docker使用

最新推荐文章于 2023-12-01 09:49:32 发布
最新推荐文章于 2023-12-01 09:49:32 发布
阅读量611 收藏 2
点赞数
分类专栏: docker 文章标签: docker linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42152531/article/details/120528937
版权

docker使用

使用docker的user-remap功能

user-remap功能是将宿主机上的指定用户,映射到docker容器内部的root用户。

如果是要root映射到root,则不需要使用user-remap功能。只要没有开启user-remap功能,docker启动的容器在宿主机上本身就有root权限,只不过这个权限不全。具体有哪些权限,可以进入容器中查看

capsh --print

在宿主机上创建一个普通用户

使用root用户进行以下操作

groupadd -g 1000 dockeruser
useradd -u 10000 -g dockeruser -d /home/dockeruser -m dockeruser

解释

groupadd 中的-g是指定group id为10000。 groupadd命令中的dockeruser为组名。
useradd中,-u指定uer id为100000。-d为指定该用户的根目录。-m表示创建该目录。dockeruser为用户名。-g dockeruser表示,指定创建的该用户属于dockeruser组,该dockeruser组必须存在,否则会报错,所以必须先执行groupadd命令。
在docker启动过程中,要求组名与用户名一致。

查看宿主机上的所有用户信息

列出 Linux 系统上所有用户的 3 种方法——Linux中国-知乎

方法一:

compgen -u

compgen -g

解释
-u是宿主机的所有用户
-g是宿主机的所有组

方法二:

cat /etc/passwd

确保宿主机上的subuid和subgid中有信息

[root@centos centos-usr]# cat /etc/subuid
dockeruser:100000:65536
[root@centos centos-usr]# cat /etc/subgid
dockeruser:100000:65536

检查宿主机上是否启用了命名空间隔离

理解Docker(3):Docker 使用 Linux namespace 隔离容器的运行环境——weixin_33851604-CSDN

[root@node1 1573]# uname -a
Linux node1.exampleos.com 3.10.0-514.2.2.el7.x86_64 #1 SMP Tue Dec 6 23:06:41 UTC 2016 x86_64 x86_64 x86_64 GNU/Linux

[root@node1 1573]# cat /boot/config-3.10.0-514.2.2.el7.x86_64 | grep CONFIG_USER_NS
CONFIG_USER_NS=y

如果是 「y」,则启用了,否则未启用。同样地,可以查看其它 namespace:

CONFIG_UTS_NS=y
CONFIG_IPC_NS=y
CONFIG_USER_NS=y
CONFIG_PID_NS=y
CONFIG_NET_NS=y

如果是centos7,则需要使用以下方法:
参考链接1
参考链接2

修改daemon.json文件

centos为/etc/docker/daemon.json

#vim /etc/docker/daemon.json
{
    "registry-mirrors":["https://registry.docker-cn.com","https://l10nt4hq.mirror.aliyuncs.com"],
    "userns-remap": "dockeruser"
}

解释

userns-remap标签中的dockeruser表示要将docker容器中的root用户映射为宿主机上的指定的用户名和组名。是宿主机侧的用户名和组名。

重启docker

systemctl stop docker
systemctl daemon-reload
systemctl start docker

查看docker工作目录的权限归属

centos中的docker的工作目录是/var/lib/docker

[root@centos centos-usr]# ls -ltr /var/lib/docker/
总用量 24
drwx------.  4 root root   32 812 11:13 plugins
drwx------.  3 root root   22 812 11:13 image
drwx------.  2 root root    6 812 11:13 trust
drwxr-x---.  3 root root   19 812 11:13 network
drwx------.  2 root root    6 812 11:13 swarm
drwx--x--x.  4 root root  120 812 11:13 buildkit
drwx------.  2 root root    6 927 16:55 runtimes
drwx-----x.  3 root root  122 927 16:55 volumes
-rw-r--r--.  1 root root 5120 927 16:59 linkgraph.db
drwx------.  2 root root    6 928 11:52 tmp
drwx-----x. 56 root root 8192 928 11:53 overlay2
drwx-----x. 10 root root 4096 928 11:53 containers
drwx-----x. 11 root root  135 928 15:13 100000.100000

