linux docker权限,linuxea:docker卷和文件系统权限

最新推荐文章于 2024-04-28 05:27:38 发布
最新推荐文章于 2024-04-28 05:27:38 发布
阅读量255 收藏 1
点赞数
文章标签: linux docker权限

5c1967c5325842cec010c6abd3e07965.gif

Docker容器是无状态的(不需要在运行时候做持久化数据)。一般来讲,一些有状态的,存储重要数据的应用需要一些持久存储。卷功能提供了一种支持此要求的方法,但它带有一些关于文件系统权限的问题。

在大多数部署的设置中,将使用容器编排机制,并且持久存储由某些公共云产品提供,这些产品可能具有自己的配置权限的方式。但是,在本地开发或产品的早期迭代期间,最简单的方法是将主机目录公开为docker卷。

简而言之,这些是将主机目录配置为卷时需要注意的事实:

从主机和容器的角度来看,对卷中内容设置的文件权限是相同的。

只有UID(用户ID)和GID(组ID)很重要。例如,用户和组的名称和密码不需要匹配,甚至不需要存在于主机和容器中

根据自己的配置对在运行的容器,具有所有操作权限,如:强制执行文件权限。例如,如果用户A同时存在于主机和容器中,将用户A添加到主机上的组B,不允许用户A写入容器内的组B所拥有的目录,除非在容器内创建组B并且向其添加用户A.

默认情况下,容器的命令以root身份运行

(在基于unix的系统上)可以将文件/目录所有权设置为不属于任何实际组的GID

如果你掌握上述事实,应该能够配置容器和卷而不会有太多意外事故。如果你不熟悉UNIX文件权限,我可以推荐本站的linuxea基础之权限管理一篇。

I. 权限

我们可以方便地为本地开发配置内容,示例:

将要用作卷的目录的组所有权设置为某些GID(在此示例中为1101)未在主机上的任何实际组上使用

[root@linuxea.com ~]# mkdir /root/linuxea.com

[root@linuxea.com ~]# chown :1101 /root/linuxea.com

更改目录的权限以授予组成员完全访问权限(读取+写入+执行)

[root@linuxea.com ~]# chmod 755 /root/linuxea.com

确保文件夹中的所有之后内容都将继承组所有权

[root@linuxea.com ~]# chmod g+s /root/linuxea.com/

在Dockerfile中创建一个用户,该用户是1101组的成员

看起来可以是这样

FROM alpine:3.9

MAINTAINER www.linuxea.com

LABEL maintainer="www.linuxea.com"

RUN addgroup --gid 1101 www \

&& adduser -u 1101 -S -H -s /bin/bash -g www -G www www -D

(可选)将主机用户添加到组中,以便你方便地使用主机中的目录

centos:

useradd linuxea

上面的示例是一个最小化设置,可确保你不以root身份运行容器命令,并且可以使用主机上附加卷的内容,而无需使用主机root用户(你必须确保你使用的非root用户启动容器。该设置在构建时执行硬编码配置,使你无法在运行时调整GID。如果需要,你必须将GID作为环境变量传递,并包含可以使用它的通用脚本。示例如下:

entrypoint.sh

#!/bin/bash

# www.linuxea.com

USER_ID=${LOCAL_USER_ID:-1101}

USER_NAME=${LOCAL_USER_NAME:-www}

echo "Starting with UID : $USER_ID And user $USER_NAME"

addgroup --gid $USER_ID $USER_NAME

adduser -u $USER_ID -S -H -s /bin/bash -g $USER_NAME -G $USER_NAME $USER_NAME -D

# useradd --shell /bin/bash -u $USER_ID -o -c "" -m user

export HOME=/home/$USER_NAME

exec /usr/local/bin/gosu $USER_NAME "$@"

我们在这里做的是从环境变量中获取UID和将要用到的名称,如果它不存在则默认为1101,NAME不存在则www,并且使用adduser/useradd设置UID时实际使用熟悉的命令创建用户“www” 。

II. entrypoint创建

最后我们用这个用户gosu来执行我们的流程"$@"。记住来自Dockerfile的CMD或来自docker CLI的命令作为命令行参数传递给entrypoint.sh脚本。

我们在看Dockerfile

FROM alpine:3.9

MAINTAINER www.linuxea.com

LABEL maintainer="www.linuxea.com"

