Docker用户总结

最新推荐文章于 2025-02-17 10:20:49 发布
最新推荐文章于 2025-02-17 10:20:49 发布
阅读量787 收藏
点赞数
分类专栏: docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yiduyangyi/article/details/62882483
版权

镜像构建时

USER指令

Dockerfile的USER指令,用来指定Dockerfile里某些指令运行的账户,官方解释如下:

The USER instruction sets the user name or UID to use when running the image and for any RUN, CMD and ENTRYPOINT instructions that follow it in the Dockerfile.

主要意思是说USER指令用来设定用户名或者uid,用以运行镜像,或者Dockerfile中紧随该指令之后的RUN/CMD/ENTRYPOINT。

如下Dockerfile,表示使用work账户运行后续的RUN/CMD/ENTRYPOINT指令,USER指令之前的依然使用之前设定的,或者基础镜像中设定的用户

FROM centos:latest
RUN mkdir /home/work/logdata
USER work
RUN echo "hello world"  > /home/work/logdata/a.log

注意下面几点

  • 默认使用root账户,也仅有root账户
  • 基础镜像里设定的账户可以继承,直到遇到下一条USER指令
  • 使用USER指令前,必须确保要设定的账户已经存在
  • 切忌在Dockerfile里频繁切换账户,会带来存储效率的损失

关于ADD/COPY到镜像里的文件

使用ADD、COPY指令添加到镜像里的文件,默认的owner和group都是root,且这两条指令必须使用root账户才能运行,故如果需要非root账户能够使用COPY、ADD进去的文件,则需要更改文件的owner,甚至group。

FROM centos:latest
RUN mkdir /home/work/logdata
COPY server.conf /home/work/server.conf
USER work
RUN echo "hello world"  > /home/work/logdata/a.log && \
    chown -R work:work /home/work/server.conf

容器运行时

如若在ENTRYPOINT中需要指定运行命令的用户,官方建议用gosu代替sudo可以避免某些信号处理上的边界条件。不过这些边界条件比较罕见。

官方给出了一个例子,如下所示

#!/bin/bash
set -e

if [ "$1" = 'postgres' ]; then
    chown -R postgres "$PGDATA"

    if [ -z "$(ls -A "$PGDATA")" ]; then
        gosu postgres initdb
    fi

    exec gosu postgres "$@"
fi

exec "$@"

上面的脚本中,docker run指定的命令会以postgres用户的身份执行。

镜像默认的ENTRYPOINT为/bin/sh -c,通过docker run或CMD指定的命令会作为ENTRYPOINT的参数执行。举个例子,docker run ubuntu:latest ls就是执行/bin/sh -c ls。有些时候我们需要指定ENTRYPOINT的值,比如换成自己的包装脚本。

