use*_*011 249 directory mount file-permissions permission-denied docker
简而言之:我正在尝试在Docker中安装主机目录,但是我无法从容器内访问它,即使访问权限看起来很好.
细节:
我在做
sudo docker run -i -v /data1/Downloads:/Downloads ubuntu bash
然后
ls -al
它给了我:
total 8892
drwxr-xr-x. 23 root root 4096 Jun 18 14:34 .
drwxr-xr-x. 23 root root 4096 Jun 18 14:34 ..
-rwxr-xr-x. 1 root root 0 Jun 18 14:34 .dockerenv
-rwx------. 1 root root 9014486 Jun 17 22:09 .dockerinit
drwxrwxr-x. 18 1000 1000 12288 Jun 16 11:40 Downloads
drwxr-xr-x. 2 root root 4096 Jan 29 18:10 bin
drwxr-xr-x. 2 root root 4096 Apr 19 2012 boot
drwxr-xr-x. 4 root root 340 Jun 18 14:34 dev
drwxr-xr-x. 56 root root 4096 Jun 18 14:34 etc
drwxr-xr-x. 2 root root 4096 Apr 19 2012 home
还有更多这样的线(我认为这是相关部分).
如果我做
cd /Downloads
ls
结果是
ls: cannot open directory .: Permission denied
主机是Fedora 20,Docker 1.0.0和go1.2.2.
出了什么问题?
小智 243
这是一个selinux问题.
你可以暂时发出
su -c "setenforce 0"
在主机上访问或者通过运行添加selinux规则
chcon -Rt svirt_sandbox_file_t /path/to/volume
gre*_*ift 240
有关完整故事,请参阅有关Volumes和SELinux的Project Atomic博客文章.
特别:
由于Docker最终合并了一个将在docker-1.7中出现的补丁(我们一直在RHEL,CentOS和Fedora上的docker-1.6中运行补丁),最近这变得容易了.
此补丁添加了对"z"和"Z"的支持,作为卷安装(-v)上的选项.
例如:
Run Code Online (Sandbox Code Playgroud)docker run -v /var/db:/var/db:z rhel7 /bin/sh将自动执行
chcon -Rt svirt_sandbox_file_t /var/db手册页中描述的内容.更好的是,你可以使用Z.
Run Code Online (Sandbox Code Playgroud)docker run -v /var/db:/var/db:Z rhel7 /bin/sh这将使用容器将运行的确切MCS标签标记容器内的内容,基本上它
chcon -Rt svirt_sandbox_file_t -l s0:c1,c2 /var/db在s0:c1,c2每个容器的不同位置运行.
Joh*_*ips 68
警告:此解决方案存在安全风险.
尝试以特权运行容器:
sudo docker run --privileged=true -i -v /data1/Downloads:/Downloads ubuntu bash
另一个选项(我还没试过)是创建一个特权容器,然后在其中创建非特权容器.
Tho*_*as8 29
来自access.redhat.com:Sharing_Data_Across_Containers:
主机卷设置不可移植,因为它们与主机相关,可能无法在任何其他计算机上运行.因此,没有Dockerfile等效于将主机目录挂载到容器.另外,请注意主机系统不了解容器SELinux策略.因此,如果强制执行SELinux策略,则无论rw设置如何,装入的主机目录都不可写入容器.目前,您可以通过将正确的SELinux策略类型分配给主机目录来解决此问题:"
chcon -Rt svirt_sandbox_file_t host_dir其中host_dir是安装到容器的主机系统上的目录的路径.
