Docker容器用戶映射

最新推荐文章于 2024-04-18 17:08:38 发布
最新推荐文章于 2024-04-18 17:08:38 发布
阅读量8.1k 收藏 1
点赞数 1
分类专栏: docker 文章标签: docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/renhuailin/article/details/50435638
版权

root(id = 0) 是容器的默認用戶。Docker image的製作者可以添加新的用戶。

比如jenkins image的Dockerfile是這樣的:

FROM java:8-jdk

RUN apt-get update && apt-get install -y wget git curl zip && rm -rf /var/lib/apt/lists/*

ENV JENKINS_HOME /var/jenkins_home
ENV JENKINS_SLAVE_AGENT_PORT 50000

# Jenkins is run with user `jenkins`, uid = 1000
# If you bind mount a volume from the host or a data container,
# ensure you use the same uid
RUN useradd -d "$JENKINS_HOME" -u 1000 -m -s /bin/bash jenkins

# Jenkins home directory is a volume, so configuration and build history
# can be persisted and survive image upgrades
VOLUME /var/jenkins_home

# `/usr/share/jenkins/ref/` contains all reference configuration we want
# to set on a fresh new installation. Use it to bundle additional plugins
# or config file with your custom jenkins Docker image.
RUN mkdir -p /usr/share/jenkins/ref/init.groovy.d

ENV TINI_SHA 066ad710107dc7ee05d3aa6e4974f01dc98f3888

# Use tini as subreaper in Docker container to adopt zombie processes
RUN curl -fL https://github.com/krallin/tini/releases/download/v0.5.0/tini-static -o /bin/tini && chmod +x /bin/tini \
  && echo "$TINI_SHA /bin/tini" | sha1sum -c -

COPY init.groovy /usr/share/jenkins/ref/init.groovy.d/tcp-slave-agent-port.groovy

ENV JENKINS_VERSION 1.625.3
ENV JENKINS_SHA 537d910f541c25a23499b222ccd37ca25e074a0c


# could use ADD but this one does not check Last-Modified header
# see https://github.com/docker/docker/issues/8331
RUN curl -fL http://mirrors.jenkins-ci.org/war-stable/$JENKINS_VERSION/jenkins.war -o /usr/share/jenkins/jenkins.war \
  && echo "$JENKINS_SHA /usr/share/jenkins/jenkins.war" | sha1sum -c -

ENV JENKINS_UC https://updates.jenkins-ci.org
RUN chown -R jenkins "$JENKINS_HOME" /usr/share/jenkins/ref

# for main web interface:
EXPOSE 8080

# will be used by attached slave agents:
EXPOSE 50000

ENV COPY_REFERENCE_FILE_LOG $JENKINS_HOME/copy_reference_file.log

USER jenkins

COPY jenkins.sh /usr/local/bin/jenkins.sh
ENTRYPOINT ["/bin/tini", "--", "/usr/local/bin/jenkins.sh"]

# from a derived Dockerfile, can use `RUN plugins.sh active.txt` to setup /usr/share/jenkins/ref/plugins from a support bundle
COPY plugins.sh /usr/local/bin/plugins.sh

請注意這一行:

RUN useradd -d "$JENKINS_HOME" -u 1000 -m -s /bin/bash jenkins

製作者創建了一個新用戶叫jenkins,指定它的uid爲1000。

如果我們不向容器掛載任何卷,那沒問題。如果我們向容器掛載了卷,就有權限的問題。

假設我們把本地/opt/jenkins_home掛載爲容器的/var/jenkins_home,而本地的/opt/jenkins_home是屬於root用戶的。

# ls /opt
drwxr-xr-x  2 root root  4096 Dec 30 03:11 jenkins_home/

那容器在運行時jenkins嘗試向這個目錄寫數據時就會出錯,權限不足。

爲什麼?

因爲容器裏的jenkins用戶的uid是1000,在host主機上,uid爲1000用戶是普通用戶,無法寫root owned的目錄。

解決方法有兩個。

1 我們把本地的/opt/jenkins_home的所有者修改爲uid爲1000的那個用戶,假設在本地這個用戶是ubuntu。

# chown -R ubuntu:ubuntu /opt/jenkins_home

這樣我們再把這個目錄掛載到容器裏時,容器裏的jenkins用戶就有寫入的權限了。

或者:

2 運行時通過-u指定一個用戶

docker run的 -u選項可以指定容器裏的默認用戶,選項的值可以是用戶名,也可以是uid。
如果是用戶名,這個用戶必須在容器裏是存在的。如果是uid則沒有這個限制。

