在docker中以普通用户权限运行单节点DolphinDB

最新推荐文章于 2024-06-28 17:27:00 发布
最新推荐文章于 2024-06-28 17:27:00 发布
阅读量619 收藏 1
点赞数 1
分类专栏: DolphinDB分布式时序数据库 文章标签: docker 运维 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46751275/article/details/120303108
版权

在 docker 中以普通用户权限运行单节点 DolphinDB

在正式环境部署某个 docker 服务的时候,为了方便权限管理,服务部署者会以普通用户进行操作。在操作的过程中,我们通常需要把宿主机的某些文件挂载到容器内部,也需要把容器内部的文件映射到宿主机。在这个操作过程中,通常会遇到一些权限的问题,特别是将容器内部的文件映射到宿主机的时候,虽然我们是以普通用户权限运行的 docker,但是映射到宿主机的文件为什么就变成 root 权限了。创作本文就是为了解决上述问题。

1. 理解 docker 容器的 uid

docker容器的uid
docker 容器运行的时候,如果没有专门指定 user, 默认以 root 用户运行。

容器共享宿主机的 uid

Linux 内核负责管理 uid 和 gid,并通过内核级别的系统调用来决定是否通过请求的权限。

比如,当一个进程尝试去写文件,内核会检查创建这个进程的的 user 的 uid 和 gid,来决定这个进程是否有权限修改这个文件,这里没有使用 username,而是 uid。

当 docker 容器运行在宿主机上的时候,仍然只有一个内核。容器共享宿主机的内核,所以所有的 uid 和 gid 都受同一个内核来控制。

那为什么我容器里的用户名不一定和宿主内核一样呢?

比如,test 容器的用户叫做 test, 而本机没有 test 这个用户。这是因为 test 不是 Linux 内核的一部分。简单地说,username 是对 uid 的一个映射。然而,权限控制的依据是 uid,而不是 username。

2. 创建一个普通用户运行的 dolphindb 单节点 server
2.1 查询当前用户的 uid 和 gid

执行:

cat /etc/passwd | grep ${USER}

返回:

xhtang:x:1002:1002::/home/xhtang:/bin/bash

当前用户的 username 是 xhtang,uid 和 gid 都是1002。

容器共享宿主机的 core dump 配置

查询宿主机的 core dump 配置,执行:

cat /proc/sys/kernel/core_pattern

返回:

/hdd/hdd1/corefile/%e.core.%t
2.2 构建镜像

创建文件:

  • 包含 DolphinDB server 的 server 目录
  • 容器启动后执行的脚本 default_cmd
  • 镜像构建的 Dockerfile

default_cmd

#!/bin/bash
#default_cmd
set -e
cd /home/xhtang
mkdir -p /home/xhtang/hdd/log
echo "The start-time is $(date)" >> /home/xhtang/hdd/log/run.log
export LD_LIBRARY_PATH=$LD_LIBRARY_PATH:/home/xhtang/server
export LD_LIBRARY_PATH=$LD_LIBRARY_PATH:/home/xhtang/server/plugins
nohup /home/xhtang/server/dolphindb -console 0 -home /home/xhtang/hdd/homeDir -logFile /home/xhtang/hdd/log/dolphindb.log >> /home/xhtang/hdd/log/startsingle.log 2>&1 &
echo "The complete-time is $(date)" >> /home/xhtang/hdd/log/run.log
sleep infinity

Dockerfile

#the user is root
#Operating System
FROM centos:7
#Use the East eight zone time zone
ENV TIME_ZONE Asia/Shanghai
RUN ln -snf /usr/share/zoneinfo/$TIME_ZONE /etc/localtime
#Create the same user group as host
RUN groupadd xhtang -g 1002
#Create the same user as host
RUN useradd -d /home/xhtang -u 1002 -g 1002 xhtang
#Create core-dump dir
RUN mkdir -p /hdd/hdd1
#ADD file and change permission
RUN chown -R 1002:1002 /hdd/hdd1
ADD server /home/xhtang/server
RUN chown -R 1002:1002 /home/xhtang/server
ADD default_cmd /home/xhtang/default_cmd
RUN chown -R 1002:1002 /home/xhtang/default_cmd
#Change user to xhtang
USER xhtang
#Default workdir
WORKDIR /home/xhtang
#Give executable permission
RUN chmod +x /home/xhtang/server/dolphindb
RUN chmod +x /home/xhtang/default_cmd
#ENTRYPOINT
ENTRYPOINT ["/home/xhtang/default_cmd"]

