2024-03-17 18:33:52 首次发布

本文链接：https://blog.csdn.net/afjklafjklajflafja/article/details/136786948

版权

Nacos 同时被 2 个专栏收录

6 篇文章 0 订阅

订阅专栏

JAVA服务框架相关

2 篇文章 0 订阅

订阅专栏

1、项目背景

近期有一个项目要上线，客户对软件系统的安全级别要求特别高，要求本次项目中所有涉及到的软件服务必须在Rancher中使用非root用户的方式进行启动，避免因为软件服务存在漏洞安全又使用的是root权限启动可能会对服务器产生安全隐患，所以我们在本次项目中需要对所有的服务的jar包进行构建时以非root用户启动，本身我们自己编写的程序都好解决此问题，但是Nacos是属于第三方的一个组件，网上也找了类似的资料来试图构建镜像，未果，这篇文章也是在研究数日后解决了此问题特此写一篇文章，希望也能解决受到类似问题困扰的同学。

2、构建非root方式启动的Nacos镜像

2.1、下载官方的nacos镜像包资源

GitHub - nacos-group/nacos-docker at v2.2.3

下载nacos镜像包2.2.3版本
Release 2.2.3 (May 25th, 2023) · alibaba/nacos

2.2、上传文件至服务器

将下载好的zip文件上传至服务器并解压，将下载的nacos-servier-2.2.3.tar.gz的镜像包上传至build目录下
在这里插入图片描述

2.3、编写Dockerfile文件

下面是已经编写好的Dockefile文件，亲测有效使用集群方式启动，大家可以直接使用，下面是几个注意点需要注意，我给大家罗列一下：

官方的镜像Dockerfile文件中的开头是使用centos:7.9.2009来作为基础镜像的，我改为使用openjdk:8-jre-alpine作为基础镜像这样就dockerfile文件中就不需要包含关于jdk的配置，避免不必要的麻烦。
7260是用户的代码，因为客户现场要求使用7260用户进行启动所以此处进行更改。
官方的镜像Dockerfile文件会根据对应的版本取docker拉取对应版本的镜像，因为拉取不是很快，所有我下载了对应的官方镜像直接copy进去的具体的位置在第41行和52行中间。

# 使用官方的OpenJDK镜像作为基础镜像
FROM openjdk:8-jre-alpine
#FROM centos:7.9.2009
# 设置非root用户
RUN addgroup -S 7260 && adduser -S 7260 -G 7260

# 创建Nacos目录和日志目录
RUN mkdir -p /home/nacos/logs && \
    mkdir -p /home/nacos/conf && \
    touch /home/nacos/logs/start.out && \
    ln -sf /dev/stdout /home/nacos/logs/start.out && \
    ln -sf /dev/stderr /home/nacos/logs/start.out && \
    chown -R 7260:7260 /home/nacos/logs
    # 设置环境变量
ENV MODE="cluster" \
    PREFER_HOST_MODE="ip" \
    BASE_DIR="/home/nacos" \
    CLASSPATH=".:/home/nacos/conf:$CLASSPATH" \
    CLUSTER_CONF="/home/nacos/conf/cluster.conf" \
    FUNCTION_MODE="all" \
    JAVA_HOME="/usr/lib/jvm/java-1.8-openjdk" \
    NACOS_USER="nacos" \
    JAVA="/usr/lib/jvm/java-1.8-openjdk/bin/java" \
    JVM_XMS="1g" \
    JVM_XMX="1g" \
    JVM_XMN="512m" \
    JVM_MS="128m" \
    JVM_MMS="320m" \
    NACOS_DEBUG="n" \
    TOMCAT_ACCESSLOG_ENABLED="false" \
    TIME_ZONE="Asia/Shanghai"
    
RUN chown -R 7260:7260 /home/nacos/logs
# 安装依赖
#RUN set -x && \
#    yum update -y && \
#    yum install -y java-1.8.0-openjdk java-1.8.0-openjdk-devel iputils nc vim libcurl && \
#    yum clean all

# 复制Nacos服务到镜像中
COPY nacos-server-2.2.3.tar.gz /home/nacos

# 切换到非root用户
USER 7260

# 设置工作目录
WORKDIR /home/nacos

# 解压Nacos服务并修改文件权限
USER root
RUN tar -xzf nacos-server-2.2.3.tar.gz -C /home/nacos --strip-components=1 && \
    chown -R 7260:7260 /home/nacos
USER 7260
RUN  chmod -R u+rwx /home/nacos/target/nacos-server.jar
# 复制docker-startup.sh文件到镜像中
COPY bin/docker-startup.sh /home/nacos/bin/docker-startup.sh
COPY conf/application.properties /home/nacos/conf/application.properties
#COPY conf/service.properties /home/nacos/conf/service.properties
#COPY conf/cluster.conf /home/nacos/conf/cluster.conf
USER root
RUN chmod +x bin/docker-startup.sh
RUN chmod +x conf/application.properties
#RUN chmod +x conf/service.properties
#RUN chmod +x conf/cluster.conf
RUN chown -R 7260:7260 /home/nacos/logs
USER 7260
# 暴露Nacos服务端口
EXPOSE 8848
# 启动Nacos服务
CMD ["sh", "bin/docker-startup.sh", "-m", "standalone"]

2.4、构建镜像并推送到harbor仓库

这里的harbor仓库就不多说了，因为使用Racnher方式启动服务需要用到harbor仓库，有兴趣的同学可以了解一下，不是使用rancher启动的同学需要保存构建好的镜像可以在构建镜像后使用docker save - o的方式进行保存镜像。

## 构建镜像
docker image build -t nacos-server:2.3.0 .
## 打版本
docker tag nacos-server:2.3.0 192.168.16.23/library/nacos:2.3.0
##推送到harbor仓库
docker push 192.168.16.23/library/nacos:2.3.0

3、在Rancher中以非root方式启动nacos镜像

更改用户，点击nacos服务点击升级，点击高级选项–》命令–》将下图中的用户UID改为7260，这个7260是Dockerfile文件中的用户名。

点击nacos服务点击升级，点击高级选项–》安全/主机设置–》将下图中的配置中改为和截图中的一致。

更改后点击下升级即可，等待启动。

到这里使用在Rancher中以非root用户的方式启动就完成了，对具体流程不清楚的同学可以私信问我。