为什么要用gosu,而不是sudo,主要sudo有两个缺点

  1. sudo会作为被授权的命令的父进程一直存在,直到该命令退出。
  2. sudo模式下的HOME环境变量仍是用sudo者原来的值。

参考资料

sudo or gosu
gosu-github

Docker(七):Docker基础总结篇--超详细
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!✨
09-07 5万+
🟢 Docker(七):Docker基础总结篇[docker3要素、docker安装配置、容器使用、镜像管理发布]
Docker 学习总结(85)—— docker cp 使用总结
科技D人生
01-20 403
在现代软件开发中,Docker已成为一种流行的容器化技术。无论是在开发、测试还是生产环境中,管理容器内的文件都是一项常见且重要的任务。本文将详细介绍如何使用 dockercp 命令在Docker容器与宿主机之间拷贝文件和目录,并结合一些实际使用场景,帮助您更高效地管理您的Docker容器。
Docker: USER 指定当前用户
热门推荐
Allan_shore_ma的博客
11-15 1万+
Docker: USER 指定当前用户 格式:USER <用户名> USER 指令和 WORKDIR 相似,都是改变环境状态并影响以后的层。WORKDIR 是改变工作目录,USER 则是改变之后层的执行 RUN, CMD 以及 ENTRYPOINT 这类命令的身份。 一、Docker 用户设置 当然,和 WORKDIR 一样,USER 只是帮助你切换到指定用户而已,这个用户必须是事先建...
docker 普通用户
PiggyGaGa的博客
04-08 1456
在服务器上运行docker 命令时,docker 默认的需要root权限,如果我们使用普通用户想要运行docker 命令可行吗?答案是 yes。 原理:docker 有权限执行docker 命令的用户必须是在docker用户组内的,也就是说,我们安装的时候是默认新建了一个docker 的group,因为安装的时候是以root权限安装的,所以docker 这个用户组里就有默认的 root 用户,...
Docker 安全基础:权限、用户、隔离机制
秋元的博客
02-17 1099
Docker 容器提供了。
linux用户隔离,隔离 Docker 容器中的用户
weixin_39641386的博客
04-28 817
笔者在前文《理解 docker 容器中的 uid 和 gid》介绍了 docker 容器中的用户与宿主机上用户的关系,得出的结论是:docker 默认没有隔离宿主机用户和容器中的用户。如果你已经了解了 Linux 的 user namespace 技术(参考《Linux Namespace : User》),那么自然会问:docker 为什么不利用 Linux user namespace 实现用...
Docker:普通用户运行 Docker 命令
KissedBySnow的博客
05-30 5640
以普通用户运行 docker 命令 将 sonar 用户添加到 docker 组 gpasswd -a sonar docker 重启 docker systemctl restart docker
用户添加到docker
X_T_X_的博客
02-21 2779
通过这个命令,您向其他用户授予了对Docker套接字的读写权限,这意味着其他用户可以通过该套接字与Docker守护进程进行通信,而不需要通过sudo命令获取root权限。因为只在当前会话有效,所以执行完该命令后,我们在当前终端中实行docker的命令,不需要添加sudo,但是如果打开一个新的终端,执行docker images还是会提示权限不足。上网查了资料,如何关闭了终端或者重新登录后,仍然可以不使用sudo执行docker命令,尝试了注销再次重新登录,重启虚拟机,都没有用。1.查看docker用户组。
Docker数据存储总结
09-30
2. 宿主机无关性:使用Volumes可以让用户不必关心宿主机上的文件系统和目录结构,Docker会管理这些细节,从而使得存储操作具有更好的跨平台性。 3. 数据备份和迁移:通过Volumes,可以方便地进行数据备份、恢复和...
项目总结(一)docker总结
文艺小少年的博客
04-30 317
本文主要介绍在docker的原理及使用
Docker总结
m0_65110757的博客
03-11 267
背景分析 现阶段的软件技术水平已经真正的进入到了云计算时代,我们的应用现在也正在逐步的部署到云端,部署到云端的服务需要相互隔离,让每个服务都运行在独立的容器中,而 Docker 正是当下最主流的容器化技术。 Docker概述 Docker是一个虚拟化平台( 官网https://www.docker.com/),基于 Google 公司的 Go 语言进行实现。可以通过虚拟化方式,为应用提供可运行的容器,容器之间可以相互隔离,独自运行。基于这种方式,我们可以更快地打包、部署和运...
Docker用户划分
NoteDing
12-30 1497
打开终端,然后输入此命令测试Docker是否正常运行 docker run hello-world 查看镜像 docker images 删除镜像 docker rmi hello-world 列出容器 docker ps -a 删除容器 docker rm hello-world ...
Docker查找docker组及用户
蜗牛
01-15 2613
每行以6个“:”分隔为7个部分,从左到右依次为用户的①名称②登录口令情况③用户ID④所属组ID⑤用户的全称等其它详细信息⑥用户的home目录⑦用户的默认登录shell。第四字段:用户列表,每个用户之间用逗号(,)号分割;如果字段为空表示用户组为GID的用户名;是docker组的成员。如果字段为空表示用户组为GID的用户名。这将输出docker组的信息,包括组名和组成员。第一字段:用户组名称;第二字段:用户组密码;
用户添加到docker组中
wanghan0526的博客
11-28 1021
将当前用户user-wh添加到docker组,以便在不使用sudo的情况下运行Docker命令。
docker授权普通用户
yxt625520的博客
10-19 1652
docker默认只能运行root用户使用,可以通过用户组将docker授权其他子用户使用
Docker 创建docker用户组,应用用户加入docker
segegefe的博客
04-30 2996
1. 创建docker用户组 sudo groupadd docker 2. 应用用户加入docker用户组 sudo usermod -aG docker ${USER} 3. 重启docker服务 sudo systemctl restart docker 4. 切换或者退出当前账户再从新登入 su root 切换到root用户 su ${USER} 再切换到原来的应用用户以上配置才生效 ...
