Docker容器用戶映射

最新推荐文章于 2024-09-17 12:48:17 发布
最新推荐文章于 2024-09-17 12:48:17 发布
阅读量8.2k 收藏 1
点赞数 1
分类专栏: docker 文章标签: docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/renhuailin/article/details/50435638
版权

root(id = 0) 是容器的默認用戶。Docker image的製作者可以添加新的用戶。

比如jenkins image的Dockerfile是這樣的:

FROM java:8-jdk

RUN apt-get update && apt-get install -y wget git curl zip && rm -rf /var/lib/apt/lists/*

ENV JENKINS_HOME /var/jenkins_home
ENV JENKINS_SLAVE_AGENT_PORT 50000

# Jenkins is run with user `jenkins`, uid = 1000
# If you bind mount a volume from the host or a data container,
# ensure you use the same uid
RUN useradd -d "$JENKINS_HOME" -u 1000 -m -s /bin/bash jenkins

# Jenkins home directory is a volume, so configuration and build history
# can be persisted and survive image upgrades
VOLUME /var/jenkins_home

# `/usr/share/jenkins/ref/` contains all reference configuration we want
# to set on a fresh new installation. Use it to bundle additional plugins
# or config file with your custom jenkins Docker image.
RUN mkdir -p /usr/share/jenkins/ref/init.groovy.d

ENV TINI_SHA 066ad710107dc7ee05d3aa6e4974f01dc98f3888

# Use tini as subreaper in Docker container to adopt zombie processes
RUN curl -fL https://github.com/krallin/tini/releases/download/v0.5.0/tini-static -o /bin/tini && chmod +x /bin/tini \
  && echo "$TINI_SHA /bin/tini" | sha1sum -c -

COPY init.groovy /usr/share/jenkins/ref/init.groovy.d/tcp-slave-agent-port.groovy

ENV JENKINS_VERSION 1.625.3
ENV JENKINS_SHA 537d910f541c25a23499b222ccd37ca25e074a0c


# could use ADD but this one does not check Last-Modified header
# see https://github.com/docker/docker/issues/8331
RUN curl -fL http://mirrors.jenkins-ci.org/war-stable/$JENKINS_VERSION/jenkins.war -o /usr/share/jenkins/jenkins.war \
  && echo "$JENKINS_SHA /usr/share/jenkins/jenkins.war" | sha1sum -c -

ENV JENKINS_UC https://updates.jenkins-ci.org
RUN chown -R jenkins "$JENKINS_HOME" /usr/share/jenkins/ref

# for main web interface:
EXPOSE 8080

# will be used by attached slave agents:
EXPOSE 50000

ENV COPY_REFERENCE_FILE_LOG $JENKINS_HOME/copy_reference_file.log

USER jenkins

COPY jenkins.sh /usr/local/bin/jenkins.sh
ENTRYPOINT ["/bin/tini", "--", "/usr/local/bin/jenkins.sh"]

# from a derived Dockerfile, can use `RUN plugins.sh active.txt` to setup /usr/share/jenkins/ref/plugins from a support bundle
COPY plugins.sh /usr/local/bin/plugins.sh

請注意這一行:

RUN useradd -d "$JENKINS_HOME" -u 1000 -m -s /bin/bash jenkins

製作者創建了一個新用戶叫jenkins,指定它的uid爲1000。

如果我們不向容器掛載任何卷,那沒問題。如果我們向容器掛載了卷,就有權限的問題。

假設我們把本地/opt/jenkins_home掛載爲容器的/var/jenkins_home,而本地的/opt/jenkins_home是屬於root用戶的。

# ls /opt
drwxr-xr-x  2 root root  4096 Dec 30 03:11 jenkins_home/

那容器在運行時jenkins嘗試向這個目錄寫數據時就會出錯,權限不足。

爲什麼?

因爲容器裏的jenkins用戶的uid是1000,在host主機上,uid爲1000用戶是普通用戶,無法寫root owned的目錄。

解決方法有兩個。

1 我們把本地的/opt/jenkins_home的所有者修改爲uid爲1000的那個用戶,假設在本地這個用戶是ubuntu。

# chown -R ubuntu:ubuntu /opt/jenkins_home

這樣我們再把這個目錄掛載到容器裏時,容器裏的jenkins用戶就有寫入的權限了。

或者:

2 運行時通過-u指定一個用戶

docker run的 -u選項可以指定容器裏的默認用戶,選項的值可以是用戶名,也可以是uid。
如果是用戶名,這個用戶必須在容器裏是存在的。如果是uid則沒有這個限制。

我們還是用jenkins image來舉例。如果我在運行時指定 -u ubuntu,容器就會報錯:

ERROR: Cannot start container e0e1201fb3192d0f8e68656de3657e2ae80b111e5f72f56583c908533a89f525: [8] System error: Unable to find user ubuntu

