解决 Docker 数据卷挂载的文件权限问题

最新推荐文章于 2024-08-16 09:37:30 发布
最新推荐文章于 2024-08-16 09:37:30 发布
阅读量1.1w 收藏 19
点赞数 12
文章标签: docker 后端 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42445065/article/details/117968263
版权
"博客探讨了Docker在启动时如何根据Dockerfile指定的USER运行程序,若未指定则默认以ROOT启动。由于docker用户与宿主机用户共享userid,这可能导致文件权限问题。解决方案是在运行docker时使用`-u${USER}
摘要由CSDN通过智能技术生成

Docker在启动的时候,会根据Docker File 里的USER运行程序。
如果没有指定,会默认以ROOT进行启动。

注意到,在文件权限层面,docker 的用户、用户组是与宿主机相通的,虽然名字可能不一样,但共用一个userid。

如果深究原因,就要讨论到 linux 的空间隔离原理了,偏题太远。我们可以简单的这么理解:Linux的文件存储结构里,文件内容+文件属性(包括它的权限)是在一块儿的。docker产生的文件,“宿主机” 在同一操作系统的前提下,自然能无缝识别。

也就是说,docker默认的root,id是1,那么对应的就是宿主机的root(userid 也是 1)
如果 docker的默认用户是 new_user,id是1001,那么对应到的就是宿主机的 1001号用户,是哪位并不知道,不一定叫new_user。

假设是以ROOT启动的,那么在程序运行的过程中,我们挂载盘符之后,产生的一些中间文件的权限在宿主机看来就是id为1的用户的,也就是本机的ROOT的。

而一般我们基本不可能直接用root来操作docker,这样产生的文件我们都是无权限操作的,显然不能接受。

有什么办法修改呢?

有。

只要在 docker run 时,使用 -u ${USER} 来绑定用户就好。这样docker容器内部,就会用这个用户来启动默认进程了。

不过这个指令的使用有一个误区,如果 ${USER} 使用的是用户名,而docker容器里并没有预先初始化好这个用户,就会出现用户找不到的情况:

docker: Error response from daemon: unable to find user publisher: no matching entries in passwd file.

这时候用 userid 就可以了。这样docker容器就不会去解析用户名,得到userid,再对文件进行操作。

总结一下:

如果是使用外部正在登录的用户来对docker进行操作,那么用 -u userid 来进行,比如:

docker run --user $(id -u) --name mongo mongo

光是这样其实还不够,最好带上组信息,这样权限才是100%还原启动者的。

docker run --user $(id -u):$(id -g) --name mongo mongo

如果是使用特定的、docker容器里面的角色(比如jenkins),那么用 -u username 来进行,比如:

docker run --user ${DOCKER_USER} --name mongo mongo
natsusao
关注
【搬砖心得】Docker容器挂载目录的用户权限问题
翻山越岭的那一边
10-30 9203
问题 docker容器挂载目录下部分文件,在容器外没有权限进行移动删除等操作。 原因 docker容器内与服务器共享同一个linux内核,验证权限时只认uid和gid(相关知识参照https://www.jianshu.com/p/5cca9ab67461),所以不管用户名是什么,对一个特定文件的所有者,容器内外都是只认相应的uid的。 启动docker容器时如果不指定用户,则会默认为root用户,如果在容器内对挂载目录下的文件进行了操作,则相应文件的所有者就会升级为root,在容器外如果只有非root用户
浅谈Docker 容器数据挂载小结
09-30
本篇文章主要介绍了浅谈Docker 容器数据挂载小结,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
docker 挂在目录权限
weixin_40440711的博客
08-01 74
给大家整理了一些有关【Docker】的项目学习资料(附讲解~~):https://edu.51cto.com/course/32956.htmlhttps://edu.51cto.com/course/19783.htmlDocker 挂载目录权限的实现 在使用 Docker 时,挂载本地目录到容器的操作经常是很多开发...
谈谈 Docker Volume 之权限管理(一)
weixin_33757911的博客
06-05 528
Volume数据Docker的一个重要概念。数据是可供一个或多个容器使用的特殊目录,可以为容器应用存储提供有价值的特性: 持久化数据与容器的生命周期解耦:在容器删除之后数据中的内容可以保持。Docker 1.9之后引进的named volume(命名文件)可以更加方便地管理数据的生命周期;数据可以被独立地创建和删除。 数据可以用于实现...
Docker -v 对挂载目录没有权限 Permission denied
热门推荐
徐海兴的专栏
07-13 3万+
情况描述 今天在使用 docker run -d -p 9091:8080 -v /home/xuhaixing/docker/tomcat/webapps/:/usr/local/tomcat/webapps/ --name managertomcat xuhaixing/mytomcat 挂载路径后,进入容器 root@08066d03a043:/usr/local/tomcat#...
docker挂载目录权限问题
m0_61843855的博客
09-12 1320
虽然是root身份进入docker但是依然有些权限是没有的!
CentOS7中Docker文件挂载权限
Cecil 的专栏
07-18 2846
【转自oschina.net,作者runescape,微改】 在CentOS7中,挂载的本地目录在容器中没有执行权限,原因是CentOS7安全模块selinux把权限禁掉了,至少有以下三种方式解决挂载目录没有权限问题: 1,在运行容器的时候,给容器加特权: 示例:docker run -i -t --privileged=true -v /docker/data1:/data --nam...
/etc/group
Ahead_J的博客
12-21 1515
linux /etc/group文件是系统管理员对用户和用户组进行管理的文件,里面存放了所有用户组的信息。具有共同特征的用户集合起来就是用户组。用户组配置文件主要有 /etc/group和/etc/gshadow,其中/etc/gshadow是/etc/group的加密信息文件。 打开etc/group文件,如下所示: root@iZuf6ic9ggky8ivrx52hxvZ:~# cat ...
docker容器中配置挂载目录权限
卡卡的博客
08-17 2万+
在lamp容器中运行某ying应用,但是提示目录权限问题,又不能每次手动进入容器中修改,于是便找到了下边这篇文章:http://note.qidong.name/2018/01/docker-volume-permission/ 即定制ENTRYPOINT自动修改Docker中volume的权限 build成功后运行报错: docker: Error response from daemo...
Docker数据挂载目录权限问题
程序员无羡的博客
04-21 756
Docker数据挂载目录权限问题
docker-compose挂载目录权限问题
windowsxp的部落格
02-21 4646
容器使用非root用户运行 挂载目录与容器中用户id不一致 容器内权读取挂载目录中的文件 docker-compose.yml 配置 注意user为tomcat 挂载目录./prop version: '2' services: app-batch: container_name: app-batch-1 image: 'tomcat:8.5-jdk8' user: tomcat restart: always ...
Docker 数据权限实例详解
09-30
这些方法可以帮助你在保持安全性的前提下解决Docker数据权限问题。选择哪种方法取决于你的具体需求和安全策略。理想情况下,尽量避免使用`--privileged`,因为它会授予容器过多的权限,而修改SELinux规则则能提供...
Docker数据目录挂载
tfzz12的博客
02-16 2万+
1.什么是数据 容器之间可以有一个数据共享的技术!Docker容器中产生的数据,同步到本地! 容器的持久化和同步操作!容器间也是可以数据共享的! 2.使用数据 验证 docker inspect 容器id或容器名 方式一:直接使用命令挂载 -v -v 主机目录:容器内目录 docker run -it -v 主机目录1:容器内目录1 -v 主机目录2:容器内目录2 示例 -d 后台运行 -p 端口映射 -v 挂载 -e 环境配置 -- name 容器名字 .
docker部署redis并挂载数据
weixin_44290530的博客
01-16 2308
docker部署redis并挂载数据 1、创建目录和配置文件redis.conf mkdir /docker mkdir /docker/redis mkdir /docker/redis/conf mkdir /docker/redis/data 创建redis.conf配置文件 touch /docker/redis/conf/redis.conf redis.conf文件内容自行添加: 切记注释掉:#daemonize yes 否则无法启动容器 重要话说三遍:注释掉#daemonize ye
OMG!docker映射出来的文件权限
m0_56255097的博客
07-30 661
一面: 阿里巴巴面试答案文末可以领取! 1. 触发新生代GC,如果存活对象总量大于survivor区容量,咋办 2. 如果任务很多,线程池的阻塞队列会撑爆内存的哪个区域 3. 栈在堆上吗 4. GC root有哪些 5. 实例变量可以是GC root吗 6. 了解哪些GC算法,介绍一下 7. 给个场景,问怎么设置JVM参数 8. 问了很多SQL调优,各种语句能不能命中索引,能命中哪些,怎么优化 9. MySQL的一张表里有三个字段ABC,A的种类有1000种,B有1W种,C有10W种,ABC的联合索引怎么设
docker 挂载目录提示没有权限
weixin_34269583的博客
06-21 669
每日记录: docker logs 容器 提示挂载目录没有权限。运行容器时添加--privileged=true 转载于:https://www.cnblogs.com/zhaxiong/p/9207982.html
dockerfile VOLUME 挂载目录权限不够
weixin_42131443的博客
06-28 133
Docker相关视频讲解:什么是容器Docker介绍如何实现“dockerfile VOLUME 挂载目录权限不够” 流程图 #render_6_41156284-svg{font-family:"trebuchet ms",verdana,arial,sans-serif;font-size:16px;fill:#3...
docker挂载目录权限拒绝 解决方法
Code Farmer的博客
01-03 6648
123
docker compose 执行挂在目录存在权限问题
最新发布
weixin_41496319的博客
08-16 118
我整理的一些关于【Docker】的项目学习资料(附讲解~~)和大家一起分享、学习一下:https://d.51cto.com/f2PFnN使用 Docker Compose 处理挂载目录权限问题 Docker Compose 是一个用于定义和运行多容器 Docker 应用程序的工具。使用 Docker Compose,...
docker 进入容器后挂载的文件无权限
07-28
回答: 当使用docker进入容器后,挂载的文件可能会出现无权限的情况。这是因为默认情况下,docker容器是不允许挂载文件系统的。为了解决这个问题,可以使用nsenter工具来操作容器。通过nsenter,我们可以在docker容器中执行任意的命令,获取root权限,而不受到安全限制的干扰。这样就可以解决挂载文件无权限问题。\[1\] 另外,当在容器内部创建或修改文件时,可能会提示没有权限的错误。这是因为容器内部的文件系统权限限制。为了解决这个问题,可以在运行容器时使用docker命令的-v参数,允许容器内文件与宿主机之间进行双向映射。这样可以修改文件时不需要进入容器内部,直接在宿主机上进行修改。同时,这也可以实现数据的持久化,避免容器删除后数据丢失的情况。以Nginx为例,可以使用-v参数来进行文件映射。\[2\]\[3\] #### 引用[.reference_title] - *1* [Docker应用教程-挂载运行中的docker容器中挂载文件系统](https://blog.csdn.net/weixin_36473855/article/details/112015325)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [docker挂载目录,容器无操纵权限](https://blog.csdn.net/weixin_42181179/article/details/128650146)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [一起学DockerDocker容器文件的挂载方法一](https://blog.csdn.net/ren365880/article/details/123858745)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值