COPY entrypoint.sh /bin/entrypoint.sh

RUN apk update \

&& apk add bash \

&& wget https://github.com/tianon/gosu/releases/download/1.11/gosu-amd64 -O /usr/local/bin/gosu \

&& chmod +x /bin/entrypoint.sh /usr/local/bin/gosu \

&& rm /var/cache/apk/*

ENTRYPOINT ["entrypoint.sh"]

CMD ["sleep","30000"]

build

[root@linuxea.com ~]# docker build -t marksugar/alpine:3.9 .

run

可以传递LOCAL_USER_ID和LOCAL_USER_NAME改变脚本参数,从而改变gid和name

[root@linuxea.com ~]# docker run -d marksugar/alpine:3.9

00f7afb58a9ee069f1bca6fdd716131e48538bc161911e62bf4249328f98270b

[root@linuxea.com ~]# docker exec -it 00f7 ps aux

PID USER TIME COMMAND

1 www 0:00 sleep 30000

14 root 0:00 ps aux

[root@linuxea.com ~]# ps aux|grep sleep

1101 27414 0.3 0.0 1520 4 ? Ss 21:56 0:00 sleep 30000

现在你就可以下载marksugar/alpine:3.9镜像来作为基础镜像了。

III. 延伸阅读

IV. 学习更多

学习如何使用Docker CLI命令,Dockerfile命令,使用Bash命令可以帮助你更有效地使用Docker应用程序。查看Docker文档和我的其他帖子以了解更多信息。

除非另有说明,否则本站上的内容根据以下许可进行许可: CC署名-非商业性使用-相同方式共享4.0国际许可协议4.0进行许可

本文作者:www.linuxea.com for Mark

文章链接:http://www.linuxea.com/2303.html (转载请注明本文出处和本章链接)

