那些遇到过的问题

如何管理以非 root 用户运行的容器的绑定挂载所有权和权限?

Yan*_*ard 3 linux mount docker

我们在 RHEL 主机上使用 Red Hat 容器映像,全部基于其 ubi7 或 ubi8 映像,默认情况下以默认用户 (uid 1001) 运行。

当容器需要对主机目录进行写访问(即写入日志或临时文件)时,这会带来挑战,因为容器中保存了主机的UID和GID,并且容器写入的文件将归UID所有容器用户的。

据我所知,这给我留下了两个选择:

  1. 在我的主机上创建一个 UID 1001 的用户,并将该用户设置为已安装卷的所有者。这可能会带来问题,因为 UID 1001 是在主机上添加新用户时将使用的第一个 UID,其中 UID 不强制为特定内容。因此,如果容器需要部署在多个服务器上,而这些服务器可能具有或不具有相同的一致 UID 映射,则管理可能会很困难。然而,据我所知,这是唯一的方法,容器写入的文件的所有者(UID 1001)与主机上所需的用户匹配,并且主机上写入的文件的所有者与现有的 UID 匹配。容器。
  2. 将挂载的主机目录设置为全局可写,这会带来许多安全隐患,其中之一是主机上的任何用户都有权删除容器写入的文件。如果 UID 1001 已分配给主机上的另一个用户,这些文件也可能显示为由另一个用户拥有。

通常,我只会在容器映像内创建一个匹配的用户:组组合,在需要时重置所有权和权限并重建它,但对于红帽创建的映像,这意味着大量的跑腿工作,因为一切都是如此使用 UID 1001 运行,并且有许多脚本(container-entrypoint fix-permissions、generate-container-user)强制以这种方式运行。

我是否正确理解了一切,或者是否有另一种(更好的)方法来做到这一点?

Yan*_*ard 5

我刚刚想通了...Red Hat 镜像会自动将默认用户的 uid 更改为您使用generate-container-user脚本运行容器的任何内容,因此我只需要使用 USER 完成我的 Dockerfile ,或者运行与 --user 一起使用就可以了。

归档时间:

查看次数:

8630 次

最近记录:

5 年,9 月 前
相关归档
如何关闭 Linux 终端中的提示音? 24
如何将 Linux 软件 RAID 移动到新机器上? 23
是否可以隐藏lost+found? 18
如何安装旧的 PHP 版本 14
Linux / Unix 中每个用户的磁盘使用量 12
SSH 权限被拒绝 (publickey,gssapi-keyex,gssapi-with-mic) | 非root用户 8
无法在 Linux 上安装 Nginx 7
如何禁止非 UTF-8 文件名? 5
他们属于哪里?“ifconfig eth0 up”和“dhclient” 4
回收“df”说应该可用的空间 1
难疑归档
如何使用 bash shell 多次运行命令? 205
为什么不能使用 MAC 地址代替 IPv4|6 进行网络连接? 185
try_files 如何工作? 91
如何在不重启nginx的情况下使修改生效? 91
用于 IIS 监控的推荐 LogParser 查询? 86
如何获得差异以仅显示添加和删除的行?如果 diff 不能做到,什么工具可以? 85
如何在不重启的情况下重新加载默认的 Mac OSX 路由表 78
如何列出与使用 pip 或 easy_install 安装的 Python 包关联的文件? 76
如何从我的桌面通过远程服务器上的 ssh 命令启动屏幕会话? 63
负 DNS 缓存通常持续多长时间? 62