linux docker权限,linuxea:docker卷和文件系统权限

最新推荐文章于 2024-01-01 11:43:18 发布
最新推荐文章于 2024-01-01 11:43:18 发布
阅读量266 收藏 1
点赞数
文章标签: linux docker权限

5c1967c5325842cec010c6abd3e07965.gif

Docker容器是无状态的(不需要在运行时候做持久化数据)。一般来讲,一些有状态的,存储重要数据的应用需要一些持久存储。卷功能提供了一种支持此要求的方法,但它带有一些关于文件系统权限的问题。

在大多数部署的设置中,将使用容器编排机制,并且持久存储由某些公共云产品提供,这些产品可能具有自己的配置权限的方式。但是,在本地开发或产品的早期迭代期间,最简单的方法是将主机目录公开为docker卷。

简而言之,这些是将主机目录配置为卷时需要注意的事实:

从主机和容器的角度来看,对卷中内容设置的文件权限是相同的。

只有UID(用户ID)和GID(组ID)很重要。例如,用户和组的名称和密码不需要匹配,甚至不需要存在于主机和容器中

根据自己的配置对在运行的容器,具有所有操作权限,如:强制执行文件权限。例如,如果用户A同时存在于主机和容器中,将用户A添加到主机上的组B,不允许用户A写入容器内的组B所拥有的目录,除非在容器内创建组B并且向其添加用户A.

默认情况下,容器的命令以root身份运行

(在基于unix的系统上)可以将文件/目录所有权设置为不属于任何实际组的GID

如果你掌握上述事实,应该能够配置容器和卷而不会有太多意外事故。如果你不熟悉UNIX文件权限,我可以推荐本站的linuxea基础之权限管理一篇。

I. 权限

我们可以方便地为本地开发配置内容,示例:

将要用作卷的目录的组所有权设置为某些GID(在此示例中为1101)未在主机上的任何实际组上使用

[root@linuxea.com ~]# mkdir /root/linuxea.com

[root@linuxea.com ~]# chown :1101 /root/linuxea.com

更改目录的权限以授予组成员完全访问权限(读取+写入+执行)

[root@linuxea.com ~]# chmod 755 /root/linuxea.com

确保文件夹中的所有之后内容都将继承组所有权

[root@linuxea.com ~]# chmod g+s /root/linuxea.com/

在Dockerfile中创建一个用户,该用户是1101组的成员

看起来可以是这样

FROM alpine:3.9

MAINTAINER www.linuxea.com

LABEL maintainer="www.linuxea.com"

RUN addgroup --gid 1101 www \

&& adduser -u 1101 -S -H -s /bin/bash -g www -G www www -D

(可选)将主机用户添加到组中,以便你方便地使用主机中的目录

centos:

useradd linuxea

上面的示例是一个最小化设置,可确保你不以root身份运行容器命令,并且可以使用主机上附加卷的内容,而无需使用主机root用户(你必须确保你使用的非root用户启动容器。该设置在构建时执行硬编码配置,使你无法在运行时调整GID。如果需要,你必须将GID作为环境变量传递,并包含可以使用它的通用脚本。示例如下:

entrypoint.sh

#!/bin/bash

# www.linuxea.com

USER_ID=${LOCAL_USER_ID:-1101}

USER_NAME=${LOCAL_USER_NAME:-www}

echo "Starting with UID : $USER_ID And user $USER_NAME"

addgroup --gid $USER_ID $USER_NAME

adduser -u $USER_ID -S -H -s /bin/bash -g $USER_NAME -G $USER_NAME $USER_NAME -D

# useradd --shell /bin/bash -u $USER_ID -o -c "" -m user

export HOME=/home/$USER_NAME

exec /usr/local/bin/gosu $USER_NAME "$@"

我们在这里做的是从环境变量中获取UID和将要用到的名称,如果它不存在则默认为1101,NAME不存在则www,并且使用adduser/useradd设置UID时实际使用熟悉的命令创建用户“www” 。

II. entrypoint创建

最后我们用这个用户gosu来执行我们的流程"$@"。记住来自Dockerfile的CMD或来自docker CLI的命令作为命令行参数传递给entrypoint.sh脚本。

我们在看Dockerfile

FROM alpine:3.9

MAINTAINER www.linuxea.com

LABEL maintainer="www.linuxea.com"

COPY entrypoint.sh /bin/entrypoint.sh

RUN apk update \

&& apk add bash \

&& wget https://github.com/tianon/gosu/releases/download/1.11/gosu-amd64 -O /usr/local/bin/gosu \