weixin_39589923
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Liunx 创建新用户 | 分配运行Docker权限
weixin_66896902的博客
08-18 2311
最近在写 Jenkins 专栏的文章,从一开始没人看,到上了热榜,越来越多的朋友看到,同时也收到很多正向反馈,就想把他写得更加完善一点,希望能够帮助到更多的朋友。
Linuxdocker怎样设置使用权限
qq_38465301的博客
02-20 946
Docker的目标是实现轻量级的操作系统虚拟化的解决方案。 Docker的基础是Linux容器(LXC)等技术,(LXC系统提供工具来管理容器,具有先进的网络和存储支持,还有最小容器操作系统模版的广泛选择)。 在LXC的基础上Docker进行了进一步的封装,用户不需要去关心容器的管理,操作更简单。就像操作一个快速轻量的虚拟机一样简...
Linux新建用户并允许docker
weixin_33757911的博客
12-14 377
创建用户 1.作用 useradd或adduser命令用来建立用户帐号和创建用户的起始目录,使用权限是超级用户。   2.格式 useradd [-d home] [-s shell] [-c comment] [-m [-k template]] [-f inactive] [-e expire ] [-p passwd]...
linux 如何让普通用户可以执行docker命令_docker 如何普通用户使用
最新发布
04-28 959
Linux中,默认情况下,只有root用户或具有sudo权限的用户才能运行Docker命令。这是因为Docker守护进程通常以root用户身份运行,普通用户没有权限与其交互。然而,要求用户以root身份运行Docker会带来安全风险,因为它提供了对系统的完全访问权限。幸运的是,有一种方法可以允许普通用户执行Docker命令而不需要提升权限,那就是通过将用户添加到docker组。
linux】创建用户+给定docker权限(快速给新人使用服务器)
聿默的博客
04-28 509
1.环境 ubuntu16.04 2.创建用户 adduser your_username 会让设置密码,不提醒设置的话,就自己设置: passwd your_username 3.给定docker权限 vim /etc/group 然后找到docker组,添加your_username。
Linux-docker 提示权限不足 、给用户赋予权限 、解决/var/run/docker.sock: connect: permission denied
小蜗牛的博客
04-23 2148
Linux-docker 提示权限不足 、给用户赋予权限 、解决/var/run/docker.sock: connect: permission denied
docker-windows:在 Linux Docker 容器中运行 Windows GUI 应用程序
05-30
Linux Docker 容器中运行 Windows GUI 应用程序 图片来源: 特征 在 LinuxDockerize Microsoft Windows 应用程序 通过 Web 浏览器中的远程桌面启用 GUI 例子 待补充。 用法 环境变量 USER_PASSWD - 用户...
所有linux系统离线安装包dockerdocker-compose
04-13
安装命令通常包含在提供的文档中,这些命令可能包括使用`sudo`权限来执行文件、更新系统库(如在Ubuntu或Debian中使用`apt-get update`和`apt-get install`),以及启动和启用服务(如使用`systemctl start docker`...
docker-flarum:基于Alpine Linux的Flarum Docker映像
05-01
关于基于Alpine LinuxDocker映像。 如果您有兴趣,我的其他Docker映像! :light_bulb: 想要收到新版本的通知吗? 查看 :bell: 项目!弗拉鲁姆数据库数港口用法Docker撰写命令行升级笔记首次发射管理扩展使用...
Docker:数据挂载目录权限问题
程序员无羡的博客
04-21 728
Docker:数据挂载目录权限问题
linux: 如何让普通用户可以执行docker命令
十年运维开发经验的王义杰在此分享自己的知识和经验
01-01 1468
通过将用户添加到docker组,我们能够让普通用户执行Docker命令,而无需每次都使用sudo。这使得管理和使用Docker容器更加方便快捷。然而,始终牢记安全风险,并采取适当的措施来保护我们的系统。
docker 挂在外部报无权限处理
weixin_33726943的博客
05-12 584
为什么80%的码农都做不了架构师?>>> ...
linux环境下docker容器内文件及文件夹目录权限配置
xiaomojun的专栏
11-09 7743
可以通过命令: whoami,或者 id -un 查看当前用户 通过root用户进入容器才有更高权限 sudo docker exec -ti -u root asd1a5s4abash asd1a5s4a 是容器id 如果要修改文件权限执行如下命令 chmod 644 xxx.sh //644对应权限可参考linux权限表, xxx.sh你要修改权限的文件 ...
DOCKER权限设置:LINUX新增用户添加ROOT权限
weizhen330的专栏
03-13 3143
如果,在修改/etc/sudoers 文件,你该错误了,会导致使用不了sudo命令,使用vim也打不开该文件了;(这样是所有的用户都可操作docker,这样不安全,但是如果安全性要求不高,就可这样做)
docker 给容器设置权限
笑笑布丁的博客
01-13 3963
背景 如果默认运行容器的话,容器的默认权限会是root级别,这会带来很多不稳定的因素,例如容器可能修改一些只有root用户能修改的东西,假如使用nobody的话,又会造成容器想写入一些普通文件,会因为没有权限而被宿主主机拒绝. 怎样设置权限呢? 我采用的是docker-compose 设置 .env 文件实现 首先在dockers-compose 文件中加入.env services: xxx: env_file: - sample.env user:
解决 Docker 数据挂载的文件权限问题
weixin_42445065的博客
06-16 1万+
Docker在启动的时候,会根据Docker File 里的USER运行程序。 如果没有指定,会默认以ROOT进行启动。 注意到,在文件权限层面,docker 的用户、用户组是与宿主机相通的,虽然名字可能不一样,但共用一个userid。 也就是说,docker默认的root,id是1,那么对应的就是宿主机的root(userid 也是 1) 如果 docker的默认用户是 new_user,id是1001,那么对应到的就是宿主机的 1001号用户,是哪位并不知道,不一定叫new_user。 假设是以ROOT
如何获得docker容器里面的root权限
热门推荐
giantbranch的专栏
07-06 3万+
首先你的container得正在运行 可通过sudo docker container ls查看容器的CONTAINER ID 最后执行命令(其中7509371edd48 为上面查到的CONTAINER ID) sudo docker exec -ti -u root 7509371edd48 bash...
【如何添加docker 权限给当前用户(linux)】
weixin_44112313的博客
02-11 1273
说明 在使用docker 的过程中发现需要root权限才可以。这种情况需要给当前用户添加docker权限。 创建docker 组 sudo groupadd docker 将用户加入docker group sudo gpasswd -a ${USER} docker 重启 docker 服务 sudo service docker restart #或 sudo systemctl restart docker 更新用户组 newgrp docker 参考链接:https://www.c
Docker文件系统解析:Aufs与Devicemapper深度探究
然而,由于Aufs没有被正式合并到Linux内核中,Docker引入了graphdriver机制,以支持多种不同的文件系统,如Devicemapper、Btrfs和Vfs。 Docker镜像是由多个层组成的,每一层代表一次文件系统的变化,比如添加文件、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值