Docker基础(0)docker用户创建和设置权限
wangleleb的博客
08-01 792
一般来说,在按照官网的方法步骤安装完成docker之后,会默认创建完成一个docker用户组,如果没有,那么则需要我们手动创建。
用户添加到docker组【普通用户使用docker命令时可以不用sudo】
u013250861的博客
06-23 847
可再次查看docker用户组,可以看到当前用户已经成功添加到docker用户组中。执行完该命令之后,就可以在当前终端中,不适用sudo执行docker相关命令了。${USER}就可以帮我们获取到当前登录的用户。2. 添加当前用户加入docker用户组。3.更新docker组的信息。1.查看docker
Docker创建用户设置权限和删除用户
The limits of your knowledge are the limits of your world
12-08 2149
Docker-mongo容器创建用户和删除用户
ubuntu docker用户
最新发布
03-15
<think>好的,我现在需要帮助用户了解如何在Ubuntu系统中通过Docker管理或配置用户相关的操作。首先,我得回忆一下Docker用户管理机制。记得Docker默认需要root权限,但直接使用root可能存在安全风险,所以通常建议将用户加入docker组来避免每次sudo。 接下来,用户的具体问题可能包括如何创建用户、如何配置非root用户使用Docker、如何在容器内管理用户,以及相关的权限问题。我需要分步骤来解答,确保结构清晰。 首先,安装Docker的部分可能用户已经完成,但为了全面性,应该简要提及安装步骤,并引用已有的参考资料,比如配置清华镜像源和添加GPG密钥的步骤。然后,重点放在用户配置上,比如将当前用户加入docker组,这样用户就可以不用sudo直接运行Docker命令了。需要注意提醒用户重新登录或重启服务使配置生效。 然后,处理容器内的用户权限。需要说明在Dockerfile中如何创建用户和组,避免使用root运行容器,这有助于增强安全性。例如,使用USER指令指定运行用户,或者通过docker run的--user参数指定用户ID和组ID。这里可能需要给出具体的命令示例,比如在Dockerfile中添加RUN useradd -u 1000 appuser这样的指令,或者在运行容器时使用--user 1000:1000。 另外,数据卷的权限问题也很重要。如果容器内用户和宿主机用户的UID不一致,可能会导致文件权限问题。需要指导用户如何确保两者的UID一致,比如在创建数据卷时指定用户ID,或者在Dockerfile中调整用户的UID。 还需要提到一些安全建议,比如避免在容器内使用root,定期审查用户权限等。同时,可能涉及到的常见问题,比如用户不在docker组导致的权限错误,或者容器内应用因权限不足无法写入文件,这些都需要在注意事项里提醒用户。 最后,生成相关问题,帮助用户进一步学习,比如非root用户运行Docker的方法、数据卷权限配置、Docker用户命名空间等。这些问题应该与当前主题相关,并且参考之前的引用资料。 整个过程中要确保使用正确的中文表达,LaTeX格式的行内公式如$...$和独立公式如$$...$$正确应用,但在这个问题中可能涉及到的数学公式较少,所以需要根据内容判断是否需要。例如,可能在某些配置参数中提到变量,但大部分内容可能不需要数学公式。 需要检查是否有引用标记,比如用户提供的引用[^1]、[^2]、[^3],在回答中适当的地方添加这些引用,例如在安装步骤中提到清华镜像源时引用[^2],在非root用户配置时引用[^1]。 可能还需要注意代码块的使用,比如给出具体的命令示例,如将用户加入docker组的sudo usermod -aG docker $USER,或者Dockerfile中的指令。这些代码块需要用反引号包裹,并标明语言类型如bash或dockerfile。 总结回答的结构:先介绍Docker用户管理机制,然后分步骤讲解如何在宿主机配置用户权限,容器内用户管理,数据卷权限处理,安全建议,注意事项,以及相关问题。确保每个部分都有明确的标题,使用列表和代码示例提高可读性。</think>### Ubuntu系统中Docker用户管理配置指南 #### 1. Docker用户权限机制 Docker默认需要`root`权限运行命令,但直接使用`root`存在安全风险。推荐将普通用户加入`docker`用户组,赋予其管理容器的权限。用户组机制通过UNIX socket权限实现,组内用户可访问`/var/run/docker.sock`。 #### 2. 宿主机用户配置 ```bash # 创建docker组(若不存在) sudo groupadd docker # 将当前用户加入docker组 sudo usermod -aG docker $USER # 更新组权限(需重新登录或执行) newgrp docker ``` 配置后用户可直接运行`docker ps`等命令,无需`sudo`前缀。可通过`groups`命令验证是否生效[^1]。 #### 3. 容器内用户管理 在Dockerfile中创建专用用户,避免以`root`运行容器: ```dockerfile FROM ubuntu:22.04 RUN groupadd -r appgroup && useradd -r -g appgroup appuser USER appuser # 指定运行用户 ``` 或运行时指定用户: ```bash docker run -it --user $(id -u):$(id -g) ubuntu bash ``` 此方法使用宿主机用户UID/GID,确保文件权限一致性[^3]。 #### 4. 数据卷权限配置 当容器需要访问宿主机目录时,需确保UID一致: ```bash # 创建数据目录并设置权限 mkdir -p /data/app chown -R 1000:1000 /data/app # 假设容器用户UID=1000 # 挂载时保持权限 docker run -v /data/app:/app ubuntu --user 1000:1000 ``` #### 5. 安全建议 - 定期审计`docker`组成员:`getent group docker` - 启用用户命名空间隔离:在`/etc/docker/daemon.json`中添加 ```json { "userns-remap": "default" } ``` - 避免在容器内运行特权操作:`--privileged`参数需谨慎使用 #### 6. 注意事项 1. 配置用户组后**必须重新登录**或执行`newgrp docker` 2. 容器内应用日志若提示`Permission denied`,检查用户UID/GID映射 3. 使用`docker info`可查看用户命名空间配置状态
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值