可以看到,新用户10000.10000的docker工作目录的所有权归属于root用户,并不归属于新用户dockeruser。所以需要将用户所有权改为dockeruser

修改新用户的工作目录所有权

chown -R dockeruser:dockeruser /var/lib/docker/100000.100000

解释

chown命令修改文件的所有者。修改所属的用户和所属的组。
命令中,前一个dockeruser是将要修改为的所属用户,后一个dockeruser是将要修改为的所属组。
-R是把目录中的所有文件的所有者都进行更改。

ImSEten
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Docker: USER 指定当前用户
Allan_shore_ma的博客
11-15 1万+
Docker: USER 指定当前用户 格式:USER <用户名> USER 指令和 WORKDIR 相似,都是改变环境状态并影响以后的层。WORKDIR 是改变工作目录,USER 则是改变之后层的执行 RUN, CMD 以及 ENTRYPOINT 这类命令的身份。 一、Docker 用户设置 当然,和 WORKDIR 一样,USER 只是帮助你切换到指定用户而已,这个用户必须是事先建...
useradd命令详解_docker系列基础课程:Dockerfile 指令详解(3)
weixin_39635567的博客
11-29 855
文章索引:1、docker入门之镜像、容器和仓库2、docker的安装与镜像加速器的配置3、docker系列基础课程--如何获取镜像、列出镜像和删除镜像4、docker系列基础课程:利用commit 理解镜像构成5、docker系列基础课程:使用 Dockerfile 定制镜像6、docker系列基础课程:Dockerfile 指令详解(1)7、docker系列基础课程:Dockerfile 指令...
linux用户隔离,隔离 Docker 容器中的用户
weixin_39641386的博客
04-28 674
笔者在前文《理解 docker 容器中的 uid 和 gid》介绍了 docker 容器中的用户与宿主机上用户的关系,得出的结论是:docker 默认没有隔离宿主机用户和容器中的用户。如果你已经了解了 Linuxuser namespace 技术(参考《Linux Namespace : User》),那么自然会问:docker 为什么不利用 Linux user namespace 实现用...
隔离 docker 容器中的用户
weixin_33778778的博客
09-13 498
笔者在前文《理解 docker 容器中的 uid 和 gid》介绍了 docker 容器中的用户与宿主机上用户的关系,得出的结论是:docker 默认没有隔离宿主机用户和容器中的用户。如果你已经了解了 Linuxuser namespace 技术(参考《Linux Namespace : User》),那么自然会问:docker 为什么不利用 Linux user namespace 实现用...
1.1 Docker - 用户管理
LawssssCat的博客
12-18 616
-user
docker使用手册
07-13
### Docker使用手册知识点详解 #### 一、Docker服务安装与配置 **1.1 Docker服务卸载** 在开始安装之前,确保系统中没有已安装的旧版本Docker使用以下命令来卸载旧版Docker: ```bash sudo yum remove docker ...
docker 使用教程
04-10
docker容器虚拟化 .Docker 容器通过 Docker 镜像来创建
docker 使用
04-24
NULL 博文链接:https://xinglijun1973.iteye.com/blog/2416061
Docker—从入门到实践—Welcome to the Docker user guide
张同光 (Tongguang Zhang):Hello everyone !
02-01 282
https://docs.docker.com/engine/userguide/ —— Welcome to the Docker user guide http://www.widuu.com/chinese_docker/index.html  —— Docker 中文指南 https://yeasy.gitbooks.io/docker_practice/content/ind
docker: user namespace
Eureka
11-16 362