回到剛纔我們說的問題,/opt/jenkins_home的owner是root,所以容器無法寫數據。我們可以在運行時使用參數-u root,這樣容器內的默認用戶變爲root,就可以向/opt/jenkins_home寫入數據了。

總結:image的製作者可以指定容器的默認用戶,因爲作者認爲容器內的進程無需使用root用戶來運行。通常作者指定的用戶的uid都會爲1000(如果image是基於ubuntu或debian的),以保證有本地用戶可以映射。

如果在運行時不想使用作者指定的用戶,可以通過-u這個選項來指定一個用戶。選項的值可以是用戶名,也可以是uid。
如果是用戶名,這個用戶必須在容器裏是存在的。如果是uid則這個用戶在容器裏可以不存在。

任怀林
关注
专栏目录
docker容器端口映射
YYY的博客
06-24 411
为了在web端访问时不输入端口号即可访问,因此需要做端口映射 第一步:新建容器,不指定端口 docker run -d --name cdbdjc_test -P --privileged=true --env JAVA_OPTS=-Duser.timezone=GMT+08 -v /home/tomcat/cdbdjc_test:/usr/local/tomcat/webapps -v /h...
Docker容器修改端口映射
fei
03-31 7214
可解决问题如下 (1) 在不删除现有容器的情况下, 修改原有容器的端口映射; (2) 创建容器的时候指定了一个端口映射, 但是创建之后的容器存在多个端口映射; 具体描述 1 首先创建一个容器并指定端口映射; sudo docker run -it --name forge_restful -v /data01/wangxiaofei01/project/restful/wanmingTask/forge_restful_api -p 8076:8076 -d 010979f7d3c2 2 实际容器
详解Docker 端口映射容器互联
weixin_30781775的博客
10-25 299
详解Docker 端口映射容器互联 1、端口映射实现访问容器 1.从外部访问容器应用 在启动容器的时候,如果不指定对应的参数,在容器外部是无法通过网络来访问容器内部的网络应用和服务的。 当容器中运行一些网络应用,要让外部访问这些应用时,可以通过-p或-P参数来指定端口映射。当使用-P(大写P)标记时,Docker会随机映射一个端口到内部容器开放的网络端口(端口范围在Linux系统...
linux用户隔离,隔离 Docker 容器中的用户
weixin_39641386的博客
04-28 757
笔者在前文《理解 docker 容器中的 uid 和 gid》介绍了 docker 容器中的用户与宿主机上用户的关系,得出的结论是:docker 默认没有隔离宿主机用户容器中的用户。如果你已经了解了 Linux 的 user namespace 技术(参考《Linux Namespace : User》),那么自然会问:docker 为什么不利用 Linux user namespace 实现用...
Docker】一文看懂docker run的使用方法
最新发布
2403_86785171的博客
09-17 1680
Docker 提供了多种网络模式,例如 bridge、host 和 overlay 等。在容器启动时,可以通过--network选项指定网络模式。bridge(默认模式):容器之间通过 NAT 网络隔离。host:容器和主机共享同一个网络栈,这使得容器中的服务可以直接使用主机的 IP 和端口。此时,容器中的 Nginx 服务会与主机共享网络。还可以通过创建自定义的网络,容器可以通过该网络进行互联。
docker用户与主机用户的安全隔离和映射
lsysafe的博客
05-22 2381
1、系统环境: root@system-virtual-machine:/home/system# uname -a Linux system-virtual-machine 5.0.0-13-generic #14-Ubuntu SMP Mon Apr 15 14:59:14 UTC 2019 x86_64 x86_64 x86_64 GNU/Linux root@system-virtual...
Docker的数据卷容器和端口映射
小小关的博客
01-15 388
1:数据卷容器 如果需要在容器之间共享一些数据。最简单的方法就是使用数据卷容器。数据卷容器是一个普通的容器。专门提供数据卷给其他容器挂载使用。使用方法如下:首先,需创建一个容器作为数据卷容器,之后在其他容器创建时用--volumes-from挂载数据卷容器中的数据卷使用。 例如:使用前面预先创建好的数据卷容web,其中所创建的数据卷分别挂载到了ldata1 与jldata2目录上,使用--volumes-from来挂载web容器中的数据卷到新的容器,新的容器名为db1, 《1》...
Docker容器端口映射后突然无法连接的排查过程
01-10
一般需要对外提供服务的Docker容器,我们在启动时后使用-p命令将对外访问端口暴露给外部,例如启动Docker Registry,我们将5000端口映射出来供外部访问: docker run -d -p 5000:5000 registry 但最近碰到一个非常...
Docker容器端口映射:宿主机的桥梁
08-28
Docker是一个开源的应用容器引擎,它允许开发者打包他们的应用以及应用的运行环境到一个可移植的容器中,然后发布到任何流行的Linux机器上,也可以实现虚拟化。容器是完全使用沙箱机制,相互之间不会有任何接口...
