Docker用户总结

最新推荐文章于 2024-08-19 03:54:22 发布
最新推荐文章于 2024-08-19 03:54:22 发布
阅读量753 收藏
点赞数
分类专栏: docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yiduyangyi/article/details/62882483
版权

镜像构建时

USER指令

Dockerfile的USER指令,用来指定Dockerfile里某些指令运行的账户,官方解释如下:

The USER instruction sets the user name or UID to use when running the image and for any RUN, CMD and ENTRYPOINT instructions that follow it in the Dockerfile.

主要意思是说USER指令用来设定用户名或者uid,用以运行镜像,或者Dockerfile中紧随该指令之后的RUN/CMD/ENTRYPOINT。

如下Dockerfile,表示使用work账户运行后续的RUN/CMD/ENTRYPOINT指令,USER指令之前的依然使用之前设定的,或者基础镜像中设定的用户

FROM centos:latest
RUN mkdir /home/work/logdata
USER work
RUN echo "hello world"  > /home/work/logdata/a.log

注意下面几点

  • 默认使用root账户,也仅有root账户
  • 基础镜像里设定的账户可以继承,直到遇到下一条USER指令
  • 使用USER指令前,必须确保要设定的账户已经存在
  • 切忌在Dockerfile里频繁切换账户,会带来存储效率的损失

关于ADD/COPY到镜像里的文件

使用ADD、COPY指令添加到镜像里的文件,默认的owner和group都是root,且这两条指令必须使用root账户才能运行,故如果需要非root账户能够使用COPY、ADD进去的文件,则需要更改文件的owner,甚至group。

FROM centos:latest
RUN mkdir /home/work/logdata
COPY server.conf /home/work/server.conf
USER work
RUN echo "hello world"  > /home/work/logdata/a.log && \
    chown -R work:work /home/work/server.conf

容器运行时

如若在ENTRYPOINT中需要指定运行命令的用户,官方建议用gosu代替sudo可以避免某些信号处理上的边界条件。不过这些边界条件比较罕见。

官方给出了一个例子,如下所示

#!/bin/bash
set -e

if [ "$1" = 'postgres' ]; then
    chown -R postgres "$PGDATA"

    if [ -z "$(ls -A "$PGDATA")" ]; then
        gosu postgres initdb
    fi

    exec gosu postgres "$@"
fi

exec "$@"

上面的脚本中,docker run指定的命令会以postgres用户的身份执行。

镜像默认的ENTRYPOINT为/bin/sh -c,通过docker run或CMD指定的命令会作为ENTRYPOINT的参数执行。举个例子,docker run ubuntu:latest ls就是执行/bin/sh -c ls。有些时候我们需要指定ENTRYPOINT的值,比如换成自己的包装脚本。

