Podman 创建容器时挂载目录权限处理

已于 2022-05-30 02:01:07 修改
阅读量4.8k 收藏 4
点赞数 1
分类专栏: 码农日志 文章标签: oracle 数据库 linux 容器 docker
于 2022-05-29 16:38:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44817260/article/details/125032169
版权
本文分享了在非root用户环境下使用Podman部署Oracle容器时遇到的挂载目录权限问题及解决方案,包括调整目录所有者和组以确保容器正常运行。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Podman 创建容器时挂载目录权限处理


最近使用 podman 在服务器非 root 用户下部署 oracle 容器时,遇到挂载目录的权限问题,一番折腾后终于解决了,这里记录一下,给有需要的朋友。

操作环境介绍

# 因 CentOS 8 不再维护,所以用 AlmaLinux 替代,基本和 CentOS 差别不大
uname -a
Linux localhost.localdomain 5.14.0-70.13.1.el9_0.x86_64 #1 SMP PREEMPT Tue May 17 15:53:11 EDT 2022 x86_64 x86_64 x86_64 GNU/Linux
cat /etc/almalinux-release
AlmaLinux release 9.0 (Emerald Puma)
# 镜像用的是以前用 docker 根据 oracle 官方提供的镜像工具制作的
podman images
REPOSITORY                                                TAG               IMAGE ID      CREATED        SIZE
registry.cn-hangzhou.aliyuncs.com/***/oracle_database  19.3.0-ee         30aa1e17e6ad  14 months ago  6.72 GB

未设置挂载目录属主和属组时的容器异常日志

...
Prepare for db operation
Cannot create directory "/opt/oracle/oradata/ORCLCDB".
8% complete
Copying database files
...
SQL> Disconnected from Oracle Database 19c Enterprise Edition Release 19.0.0.0.0 - Production
Version 19.3.0.0.0
mkdir: cannot create directory '/opt/oracle/oradata/dbconfig': Permission denied
mv: cannot stat '/opt/oracle/product/19c/dbhome_1/dbs/spfileORCLCDB.ora': No such file or directory
mv: cannot stat '/opt/oracle/product/19c/dbhome_1/dbs/orapwORCLCDB': No such file or directory
mv: cannot move '/opt/oracle/product/19c/dbhome_1/network/admin/sqlnet.ora' to '/opt/oracle/oradata/dbconfig/ORCLCDB/': No such file or directory
mv: cannot move '/opt/oracle/product/19c/dbhome_1/network/admin/listener.ora' to '/opt/oracle/oradata/dbconfig/ORCLCDB/': No such file or directory
mv: cannot move '/opt/oracle/product/19c/dbhome_1/network/admin/tnsnames.ora' to '/opt/oracle/oradata/dbconfig/ORCLCDB/': No such file or directory
mv: cannot move '/opt/oracle/product/19c/dbhome_1/install/.docker_enterprise' to '/opt/oracle/oradata/dbconfig/ORCLCDB/': No such file or directory
cp: cannot create regular file '/opt/oracle/oradata/dbconfig/ORCLCDB/': No such file or directory
...

设置主机挂载目录的属主和属组

假设要挂载的主机目录为:/home/admin/oracle/oradata
PS:注意 podman run 时加上 --privileged=true,提升容器中用户权限

# 方案一
# 临时 run 一个容器,在挂载点随便创建一个文件
podman run --rm --privileged=true -v /tmp:/tmp registry.cn-hangzhou.aliyuncs.com/***/oracle_database:19.3.0-ee /bin/bash -c "touch /tmp/tmp.txt"
# 查看容器创建的文件属主和属组
ll /tmp
-rw-r--r--. 1 154320 154320 0  529 15:52 tmp.txt
# 修改挂载目录属主和属组为上面 tmp.txt 的属主和属组
sudo chown 154320:154320 /home/admin/oracle/oradata