Docker容器端口映射的三种方法
hzlil的博客
11-04 8335
在创建并运行容器时,可以通过-p指定端口映射规则。 但运行容器后,怎么修改指定端口映射,以下是三种方法: 方法一:删除原有容器,重新建新容器 这个解决方案最为简单,把原来的容器删掉,重新建一个。当然这次不要忘记加上端口映射。 优缺点:优点是简单快捷,在测试环境使用较多。缺点是如果是数据库镜像,那重新建一个又要重新配置一次,就比较麻烦了。 方法二:修改容器配置文件,重启docker服务 容器的配置文件路径: /var/l...
史上最全的Docker详解(四)之——Docker 端口映射及相关网络配置
热门推荐
weixin_38912950的博客
09-15 1万+
停止Docker守护进程。创建自定义的网桥。为网桥分配特定的IP地址。使用-b选项重新启动Docker,指定使用自定义网桥。# 创建自定义网桥# 将Docker配置为使用自定义网桥(具体命令可能因系统而异)
docker容器的所属用户
weixin_40549549的博客
08-17 23
我整理的一些关于【容器,Docker】的项目学习资料(附讲解~~)和大家一起分享、学习一下:https://d.51cto.com/xltfovDocker容器的所属用户 Docker是一种流行的容器化技术,为开发和运维流程提供了灵活性与一致性。在使用Docker的过程中,用户管理与权限控制是一个至关重要的话题。特别是在...
如何将服务器docker容器内运行jupyter映射到本地
qq_43903526的博客
03-06 571
在进行创建容器时候,会进行端口映射,这里是将容器的端口和服务器的端口进行映射,比如777:777,111:111, 222:222。你创建了docker容器,理解容器的概念,它相当于一个虚拟机,只不过不需要捆绑一整套操作系统,只需要软件工作所需的库资源和设置。当我们需要将容器内运行的jupyter映射到本地时,需要将本地端口与服务器端口映射。假设实验室给你分配的账号是。
docker用户通过相同的UID与宿主机用户建立对应关系
lsysafe的博客
09-02 3464
环境 [root@m6 appslog]# uname -a Linux m6 3.10.0-229.el7.x86_64 #1 SMP Fri Mar 6 11:36:42 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux [root@m6 appslog]# docker --version Docker version 1.13.1, build b2f74b...
docker使用
weixin_42152531的博客
09-28 760
docker使用使用docker的user-remap功能在宿主机上创建一个普通用户查看宿主机上的所有用户信息确保宿主机上的subuid和subgid中有信息检查宿主机上是否启用了命名空间隔离修改daemon.json文件重启docker查看docker工作目录的权限归属修改新用户的工作目录所有权 使用docker的user-remap功能 user-remap功能是将宿主机上的指定用户映射docker容器内部的root用户。 如果是要root映射到root,则不需要使用user-remap功能。只要没
使用普通用户执行 docker---转载
docker做了端口映射却不能访问
06-25 656
转自 (https://www.cnblogs.com/klvchen/p/9098745.html) CentOS 版本 7.4,Docker 版本 docker-1.13 及以下 ll /var/run/docker.sock srw-rw----. 1 root root 0 May 25 14:43 /var/run/docker.sock #添加 docker 用户组 groupadd ...
Linux企业运维——Docker(七)安全
weixin_44310047的博客
08-02 530
Linux企业运维——Docker(七)安全 文章目录Linux企业运维——Docker(七)安全1、理解Docker安全2、容器资源控制2.1、控制memory 1、理解Docker安全 Docker容器的安全性,很大程度上依赖于Linux系统自身,评估Docker的安全性时,主要考虑以下几个方面: Linux内核的命名空间机制提供的容器隔离安全 Linux控制组机制对容器资源的控制能力安全 Linux内核的能力机制所带来的操作权限安全 Docker程序(特别是服务端)本身的抗攻击性 其他安全增强机制对
容器部署解决方案Docker
zlnn3344的博客
11-27 1169
1.Docker简介1.1虚拟化1.1.1什么是虚拟化在计算机中,虚拟化(英语:Virtualization)是一种资源管理技术,是将计算机的各种实体资源,如服务器、网络、内存及存储等,予以抽象、转换后呈现出来,打破实体结构间的不可切割的障碍,使用户可以比原本的组态更好的方式来应用这些资源。这些资源的新虚拟部份是不受现有资源的架设方式,地域或物理组态所限制。一般所指的虚拟化资源包括计算能力和资料存储
DockerDocker Container(容器
Elena's Blog
08-08 5018
什么是容器
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值