&& chmod +x /bin/entrypoint.sh /usr/local/bin/gosu \

&& rm /var/cache/apk/*

ENTRYPOINT ["entrypoint.sh"]

CMD ["sleep","30000"]

build

[root@linuxea.com ~]# docker build -t marksugar/alpine:3.9 .

run

可以传递LOCAL_USER_ID和LOCAL_USER_NAME改变脚本参数,从而改变gid和name

[root@linuxea.com ~]# docker run -d marksugar/alpine:3.9

00f7afb58a9ee069f1bca6fdd716131e48538bc161911e62bf4249328f98270b

[root@linuxea.com ~]# docker exec -it 00f7 ps aux

PID USER TIME COMMAND

1 www 0:00 sleep 30000

14 root 0:00 ps aux

[root@linuxea.com ~]# ps aux|grep sleep

1101 27414 0.3 0.0 1520 4 ? Ss 21:56 0:00 sleep 30000

现在你就可以下载marksugar/alpine:3.9镜像来作为基础镜像了。

III. 延伸阅读

IV. 学习更多

学习如何使用Docker CLI命令,Dockerfile命令,使用Bash命令可以帮助你更有效地使用Docker应用程序。查看Docker文档和我的其他帖子以了解更多信息。

除非另有说明,否则本站上的内容根据以下许可进行许可: CC署名-非商业性使用-相同方式共享4.0国际许可协议4.0进行许可

本文作者:www.linuxea.com for Mark

文章链接:http://www.linuxea.com/2303.html (转载请注明本文出处和本章链接)

