1、项目背景
近期有一个项目要上线,客户对软件系统的安全级别要求特别高,要求本次项目中所有涉及到的软件服务必须在Rancher中使用非root用户的方式进行启动,避免因为软件服务存在漏洞安全又使用的是root权限启动可能会对服务器产生安全隐患,所以我们在本次项目中需要对所有的服务的jar包进行构建时以非root用户启动,本身我们自己编写的程序都好解决此问题,但是Nacos是属于第三方的一个组件,网上也找了类似的资料来试图构建镜像,未果,这篇文章也是在研究数日后解决了此问题特此写一篇文章,希望也能解决受到类似问题困扰的同学。
2、构建非root方式启动的Nacos镜像
2.1、下载官方的nacos镜像包资源
GitHub - nacos-group/nacos-docker at v2.2.3
下载nacos镜像包2.2.3版本
Release 2.2.3 (May 25th, 2023) · alibaba/nacos
2.2、上传文件至服务器
将下载好的zip文件上传至服务器并解压,将下载的nacos-servier-2.2.3.tar.gz的镜像包上传至build目录下
2.3、编写Dockerfile文件
下面是已经编写好的Dockefile文件,亲测有效使用集群方式启动,大家可以直接使用,下面是几个注意点需要注意,我给大家罗列一下:
- 官方的镜像Dockerfile文件中的开头是使用centos:7.9.2009来作为基础镜像的,我改为使用openjdk:8-jre-alpine作为基础镜像这样就dockerfile文件中就不需要包含关于jdk的配置,避免不必要的麻烦。
- 7260是用户的代码,因为客户现场要求使用7260用户进行启动所以此处进行更改。
- 官方的镜像Dockerfile文件会根据对应的版本取docker拉取对应版本的镜像,因为拉取不是很快,所有我下载了对应的官方镜像直接copy进去的具体的位置在第41行和52行中间。
# 使用官方的OpenJDK镜像作为基础镜像
FROM openjdk:8-jre-alpine
#FROM centos:7.9.2009
# 设置非root用户
RUN addgroup -S 7260 && adduser -S 7260 -G 7260
# 创建Nacos目录和日志目录
RUN mkdir -p /home/nacos/logs && \
mkdir -p /home/nacos/conf && \
touch /home/nacos/logs/start.out && \
ln -sf /dev/stdout /home/nacos/logs/start.out && \
ln -sf /dev/stderr /home/nacos/logs/start.out && \
chown -R 7260:7260 /home/nacos/logs
# 设置环境变量
ENV MODE="cluster" \
PREFER_HOST_MODE="ip" \
BASE_DIR="/home/nacos" \
CLASSPATH=".:/home/nacos/conf:$CLASSPATH" \
CLUSTER_CONF="/home/nacos/conf/cluster.conf" \
FUNCTION_MODE="all" \
JAVA_HOME="/usr/lib/jvm/java-1.8-openjdk" \
NACOS_USER="nacos" \
JAVA="/usr/lib/jvm/java-1.8-openjdk/bin/java" \
JVM_XMS="1g" \
JVM_XMX="1g" \
JVM_XMN="512m" \
JVM_MS="128m" \
JVM_MMS="320m" \
NACOS_DEBUG="n" \
TOMCAT_ACCESSLOG_ENABLED="false" \
TIME_ZONE="Asia/Shanghai"
RUN chown -R 7260:7260 /home/nacos/logs
# 安装依赖
#RUN set -x && \
# yum update -y && \
# yum install -y java-1.8.0-openjdk java-1.8.0-openjdk-devel iputils nc vim libcurl && \
# yum clean all
# 复制Nacos服务到镜像中
COPY nacos-server-2.2.3.tar.gz /home/nacos
# 切换到非root用户
USER 7260
# 设置工作目录
WORKDIR /home/nacos
# 解压Nacos服务并修改文件权限
USER root
RUN tar -xzf nacos-server-2.2.3.tar.gz -C /home/nacos --strip-components=1 && \
chown -R 7260:7260 /home/nacos
USER 7260
RUN chmod -R u+rwx /home/nacos/target/nacos-server.jar
# 复制docker-startup.sh文件到镜像中
COPY bin/docker-startup.sh /home/nacos/bin/docker-startup.sh
COPY conf/application.properties /home/nacos/conf/application.properties
#COPY conf/service.properties /home/nacos/conf/service.properties
#COPY conf/cluster.conf /home/nacos/conf/cluster.conf
USER root
RUN chmod +x bin/docker-startup.sh
RUN chmod +x conf/application.properties
#RUN chmod +x conf/service.properties
#RUN chmod +x conf/cluster.conf
RUN chown -R 7260:7260 /home/nacos/logs
USER 7260
# 暴露Nacos服务端口
EXPOSE 8848
# 启动Nacos服务
CMD ["sh", "bin/docker-startup.sh", "-m", "standalone"]
2.4、构建镜像并推送到harbor仓库
这里的harbor仓库就不多说了,因为使用Racnher方式启动服务需要用到harbor仓库,有兴趣的同学可以了解一下,不是使用rancher启动的同学需要保存构建好的镜像可以在构建镜像后使用docker save - o的方式进行保存镜像。
## 构建镜像
docker image build -t nacos-server:2.3.0 .
## 打版本
docker tag nacos-server:2.3.0 192.168.16.23/library/nacos:2.3.0
##推送到harbor仓库
docker push 192.168.16.23/library/nacos:2.3.0
3、在Rancher中以非root方式启动nacos镜像
更改用户,点击nacos服务点击升级,点击高级选项–》命令–》将下图中的用户UID改为7260,这个7260是Dockerfile文件中的用户名。
点击nacos服务点击升级,点击高级选项–》安全/主机设置–》将下图中的配置中改为和截图中的一致。
更改后点击下升级即可,等待启动。
到这里使用在Rancher中以非root用户的方式启动就完成了,对具体流程不清楚的同学可以私信问我。