准备好上述三个文件后,在文件所在目录执行:

docker build -t singleddb ./

查看构建好的镜像 singleddb,执行:

docker images

返回:

REPOSITORY                  TAG                 IMAGE ID            CREATED             SIZE
singleddb                   latest              c3d155b48217        6 seconds ago       411 MB
2.3 创建 docker-compose.yml

创建文件:

  • config 目录
  • docker-compose.yml

config 目录

  • dolphindb.lic

DolphinDB server 的 license 文件。

  • dolphindb.cfg

DolphinDB server 的 配置文件。

localSite=localhost:8800:local8800
mode=single
maxMemSize=32
maxConnections=512
workerNum=16
localExecutors=15
newValuePartitionPolicy=add
webWorkerNum=8
dataSync=1
chunkCacheEngineMemSize=8
logLevel=INFO
volumes=/home/xhtang/hdd/volumes
diskIOConcurrencyLevel=1
redoLogDir=/home/xhtang/ssd/redoLog
dfsMetaDir=/home/xhtang/ssd/dfsMeta
chunkMetaDir=/home/xhtang/ssd/chunkMeta
persistenceDir=/home/xhtang/ssd/persistenceDir
maxPubConnections=64
subExecutors=8
subPort=8801
subThrottle=1
persistenceWorkerNum=1
lanCluster=0

docker-compose.yml

version: '3'

services:
  mix1:
    image: singleddb:latest
    container_name: singleDDB1
    user: "1002"
    ulimits:
      memlock:
        soft: -1
        hard: -1
      nofile:
        soft: 65536
        hard: 65536
    volumes:
      - ./config/dolphindb.lic:/home/xhtang/server/dolphindb.lic
      - ./config/dolphindb.cfg:/home/xhtang/server/dolphindb.cfg
      - ./ssd:/home/xhtang/ssd
      - ./hdd:/home/xhtang/hdd
    ports:
      - "25000:8800"
      - "25001:8801"
    networks:
      singleDDB:
        ipv4_address: 172.20.0.6
        
networks:
  singleDDB:
    driver: bridge
    ipam:
      config:
       - subnet: 172.20.0.0/16
2.4 运行 docker-compose

initialization.sh

#!/bin/bash
#start
set -e
rm -rf ssd hdd
mkdir ssd hdd
docker-compose -f docker-compose.yml down
echo "Start initialization!"
docker-compose -f docker-compose.yml up -d
echo "initialization complete!"

start.sh

#!/bin/bash
#start
set -e
docker-compose -f docker-compose.yml down
echo "Start the docker!"
docker-compose -f docker-compose.yml up -d
echo "complete!"

stop.sh

#!/bin/bash
#stop
set -e
echo "start to stop!"
docker-compose -f docker-compose.yml down
echo "stop complete!"
参考
  1. docker挂载volume的用户权限问题,理解docker容器的uid - Ryan.Miao - 博客园 (cnblogs.com)
附录
1. 查询网络

执行:

docker network ls

返回:

NETWORK ID          NAME                DRIVER              SCOPE
5fa36038315d        bridge              bridge              local
24c622b45e01        docker_dbnet        bridge              local
e1c3e15606a9        haddb_dbnet         bridge              local
2be738b4c1e7        host                host                local
291b571a6721        none                null                local

如果收到与以下所示类似的错误,则表明现有容器正在使用该网络,要删除网络,必须先删除容器。

Error response from daemon: network my-bridge-network id 6f5293268bb91ad2498b38b0bca970083af87237784017be24ea208d2233c5aa has active endpoints