weixin_39589923
关注
Docker(四):容器数据Dockerfile构建镜像(发布)
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!这里是我记录技术心得、分享经验的地方。✨
08-30 4万+
🟢 Docker(四):容器数据Dockerfile构建镜像(发布)
Docker 问题集锦(4) - linux 系统中解决 docker: command not found
liuzhen007的专栏
06-21 6480
问题 新申请了一台阿里云的服务器,打算在上边部署一个容器服务,竟然发现机器上连docker都没安装。 如果是mac OS系统,可以参考文章《mac系统中解决docker: command not found》 解决 针对这个问题,今天特意记录了一下。我们就来看一下如何在linux服务器上安装docker
Liunx 创建新用户 | 分配运行Docker权限
weixin_66896902的博客
08-18 2391
最近在写 Jenkins 专栏的文章,从一开始没人看,到上了热榜,越来越多的朋友看到,同时也收到很多正向反馈,就想把他写得更加完善一点,希望能够帮助到更多的朋友。
Linux新建用户并允许docker
weixin_33757911的博客
12-14 398
创建用户 1.作用 useradd或adduser命令用来建立用户帐号和创建用户的起始目录,使用权限是超级用户。   2.格式 useradd [-d home] [-s shell] [-c comment] [-m [-k template]] [-f inactive] [-e expire ] [-p passwd]...
linux】创建用户+给定docker权限(快速给新人使用服务器)
聿默的博客
04-28 573
1.环境 ubuntu16.04 2.创建用户 adduser your_username 会让设置密码,不提醒设置的话,就自己设置: passwd your_username 3.给定docker权限 vim /etc/group 然后找到docker组,添加your_username。
Linux-docker 提示权限不足 、给用户赋予权限 、解决/var/run/docker.sock: connect: permission denied
小蜗牛的博客
04-23 2356
Linux-docker 提示权限不足 、给用户赋予权限 、解决/var/run/docker.sock: connect: permission denied
Linuxdocker怎样设置使用权限
qq_38465301的博客
02-20 1011
Docker的目标是实现轻量级的操作系统虚拟化的解决方案。 Docker的基础是Linux容器(LXC)等技术,(LXC系统提供工具来管理容器,具有先进的网络和存储支持,还有最小容器操作系统模版的广泛选择)。 在LXC的基础上Docker进行了进一步的封装,用户不需要去关心容器的管理,操作更简单。就像操作一个快速轻量的虚拟机一样简...
linux特权模式,linuxea:docker特权模式与--cap-add和--cap-drop
weixin_29189003的博客
05-13 1473
你可能希望在容器中执行的一些高级操作(例如Docker-in-Docker(DinD),NTP,安装环回设备等),默认情况下将需要比给予容器的root用户更高的权限。因此,需要允许其他特权才能使容器无问题地运行,因此对于该用例,Docker具有非常简单但非常宽泛的特权模式,可将完整主机的功能添加到容器中。要使用此模式,只是追加--privileged到docker run命令:Docker-in-...
dial unix /var/run/docker.sock: connect: permission denied
Less is More
12-21 4230
问题背景:使用sudo安装docker,普通用户使用的情况下,报错connect: permission denied,链接权限被拒绝 解决方案: # 添加当前用户到docker用户组 ${USER}指用户名 sudo gpasswd -a ${USER} docker # 查看用户组下用户,检查添加是否成功 cat /etc/group | grep docker # 重启docker服务 sudo service docker restart # 切换当前会话到新组【group】或重启会话 new
Docker——denied: requested access to the resource is denied问题以及解决方法
liu_chen_yang的博客
05-09 1万+
文章目录问题解析解决方法注意 问题 使用docker push推送镜像时,出现denied: requested access to the resource is denied的报错。 解析   原因和Git push代码一样,为了安全起见,在Docker Hub无法确定操作者的情况下,是无法完成push操作的。在Git中是通过配置文件SSH Keys来记住用户,那么在Docker Hub中也是通过配置文件。   通常在你第一次使用docker login命令登录你的Docker仓库时,会自动在你的机器
Docker:数据挂载目录权限问题
程序员无羡的博客
04-21 778
Docker:数据挂载目录权限问题
linux: 如何让普通用户可以执行docker命令
最新发布
十年运维开发经验的王义杰在此分享自己的知识和经验
01-01 2108
通过将用户添加到docker组,我们能够让普通用户执行Docker命令,而无需每次都使用sudo。这使得管理和使用Docker容器更加方便快捷。然而,始终牢记安全风险,并采取适当的措施来保护我们的系统。
docker 挂在外部报无权限处理
weixin_33726943的博客
05-12 595
为什么80%的码农都做不了架构师?>>> ...
linux环境下docker容器内文件及文件夹目录权限配置
xiaomojun的专栏
11-09 8262
可以通过命令: whoami,或者 id -un 查看当前用户 通过root用户进入容器才有更高权限 sudo docker exec -ti -u root asd1a5s4abash asd1a5s4a 是容器id 如果要修改文件权限执行如下命令 chmod 644 xxx.sh //644对应权限可参考linux权限表, xxx.sh你要修改权限的文件 ...
DOCKER权限设置:LINUX新增用户添加ROOT权限
weizhen330的专栏
03-13 3405
如果,在修改/etc/sudoers 文件,你该错误了,会导致使用不了sudo命令,使用vim也打不开该文件了;(这样是所有的用户都可操作docker,这样不安全,但是如果安全性要求不高,就可这样做)
docker 给容器设置权限
笑笑布丁的博客
01-13 4066
背景 如果默认运行容器的话,容器的默认权限会是root级别,这会带来很多不稳定的因素,例如容器可能修改一些只有root用户能修改的东西,假如使用nobody的话,又会造成容器想写入一些普通文件,会因为没有权限而被宿主主机拒绝. 怎样设置权限呢? 我采用的是docker-compose 设置 .env 文件实现 首先在dockers-compose 文件中加入.env services: xxx: env_file: - sample.env user:
解决 Docker 数据挂载的文件权限问题
weixin_42445065的博客
06-16 1万+
Docker在启动的时候,会根据Docker File 里的USER运行程序。 如果没有指定,会默认以ROOT进行启动。 注意到,在文件权限层面,docker 的用户、用户组是与宿主机相通的,虽然名字可能不一样,但共用一个userid。 也就是说,docker默认的root,id是1,那么对应的就是宿主机的root(userid 也是 1) 如果 docker的默认用户是 new_user,id是1001,那么对应到的就是宿主机的 1001号用户,是哪位并不知道,不一定叫new_user。 假设是以ROOT
docker运行套路实战:PHP篇
06-14
1、本课程适合有简单docker基础的同学。2、当学会了基本docker命令后不会应用,那么本课程就是来教大家套路的。本系列分为多篇,本篇是PHP角度,其他角度正在录制中3、本篇不涉及集群强烈注意:本课程不是PHP语法培训课,主要侧重点是docker,默认大家对php、apache、nginx、mysql、redis并不陌生。
如何获得docker容器里面的root权限
热门推荐
giantbranch的专栏
07-06 3万+
首先你的container得正在运行 可通过sudo docker container ls查看容器的CONTAINER ID 最后执行命令(其中7509371edd48 为上面查到的CONTAINER ID) sudo docker exec -ti -u root 7509371edd48 bash...
Docker文件系统解析:Aufs与Devicemapper深度探究
然而,由于Aufs没有被正式合并到Linux内核中,Docker引入了graphdriver机制,以支持多种不同的文件系统,如Devicemapper、Btrfs和Vfs。 Docker镜像是由多个层组成的,每一层代表一次文件系统的变化,比如添加文件、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值