为什么要用gosu,而不是sudo,主要sudo有两个缺点

  1. sudo会作为被授权的命令的父进程一直存在,直到该命令退出。
  2. sudo模式下的HOME环境变量仍是用sudo者原来的值。

参考资料

sudo or gosu
gosu-github

yiduyangyi
关注
专栏目录
Docker(七):Docker基础总结篇--超详细
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!这里是我记录技术心得、分享经验的地方。✨
09-07 4万+
🟢 Docker(七):Docker基础总结篇[docker3要素、docker安装配置、容器使用、镜像管理发布]
Docker 学习总结(74)—— Docker Swarm 全面总结
科技D人生
06-05 4044
Swarm 是 Docker 公司推出的用来管理 docker 集群的平台,几乎全部用 GO 语言来完成的开发的,代码开源在 https://github.com/docker/swarm;Docker Swarm 和 Docker Compose 一样,都是 Docker 官方容器编排项目,但不同的是,Docker Compose 是一个在单个服务器或主机上创建多个容器的工具,而 Docker Swarm 则可以在多个服务器或主机上创建容器集群服务,对于微服务的部署,显然 Docker Swarm 会更加
Docker: USER 指定当前用户
热门推荐
Allan_shore_ma的博客
11-15 1万+
Docker: USER 指定当前用户 格式:USER <用户名> USER 指令和 WORKDIR 相似,都是改变环境状态并影响以后的层。WORKDIR 是改变工作目录,USER 则是改变之后层的执行 RUN, CMD 以及 ENTRYPOINT 这类命令的身份。 一、Docker 用户设置 当然,和 WORKDIR 一样,USER 只是帮助你切换到指定用户而已,这个用户必须是事先建...
docker 普通用户
PiggyGaGa的博客
04-08 1416
在服务器上运行docker 命令时,docker 默认的需要root权限,如果我们使用普通用户想要运行docker 命令可行吗?答案是 yes。 原理:docker 有权限执行docker 命令的用户必须是在docker用户组内的,也就是说,我们安装的时候是默认新建了一个docker 的group,因为安装的时候是以root权限安装的,所以docker 这个用户组里就有默认的 root 用户,...
查看docker登录的账户
最新发布
weixin_35918198的博客
08-19 189
我整理的一些关于【Docker】的项目学习资料(附讲解~~)和大家一起分享、学习一下:https://d.51cto.com/xltfov查看 Docker 登录的账户 在使用 Docker 的过程中,有时我们可能需要查看当前登录的 Docker 账户信息。以下是实现这一目标的完整流程,本文将为您详细介绍每一步。 流程概...
linux用户隔离,隔离 Docker 容器中的用户
weixin_39641386的博客
04-28 741
笔者在前文《理解 docker 容器中的 uid 和 gid》介绍了 docker 容器中的用户与宿主机上用户的关系,得出的结论是:docker 默认没有隔离宿主机用户和容器中的用户。如果你已经了解了 Linux 的 user namespace 技术(参考《Linux Namespace : User》),那么自然会问:docker 为什么不利用 Linux user namespace 实现用...
Docker:普通用户运行 Docker 命令
KissedBySnow的博客
05-30 5585
以普通用户运行 docker 命令 将 sonar 用户添加到 docker 组 gpasswd -a sonar docker 重启 docker systemctl restart docker
用户添加到docker
X_T_X_的博客
02-21 2124
通过这个命令,您向其他用户授予了对Docker套接字的读写权限,这意味着其他用户可以通过该套接字与Docker守护进程进行通信,而不需要通过sudo命令获取root权限。因为只在当前会话有效,所以执行完该命令后,我们在当前终端中实行docker的命令,不需要添加sudo,但是如果打开一个新的终端,执行docker images还是会提示权限不足。上网查了资料,如何关闭了终端或者重新登录后,仍然可以不使用sudo执行docker命令,尝试了注销再次重新登录,重启虚拟机,都没有用。1.查看docker用户组。
Docker数据存储总结
09-30
2. 宿主机无关性:使用Volumes可以让用户不必关心宿主机上的文件系统和目录结构,Docker会管理这些细节,从而使得存储操作具有更好的跨平台性。 3. 数据备份和迁移:通过Volumes,可以方便地进行数据备份、恢复和...
Docker总结
m0_65110757的博客
03-11 239
背景分析 现阶段的软件技术水平已经真正的进入到了云计算时代,我们的应用现在也正在逐步的部署到云端,部署到云端的服务需要相互隔离,让每个服务都运行在独立的容器中,而 Docker 正是当下最主流的容器化技术。 Docker概述 Docker是一个虚拟化平台( 官网https://www.docker.com/),基于 Google 公司的 Go 语言进行实现。可以通过虚拟化方式,为应用提供可运行的容器,容器之间可以相互隔离,独自运行。基于这种方式,我们可以更快地打包、部署和运...
Docker实践总结
03-19 3304
Docker实践总结 Docker是一种新的技术,尽管它的发行日期已是好几年前。概括来说,Docker是一个开源的应用容器引擎,常被用来和虚拟机做对比,它让开发者可以打包他们的应用以及依赖包到一个可移植的镜像中,然后发布到任何流行的Linux或Windows机器上,也可以实现虚拟化。对的,虚拟机也可以实现这种需求,但装系统,装配置环境,占用内存大等缺点让Dockers大放光彩。当然,也有人对这种...
Docker用户划分
NoteDing
12-30 1471
打开终端,然后输入此命令测试Docker是否正常运行 docker run hello-world 查看镜像 docker images 删除镜像 docker rmi hello-world 列出容器 docker ps -a 删除容器 docker rm hello-world ...
Docker查找docker组及用户
蜗牛
01-15 1795
每行以6个“:”分隔为7个部分,从左到右依次为用户的①名称②登录口令情况③用户ID④所属组ID⑤用户的全称等其它详细信息⑥用户的home目录⑦用户的默认登录shell。第四字段:用户列表,每个用户之间用逗号(,)号分割;如果字段为空表示用户组为GID的用户名;是docker组的成员。如果字段为空表示用户组为GID的用户名。这将输出docker组的信息,包括组名和组成员。第一字段:用户组名称;第二字段:用户组密码;
docker授权普通用户
yxt625520的博客
10-19 1341
docker默认只能运行root用户使用,可以通过用户组将docker授权其他子用户使用
Docker 创建docker用户组,应用用户加入docker
segegefe的博客
04-30 2919
1. 创建docker用户组 sudo groupadd docker 2. 应用用户加入docker用户组 sudo usermod -aG docker ${USER} 3. 重启docker服务 sudo systemctl restart docker 4. 切换或者退出当前账户再从新登入 su root 切换到root用户 su ${USER} 再切换到原来的应用用户以上配置才生效 ...
Docker基础(0)docker用户创建和设置权限
wangleleb的博客
08-01 368
一般来说,在按照官网的方法步骤安装完成docker之后,会默认创建完成一个docker用户组,如果没有,那么则需要我们手动创建。
用户添加到docker组【普通用户使用docker命令时可以不用sudo】
u013250861的博客
06-23 524
可再次查看docker用户组,可以看到当前用户已经成功添加到docker用户组中。执行完该命令之后,就可以在当前终端中,不适用sudo执行docker相关命令了。${USER}就可以帮我们获取到当前登录的用户。2. 添加当前用户加入docker用户组。3.更新docker组的信息。1.查看docker
Docker创建用户设置权限和删除用户
The limits of your knowledge are the limits of your world
12-08 2036
Docker-mongo容器创建用户和删除用户
docker使用
weixin_42152531的博客
09-28 753
docker使用使用docker的user-remap功能在宿主机上创建一个普通用户查看宿主机上的所有用户信息确保宿主机上的subuid和subgid中有信息检查宿主机上是否启用了命名空间隔离修改daemon.json文件重启docker查看docker工作目录的权限归属修改新用户的工作目录所有权 使用docker的user-remap功能 user-remap功能是将宿主机上的指定用户,映射到docker容器内部的root用户。 如果是要root映射到root,则不需要使用user-remap功能。只要没
个人总结Docker常用命令与安装教程
本文档是一份个人在IT工作中积累的关于Docker常用命令和操作的总结,主要针对的是那些在日常开发、部署和管理Docker容器时可能会用到的关键命令。Docker是一个流行的容器化平台,它通过轻量级的虚拟化技术将应用程序...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值