2. 删除网络

执行:

docker network rm 24c622b45e01

删除所有未使用的网络,执行:

docker network prune -f
Jason-Tang
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Docker: USER 指定当前用户
Allan_shore_ma的博客
11-15 1万+
Docker: USER 指定当前用户 格式:USER <用户名> USER 指令和 WORKDIR 相似,都是改变环境状态并影响以后的层。WORKDIR 是改变工作目录,USER 则是改变之后层的执行 RUN, CMD 以及 ENTRYPOINT 这类命令的身份。 一、Docker 用户设置 当然,和 WORKDIR 一样,USER 只是帮助你切换到指定用户而已,这个用户必须是事先建...
Docker容器用户权限管理
09-20 4416
在Linux系统有一部分知识非常重要,就是关于权限的管理控制;Linux系统的权限管理是由uid和gid负责,Linux系统会检查创建进程的uid和gid,以确定它是否有足够的权限修改文件,而非是通过用户名和用户组来确认。同样,在docker容器主机上运行的所有容器共享同一个内核也可以理解为共享权限管理方式。 Docker容器的权限管理方式分为了三种情况:1.默认使用的root权限...
docker 搭建 web_基于DockerDolphinDB集群部署教程
weixin_39615991的博客
11-29 148
Docker是一个开源的引擎,可以轻松地为任何应用创建一个轻量级的、可移植的、自给自足的容器。DolphinDB database 提供了基于docker的分布式集群部署包,可以让用户方便快捷的部署DolphinDB分布式集群。本教程的目标是通过4个centos容器搭建一个5节点的多机集群,最终搭建好的集群情况如下:部署分布式集群时,需要分别配置控制器节点(controller)、代理节点(age...
docker 运行时指定用户
最新发布
weixin_40769085的博客
06-28 36
开发者,Docker相关视频讲解:美国禁用国大学MATLAB快四年,国产替代完成了吗?什么是容器Docker介绍如何在Docker运行时指定用户 作为一名经验丰富的开发者,你可以帮助刚入行的小白学习如何在Docker运行时指定用户。下面是整个过程的步骤: 步骤 操作 1 创建Dockerfile文...
【dokcer&java】docker容器普通用户起服务
michaelwoshi的博客
11-02 6983
一、实验背景 一般docker容器默认使用的root权限做服务的启动,安全整改要求,服务的启动用户要为普通用户。 整改后,服务进程的所有者需为普通用户,不能为root。 二、实验环境 操作系统: CentOS7.5 Minimal IP: 192.168.1.104 三、编写dockerfile,制作镜像 # mkdir /opt/abc # cpHel...
普通用户运行docker容器-nginx为例
07-20
"普通用户运行docker容器-nginx为例" 本文档主要介绍了如何使用普通用户运行 Docker 容器,使用 Nginx 作为示例。整个过程可以分为四大部分:安装 Docker、创建普通用户Docker 组、准备 Nginx 镜像和配置文件、...
docker-monerod:在docker容器运行Monero完整节点
02-04
docker-monerod:在docker容器运行Monero完整节点
docker容器切换用户,提示权限不足的解决
01-20
补充知识:linux下docker使用普通权限运行 linux下安装docker默认会安装为名为docker用户才能运行权限,使用时需要切换用户,很不方便 为了直接使用命令,需要将当前用户加入docker组 sudo usermod -aG docker ...
docker-chromium:在 docker 运行Chrome
07-14
如果您想知道如何在 Docker 运行 Chromium。 这个 docker image 可能是一个解决方案。 在 Docker 运行 Chrome 的需要有助于部署测试。 例如,您可能有另一个 docker 镜像正在运行,您的应用程序配置为使用特定的...
如何在docker运行springboot项目过程图解
09-29
主要介绍了如何在docker运行springboot项目过程图解,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
(20200912UnSolved)Dolphindb docker 集群error code 111
漫步量化
10-01 355