# 方案二(支持 rootless 的主机上可用)
# 根据 Podman rootless 容器用户映射实现规则,可通过容器内用户 uid/gid 计算出映射的主机 uid/gid
# 确认 OS 是否开启 user namespace 功能(user.max_user_namespaces 参数值大于 0)
sudo sysctl -a | grep user\.max_user_namespaces
user.max_user_namespaces = 30393
# 查看主机用户的 subuid/subgid 映射范围
cat /etc/subuid
admin:100000:65536
cat /etc/subgid
admin:100000:65536
# 第1个参数是用户名,第2个参数是映射起始,第3个参数是最大映射个数
# 如上 admin 用户,映射范围是 100000 ~ 165535
# 查看容器中用户 uid/gid
podman run --rm -t registry.cn-hangzhou.aliyuncs.com/***/oracle_database:19.3.0-ee id
uid=54321(oracle) gid=54321(oinstall) groups=54321(oinstall),54322(dba),54323(oper),54324(backupdba),54325(dgdba),54326(kmdba),54330(racdba)
# 容器中用户 uid/gid 映射到主机 uid/gid 的计算方式就是:(容器用户 uid/gid) - 1 + (主机用户 subuid/subgid 映射起始值)
# 上例中,容器中 oracle 用户 uid 映射到主机的 uid 等于:54321 - 1 + 100000 = 154320
# 上例中,容器中 dba 用户组 gid 映射到主机的 gid 等于:54322 - 1 + 100000 = 154321
# 所以设置挂载目录属主属组命令如下(oracle 数据目录属主属组一般为 oracle:dba)
sudo chown 154320:154321 /home/admin/oracle/oradata

PS:方案二参考文章 https://blog.csdn.net/alex_yangchuansheng/article/details/123195931

再次创建容器进行验证

podman run -d --name oracle --shm-size=1g -p 1521:1521 -p 5500:5500 -e ORACLE_SID=ORCLCDB \
-e ORACLE_PDB=ORCLPDB -e ORACLE_PWD=xxx -e ORACLE_CHARACTERSET=AL32UTF8 \
-v /home/admin/oracle/oradata:/opt/oracle/oradata --privileged=true registry.xxx/oracle_database:19.3.0-ee

查看容器日志,未见目录权限异常,数据库创建成功!

podman logs -f oracle
----------------------------
SQL> 
PL/SQL procedure successfully completed.

SQL> Disconnected from Oracle Database 19c Enterprise Edition Release 19.0.0.0.0 - Production
Version 19.3.0.0.0
The Oracle base remains unchanged with value /opt/oracle
#########################
DATABASE IS READY TO USE!
#########################
The following output is now a tail of the alert.log:
ORCLPDB(3):Completed: ALTER DATABASE DEFAULT TABLESPACE "USERS"
2022-05-29T16:13:18.854046+08:00
ALTER SYSTEM SET control_files='/opt/oracle/oradata/ORCLCDB/control01.ctl' SCOPE=SPFILE;
2022-05-29T16:13:18.856804+08:00
ALTER SYSTEM SET local_listener='' SCOPE=BOTH;
   ALTER PLUGGABLE DATABASE ORCLPDB SAVE STATE
Completed:    ALTER PLUGGABLE DATABASE ORCLPDB SAVE STATE
2022-05-29T16:13:18.940577+08:00