我們還是用jenkins image來舉例。如果我在運行時指定 -u ubuntu,容器就會報錯:

ERROR: Cannot start container e0e1201fb3192d0f8e68656de3657e2ae80b111e5f72f56583c908533a89f525: [8] System error: Unable to find user ubuntu

回到剛纔我們說的問題,/opt/jenkins_home的owner是root,所以容器無法寫數據。我們可以在運行時使用參數-u root,這樣容器內的默認用戶變爲root,就可以向/opt/jenkins_home寫入數據了。

總結:image的製作者可以指定容器的默認用戶,因爲作者認爲容器內的進程無需使用root用戶來運行。通常作者指定的用戶的uid都會爲1000(如果image是基於ubuntu或debian的),以保證有本地用戶可以映射。

如果在運行時不想使用作者指定的用戶,可以通過-u這個選項來指定一個用戶。選項的值可以是用戶名,也可以是uid。
如果是用戶名,這個用戶必須在容器裏是存在的。如果是uid則這個用戶在容器裏可以不存在。

任怀林
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Docker Compose 的安装和使用详解
人人都懂物联网
04-20 1215
Compose 项目是 Docker 官方的开源项目,负责实现对 Docker 容器集群的快速编排。从功能上看,Docker Compose 和 OpenStack 中的 Heat 十分类似。我们知道,使用 Dockerfile 模板文件可以让用户很方便的定义一个单独的应用容器。然而,在实践过程中,我们经常会遇到需要多个容器相互配合来完成某项任务的情况。例如要实现一个 Web 项目,除了 Web 服务容器本身,往往还需要再加上后端的数据库服务容器,甚至还包括负载均衡容器等。
理解 docker 容器中的 uid 和 gid
weixin_34233618的博客
09-14 171
默认情况下,容器中的进程以 root 用户权限运行,并且这个 root 用户和宿主机中的 root 是同一个用户。听起来是不是很可怕,因为这就意味着一旦容器中的进程有了适当的机会,它就可以控制宿主机上的一切!本文我们将尝试了解用户名、组名、用户 id(uid)和组 id(gid)如何在容器内的进程和主机系统之间映射,这对于系统的安全来说是非常重要的。说明:本文的演示环境为 u...
了解uid和gid如何在Docker容器中工作
weixin_30488085的博客
08-22 248
​了解用户名,组名,用户ID(uid)和组ID(gid)如何在容器内运行的进程与主机系统之间进行映射对于构建安全系统非常重要。如果没有提供任何其他选项,容器中的进程将以root身份执行(除非在Dockerfile中提供了不同的uid)。本文将解释这是如何工作的,如何正确授予权逐步分析uid/god安全性首先,让我们回顾一下如何实现 uid 和 gids.linux 内核负责管理 uid 和 gid...
tini启动进程的原理
分享技术,享受生活
03-19 526
tini是一个小型的守护进程初始化系统,主要用于容器环境下作为 PID 为 1 的init进程。在 Linux 系统中,PID(进程标识符)为 1 的进程具有特殊的意义,它是系统的第一个进程,也称为 init 进程,负责创建、管理和终止其他所有进程,并且能够正确地处理和转发信号给其子进程。在 Docker 容器中,由于容器通常会直接运行用户指定的应用程序而非一个完整的 init 系统(如 Systemd 或 Upstart),因此有时候会出现信号处理不当或者僵尸进程的问题。
docker挂载volume的用户权限问题,理解docker容器uid
weixin_30797199的博客
08-02 690
docker挂载volume的用户权限问题,理解docker容器uid 在刚开始使用docker volume挂载数据卷的时候,经常出现没有权限的问题。 这里通过遇到的问题来理解docker容器用户uid的使用,以及了解容器内外uid映射关系。 遇到的问题 本地有一个node的项目需要编译,采用docker来run npm install. sudo docker run -it ...
如何将服务器docker容器内运行jupyter映射到本地
qq_43903526的博客
03-06 473
在进行创建容器时候,会进行端口映射,这里是将容器的端口和服务器的端口进行映射,比如777:777,111:111, 222:222。你创建了docker容器,理解容器的概念,它相当于一个虚拟机,只不过不需要捆绑一整套操作系统,只需要软件工作所需的库资源和设置。当我们需要将容器内运行的jupyter映射到本地时,需要将本地端口与服务器端口映射。假设实验室给你分配的账号是。
Linux企业运维——Docker(七)安全
weixin_44310047的博客
08-02 443