问题描述 用docker在Linux部署dolphindb集群,agant.log出现满屏: Failed to connect to host = 10.5.0.5 port = 8920 with error code 111 Failed to connect to host = 10.5.0.5 port = 8920 with error code 111 Failed to connect to host = 10.5.0.5 port = 8920 with error code 111..
添加docker权限给当前用户,使docker命令免sudo
热门推荐
王治的专栏
06-03 1万+
添加docker group: sudo groupadd docker 将当前用户添加到docker组: sudo gpasswd -a ${USER} docker重启docker服务: sudo service docker restart
Liunx 创建新用户 | 分配运行Docker权限
weixin_66896902的博客
08-18 2309
最近在写 Jenkins 专栏的文章,从一开始没人看,到上了热榜,越来越多的朋友看到,同时也收到很多正向反馈,就想把他写得更加完善一点,希望能够帮助到更多的朋友。
DolphinScheduler 3.0.0 docker部署
weixin_67336776的博客
08-21 1168
docker部署dolphinscheduler 3.0.0
docker数据卷权限管理--理论和验证
jialiu111111的博客
07-11 3082
当"es"用户的进程访问"/docker/elasticsearch-7.4.2/data"目录时,没有root权限,会出现 Permission denied的问题。1.3、如果在容器内对挂载目录下的文件进行了操作,则相应文件的所有者就会升级为root,如果容器只有非root用户权限,就无法对这些文件进行操作了。如果在容器内对挂载目录下的文件进行了操作,则相应文件的所有者就会升级为root,如果容器只有非root用户权限,就无法对这些文件进行操作了。我们查看挂载数据卷时候的目录权限和当前用户
docker服务端是否一定需要以root用户运行?_docker必须root启动么
2301_77116622的博客
04-15 1009
本书是获得了很多读者好评的Linux经典畅销书**《Linux从入门到精通》的第2版**。本书第﹖版以最新的Ubuntu 12.04为版本,循序渐进地向读者介绍了Linux 的基础应用、系统管理、网络应用、娱乐和办公、程序开发、服务器配置、系统安全等。另外,本书还为读者提供了大量的Linux学习资料和Ubuntu安装镜像文件,供读者免费下载。需要《Linux入门到精通》、《linux系统移植》、《Linux驱动开发入门实战》、《Linux开源网络全栈》电子书籍及教程的工程师朋友们劳烦您转发+评论。
用户权限管理
You_are_my_zing的博客
07-05 757
1.1.2 添加权限 新创建的用户并不能使用sudo命令,需要给他添加授权。方式一:visudo - 安全地编辑 sudoers 文件需要超级用户权限; 默认编辑/etc/sudoers文件; sudoers文件的默认权限是440,即默认无法修改; visudo可以在不更改sudoers文件权限的情况下,直接修改sudoers文件;命令格式 方式二:(1)添加sudoers文件可写权限 (2)修改sudoers文件。 (3)在 sudoers 文件添加新用户信息到 ## Allow root
docker普通用户运行
lybhit的博客
01-20 5894
ubuntu 不加sudo, 执行 docker 时报错 Got permission denied while trying to connect to the Docker daemon socket at unix:///var/run/docker.sock: Get "http://%2Fvar%2Frun%2Fdocker.sock/v1.24/images/json": dial unix /var/run/docker.sock: connect: permission denied 解
Docker容器报权限不足,如何配置权限
湖北太米网络科技有限公司
09-11 5798
Docker 容器报告权限不足时,可能是由于容器内部的用户与主机操作系统的用户不匹配导致的。解决这个问题的一种常见方法是在容器内部设置适当的用户权限。以下是几种配置容器权限的方法:在 Dockerfile 配置用户权限:你可以在 Dockerfile 使用 USER 和 RUN 命令来配置容器内的用户权限。例...
docker搭建节点 zookeeper集群
07-28
要在Docker搭建节点ZooKeeper集群,您可以按照以下步骤进行操作: 1. 创建一个名为`docker-compose.yml`的文件,并在其定义ZooKeeper容器的配置。以下是一个示例配置: ```yaml version: '3' services: ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值