XDB initialized.
解决容器挂载数据无法访问的问题
SchRHT Blog
06-18 3838
现象 通过PodmanDocker运行容器后,在容器内访问数据被拒绝。 $ mkdir -p /tmp/test $ podman run -itd --name test -v /tmp/test/:/test:rw fedora:28 /bin/bash $ podman exec test ls /test ls: cannot open directory '/test': Permi...
Podman 运行redis 报错
最新发布
养牛娃学编程的博客
03-14 531
此外,可以使用 getenforce 命令查看当前 SELinux 模式,使用 setenforce 命令在 Enforcing 和 Permissive 模式之间切换,使用 sestatus 命令查看 SELinux 的详细状态。SELinux 的配置文件位于 /etc/selinux/config,可以通过编辑该文件来设置 SELinux 的工作模式和策略类型。通过了解和配置 SELinux 的三种工作模式,可以根据实际需求选择合适的安全级别,确保系统的安全性和稳定性。SELinux 模式。
docker目录映射加z或Z标签是什么含义呢?
Happywzy~的博客
11-10 5047
配置selinux标签 如果使用selinux,则可以添加z或Z选项来修改要装入容器的主机文件或目录的selinux标签。这会影响主机本身上的文件或目录,并可能导致超出Docker范围的后果。 该z选项指示绑定安装内容在多个容器之间共享。 该Z选项指示绑定安装内容是私有的且未共享。 这些选项请格外小心。绑定安装系统目录(例如/home或/usr带有该Z选项)会使主机无法操作,并且您可能需要手动重新标记主机文件。 重要说明:将绑定安装与服务一起使用,selinux标签(:Z和:z)以及将:ro被忽略。
你的Docker容器或者K8SPOD挂载还在提示没有权限
qq_27081681的博客
06-07 578
容器中的权限问题,一定要看说不定就能解决你的问题
Podman权限问题导致的403报错思路与解决
connora的专栏
08-03 907
podman运行镜像,端口映射、映射无误,但在运行访问测试容器内http接口报错403.查阅系统日志,存在多处容器相关的selinux访问被拒绝错误,sealert提示需要为几个进程的对象添加临规则。考虑是否为selinux问题,禁用se后解决,启用se后复现。容器运行增加--pivileged选项也可正常运行无报错。
centos 7安装podman(类似docker)
justlpf的专栏
02-27 3420
无守护、开源的 Linux 本地工具使用 open Containers Initiative (OCI) 让容器和镜像更加方便地查找、运行、构建、共享和部署应用程序Podman 依赖于符合 OCI 的容器运行(runc、cron、runv等) 来与操作系统交互并创建运行的容器。参考一、yum安装(版本低)1.1 安装命令1.2 支持的命令1.3 镜像地址修改当前问题-连不上源网站搜索可以,下载不行。可能是版本太低1.4 卸载二、源码安装centos 7 支持最高版本为 3.4.4。
podman案例:通过容器,普通用户生成系统服务,并有权限进行管理
云梦归遥【qq_45834685】
11-04 1253
podman案例:通过容器,普通用户掌握管理服务的权利 1.准备环境:RHEL8.3系统或更高级别的系统(RHEL8.2其实就已经支持了,但是对于服务的开机自启支持不好) 本次实验目的是通过普通用户,也可以拥有掌控服务的权利,而不需要切换为root用户或得到sudo授权。 得益于podman的这一特性,容器也可以晋升为服务单元,并且可以实现开机容器自启,关机容器自动销毁,管理起来和root管理系统服务的感受一模一样。 我现在使用的是RHEL8.3 务必注意:请使用普通用户以SSH形式远程登录系统,否则中途
Docker创建容器目录权限踩坑
09-29
在使用Docker创建容器,可能会遇到目录权限的问题。这主要是由于Linux系统的权限控制与Docker容器权限机制存在差异。在本文中,我们将详细解析在创建容器遇到的目录权限问题,并提供相应的解决方案。 首先,...
容器指定挂载目录后如何更改挂载目录
QianLiStudent的博客
07-06 1994
介绍       容器中的挂载点在挂载了宿主机上的某个挂载目录之后,有候会需要更改挂载目录,但是通过命令却无法直接更改容器挂载目录,这种情况下该怎么做?下面将简单介绍网上流行的3种方式来实现更改容器挂载目录。 流程 方法一:直接修改容器的配置文件(以Linux系统为例)        在/var/lib/docker/containers/容器ID/config.v2.json配置文
docker-compose挂载目录权限问题