Linux企业运维——Docker(七)安全 文章目录Linux企业运维——Docker(七)安全1、理解Docker安全2、容器资源控制2.1、控制memory 1、理解Docker安全 Docker容器的安全性,很大程度上依赖于Linux系统自身,评估Docker的安全性时,主要考虑以下几个方面: Linux内核的命名空间机制提供的容器隔离安全 Linux控制组机制对容器资源的控制能力安全 Linux内核的能力机制所带来的操作权限安全 Docker程序(特别是服务端)本身的抗攻击性 其他安全增强机制对
docker用户与主机用户的安全隔离和映射
lsysafe的博客
05-22 2281
1、系统环境: root@system-virtual-machine:/home/system# uname -a Linux system-virtual-machine 5.0.0-13-generic #14-Ubuntu SMP Mon Apr 15 14:59:14 UTC 2019 x86_64 x86_64 x86_64 GNU/Linux root@system-virtual...
云原生容器技术之 Docker 常用命令
专注于AI领域前沿技术学习与分享:目标检测、图像修复、超分重建、AI工程化
04-17 1027
云原生容器技术之 Docker、CentOS 安装 Docker 最新教程、Docker常用命令汇总
为什么我们要在dockerfile中使用tini
m0_51445191的博客
05-25 1070
使用tini进程管理工具,回收容器里的僵尸进程
Docker容器端口映射后突然无法连接的排查过程
09-30
主要给大家介绍了关于Docker容器端口映射后突然无法连接的排查过程,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
Docker端口映射容器关联
01-07
端口映射容器关联 从外部访问容器应用 ubuntu@ubuntu18:/tmp/dockertmp$ docker pull training/webapp Using default tag: latest latest: Pulling from training/webapp e190868d63f8: Pull complete 909cd34c6fd...
详解Docker 端口映射容器互联
09-30
主要介绍了详解Docker 端口映射容器互联 ,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Docker容器内部端口映射到外部宿主机端口的方法小结
08-16
详细介绍Docker容器内部端口映射到外部宿主机端口的方法小结
idea连接Docker数据库
最新发布
qq_45008709的博客
04-18 180
我们在docker下创建了数据库,想要更方便的查看和操作该数据库,idea和DataGrip或者其他人家都可以。在数据库连接时需要填写数据库名字,主机,端口,数据库用户名和密码。输入之后先不要点击OK和按Enter键,我们先测试下信息是填写正确,点击下方的Test Connection 测试连接按钮,如果显示成功则表示能正常连接。
docker 容器中安装cron,却无法启动定时任务
Python粘合剂
04-17 613
都会有个问题就是cron服务正常启动,但是加入到/etc/con.d下的任务,或者crontab -e 添加的定时任务都没有运行。写个sh 脚本用来添加定时任务,顺便在重启cron时添加环境变量。当我是在Dockerfile配置安装cron。cronfile中定义自己的任务。大概是因为没有添加上环境变量。或者进入容器中安装cron。需要给sh 脚本加上运行权限。
使用Docker搭建本地Nexus私有仓库
踏踏实实,贵在坚持
04-17 953
Java应用编译构建的一种主流方式就是通过Maven, Maven可以很方便的管理Java应用的各种依赖包。但是在默认情况下,maven在进行java应用编译的时候,会从maven远程仓库下载相应的依赖包。Maven公共仓库是在国外的,网络不好的情况下,依赖包的下载会相当的耗时,这时私有库就派上了用场。
Docker(七):容器监控工具(Portainer、CAdvisor)
人不风流枉少年
04-17 622
可以通过docker安装,用于管理和监控docker,基本上的docker命令都有对应的按钮来操作。
Docker(九):MySQL主从复制搭建
人不风流枉少年
04-18 494
在master上操作数据库,然后去从数据库中确认是否同步。从服务器配置主从复制。
docker容器端口映射
05-18
Docker容器端口映射是将Docker容器内部的端口映射到主机上的端口,以便外部可以访问容器中运行的应用程序。Docker容器默认是隔离的,容器内部的端口只能在容器内访问,而不能在主机上直接访问。因此,需要使用端口映射容器内部的端口映射到主机上的端口,以便外部可以访问。 要进行端口映射,可以使用`-p`选项来指定需要映射的端口,语法为`-p 主机端口:容器端口`。例如,如果要将容器内部的80端口映射到主机上的8080端口,可以使用以下命令: ``` docker run -p 8080:80 image_name ``` 这样,当访问主机上的8080端口时,就会自动转发到容器内部的80端口。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值