One of the problem I met yesterday is that I add my user on GPU server to the docker group and run a DL docker container. Although I once firmly believed that the root in docker is virtual for the rea...
Docker
Yu的博客
08-26 287
目录 容器技术 从linuxdocker docker在devops(开封和运维)中 docker与虚拟机的比较 docker与虚拟化 Docker镜像 获取镜像 查看镜像信息 查找镜像 删除镜像 创建镜像 基于已有镜像的容器创建 基于本地模板导入 存出和载入镜像 上传镜像 Docker容器 创建容器 创建并启动容器 终止容器 进入容器 删除容器 Do...
Docker容器技术之user-defined网络
Helmer的博客
07-20 502
以上一种方式创建的网络无法自定义网段,只能由系统进行分配,缺乏灵活性,下面我们创建自定义网段的网络。上图展示了如何建立自定义网络的过程,从网络具体信息上看,我们指定的网段已经生效,下面启动容器进行验证。从上图中可以看到容器分配的IP地址为172.15.2.2。说明我们创建的网络已经生效,这个灵活性比较强。创建容器时,自定义网段网络上的容器可以自定义IP地址,而其他的网络若制定IP地址则会报错。httpshttpshttpshttpshttps。...
docker 普通用户
PiggyGaGa的博客
04-08 1395
在服务器上运行docker 命令时,docker 默认的需要root权限,如果我们使用普通用户想要运行docker 命令可行吗?答案是 yes。 原理:docker 有权限执行docker 命令的用户必须是在docker用户组内的,也就是说,我们安装的时候是默认新建了一个docker 的group,因为安装的时候是以root权限安装的,所以docker 这个用户组里就有默认的 root 用户,...
【零基础入门DockerDockerfile中的USER指令以及dockerfile命令详解
最新发布
共同学习、强我国家
12-01 3592
WORKDIR 为接下来的Dockerfile指令指定当前工作目录,可多次使用,如果使用的是相对路径,则相对的是上一个工作目录,类似shell中的cd命令。COPY 将主机的文件复制到镜像内,如果目的位置不存在,Docker会自动创建所有需要的目录结构,但是它只是单纯的复制,并不会去做文件提取和解压工作COPY ... COPY ["",... ""](路径包含空格的必须使用这种格式)注意:需要复制的目录一定要放在Dockerfile文件的同级目录下。
Dockerfile - USER 指令详解
Jerry00713的博客
06-06 6660
指定运行容器时的用户名或 UID,后续的RUN等指令也会使用指定的用户身份 例子 当容器中运行的服务不需要管理员权限时,可以先建立一个特定的用户和用户组,为它分配必要的权限,使用 USER 切换到这个用户...
字节跳动超高难度三面java程序员面经,太香了
m0_57699613的博客
07-14 433
第1 章 并发编程线程基础 1.1 什么是线程 1.2 线程创建与运行 1.3 线程通知与等待 1.4 等待线程执行终止的join 方法 1.5 让线程睡眠的sleep 方法 1.6 让出CPU 执行权的yield 方法 1.7 线程中断 1.8 理解线程上下文切换 1.9 线程死锁 1.10 守护线程与用户线程 1.11 ThreadLocal 第2 章 并发编程的其他基础知识 2.1 什么是多线程并发编程 2.2 为什么要进行多线程并发编程 2.3 Java 中的线程安全问题 2.4 Java 中共
Docker容器用戶映射
renhuailin的专栏
12-30 8208
Docker image的製作者可能會指定一個默認用戶,這樣可能會導致無法向運行時掛載的卷內寫數據。本文提供了兩種方法來解決此問題。
Docker用户总结
yiduyangyi的专栏
03-17 739
镜像构建时USER指令Dockerfile的USER指令,用来指定Dockerfile里某些指令运行的账户,官方解释如下: The USER instruction sets the user name or UID to use when running the image and for any RUN, CMD and ENTRYPOINT instructions that follow
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值