w6a19af1c- -11ef-83d7-7b3723a85fa1的部落格
02-21 4966
容器使用非root用户运行 挂载目录容器中用户id不一致 容器内权读取挂载目录中的文件 docker-compose.yml 配置 注意user为tomcat 挂载目录./prop version: '2' services: app-batch: container_name: app-batch-1 image: 'tomcat:8.5-jdk8' user: tomcat restart: always ...
容器挂载(数据挂载/宿主机目录挂载
qq_44492067的博客
04-27 789
如何实现nginx容器目录与宿主机文件目录自动双向映射? 如何基于宿主机目录实现mysql数据目录、配置文件、初始化脚本的挂载
docker容器挂载宿主主机目录的操作方法
09-30
- **安全风险**:直接暴露宿主机目录容器可能会引入安全风险,特别是当容器运行不受信任的代码。最好只挂载必要的目录,并限制容器对宿主机其他部分的访问。 总的来说,挂载宿主主机目录Docker中一个强大的...
Podman - 以 rootless 方式运行 podman
多恩斯基的博客
11-23 1408
当在 CentOS 或 RHEL 上使用非 root 用户运行 podman 操作 Image 的候,可能会遇到 **“there might not be enough IDs available in the namespace**” 的问题而无法运行容器镜像。该问题是由于 rootless 用户使用的 uid 和 gid 范围不能和 root 的冲突,而且如果有多个 rootless 用户,每个 rootless 用户的也不能冲突。
podman 无根用户分配系统CPU、内存等系统资源,提示cgroup相关权限不足
m0_59644956的博客
10-21 657
podman 无根用户 分配系统 CPU 资源报错 OCI runtime error: crun: the requested cgroup controller `cpu` is not available
podman详解
weixin_38650077的博客
02-04 2087
Podman 是一个开源项目,用于开发、管理和运行容器容器镜像。它与 Docker 非常相似,但有一些关键的不同之处。:不同于 DockerPodman 不需要运行一个永久的守护进程。这使得 Podman 更符合 “一个进程,一个容器” 的哲学,也减少了潜在的安全风险。:Podman 可以允许非 root 用户运行容器。这意味着你不需要 root 权限或使用 sudo 命令就可以运行 Podman
无根用户管理podman及无根用户管理
George的博客
08-17 515
无根用户管理podman及无根用户管理
容器入门(2) - podman
多恩斯基的博客
07-04 4717
文章目录Podman配置文件查询镜像pull/push 镜像运行容器查看一般信息DockerDocker Daemon配置文件查询镜像pull/push 镜像查看一般信息 Podman 配置文件 Podman使用了/etc/containers/registries.conf文件定义其所用到的Registry配置。 查询镜像 podman默认是搜索/etc/containers/registries.conf文件中registries.search中配置注册表。 查询“docker.io/busybox”
容器Podman详解
天涯的浪子
01-02 1278
在使用者方面,podmandocker的命令基本兼容,都包括容器运行(run/start/kill/ps/inspect),本地镜像(images/rmi/build)、镜像仓库(login/pull/push)等几个方面。在podman体系中,有个称之为common的守护进程,其运行路径通常是/usr/libexec/podman/conmon,它是各个容器进程的父进程,每个容器各有一个,common的父则通常是1号进程。在使用方面,可以分成两个方面来说,一是系统构建者的角度,二是使用者的角度。
实践笔记:podman容器化实现centos-9-stream本地镜像站(可自动同步)
不吃鱼的猫
06-23 1282
为什么会有这个笔记,因为前两天我去朋友公司参观(去听吹牛),发现他们给实习生实操题目中有这么几个题目:1、如何把ISO文件在本地建立镜像源2、如何本地建立一个centos镜像站3、如果在多个不同容器设备中同步数据看了题目以后我有一种回到二十年前的感觉,我就问我朋友,你为什么不把三个题目合并在一起出个题目:如何使用podman将centos的 ISO本地源部署成Web镜像站,然后实现所有podman容器数据更新同步化?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值