它似乎只是一种解决方法,但我尝试了它的工作原理
BMi*_*tch 28
通常,主机卷装入的权限问题是因为根据主机上文件的uid / gid权限,容器内的uid / gid无法访问该文件。但是,此特定情况不同。
许可权字符串末尾的点drwxr-xr-x.表示已配置SELinux。与SELinux一起使用主机安装时,需要在卷定义的末尾传递一个额外的选项:
- 该
z选项指示绑定安装内容在多个容器之间共享。- 该
Z选项指示绑定安装内容是私有的且未共享。
您的volume mount命令将如下所示:
sudo docker run -i -v /data1/Downloads:/Downloads:z ubuntu bash
在以下网址查看有关使用SELinux进行主机安装的更多信息:https : //docs.docker.com/storage/#configure-the-selinux-label
对于其他看到以其他用户身份运行容器的问题,您需要确保容器内用户的uid / gid有权访问主机上的文件。在生产服务器上,这通常是通过控制映像构建过程中的uid / gid来匹配具有访问文件权限的主机上的uid / gid来完成的(甚至更好的是,不要在生产环境中使用主机挂载)。
主机挂载通常首选命名卷,因为命名卷将从映像目录初始化卷目录,包括所有文件所有权和权限。当卷为空并且使用命名卷创建容器时,会发生这种情况。
MacOS用户现在拥有OSXFS,它可以在Mac主机和容器之间自动处理uid / gid。其中一个无济于事的地方是嵌入式VM内的文件已挂载到容器中,例如/var/lib/docker.sock。
对于每个开发人员可能更改主机uid / gid的开发环境,我的首选解决方案是使用以root身份运行的入口点启动容器,将用户的uid / gid固定在容器内以匹配主机卷uid / gid,并然后用于gosu从根用户拖放到容器用户,以在容器内运行应用程序。重要的脚本fix-perms在我的基本图像脚本中,可以在以下位置找到:https : //github.com/sudo-bmitch/docker-base
该fix-perms脚本的重要部分是:
# update the uid
if [ -n "$opt_u" ]; then
OLD_UID=$(getent passwd "${opt_u}" | cut -f3 -d:)
NEW_UID=$(stat -c "%u" "$1")
if [ "$OLD_UID" != "$NEW_UID" ]; then
echo "Changing UID of $opt_u from $OLD_UID to $NEW_UID"
usermod -u "$NEW_UID" -o "$opt_u"
if [ -n "$opt_r" ]; then
find / -xdev -user "$OLD_UID" -exec chown -h "$opt_u" {} \;
fi
fi
fi
这样会将用户的uid和文件的uid放入容器内,如果不匹配,则调用usermod以调整uid。最后,它会进行递归查找以修复所有未更改uid的文件。我比使用带有-u $(id -u):$(id -g)标志的容器更好,因为上面的入口点代码不需要每个开发人员都运行脚本来启动容器,并且用户拥有的卷之外的任何文件都将得到其权限更正。
您还可以让docker通过使用执行绑定安装的命名卷从映像初始化主机目录。该目录必须预先存在,并且您需要提供主机目录的绝对路径,这与可能是相对路径的撰写文件中的主机卷不同。该目录也必须为空,以便docker对其进行初始化。定义绑定卷的命名卷的三个不同选项如下所示:
# create the volume in advance
$ docker volume create --driver local \
--opt type=none \
--opt device=/home/user/test \
--opt o=bind \
test_vol
# create on the fly with --mount
$ docker run -it --rm \
--mount type=volume,dst=/container/path,volume-driver=local,volume-opt=type=none,volume-opt=o=bind,volume-opt=device=/home/user/test \
foo
# inside a docker-compose file
...
volumes:
bind-test:
driver: local
driver_opts:
type: none
o: bind
device: /home/user/test
...
最后,如果尝试使用用户名称空间,则会发现主机卷存在权限问题,因为容器的uid / gid已转移。在这种情况下,避免主机卷而仅使用命名卷可能是最容易的。
jef*_*ick 13
我确认它chcon -Rt svirt_sandbox_file_t /path/to/volume
确实有效,您不必作为特权容器运行.
这是:
尝试docker volume create。
mkdir -p /data1/Downloads
docker volume create --driver local --name hello --opt type=none --opt device=/data1/Downloads --opt o=uid=root,gid=root --opt o=bind
docker run -i -v hello:/Downloads ubuntu bash
看看文档https://docs.docker.com/engine/reference/commandline/volume_create/
我有类似的问题。我的问题是由于主机的 UID 和容器用户的 UID 不匹配引起的。修复方法是将用户的 UID 作为参数传递给命令docker build,并使用相同的 UID 创建容器的用户。
在 DockerFile 中:
ARG UID=1000
ENV USER="ubuntu"
RUN useradd -u $UID -ms /bin/bash $USER
在构建步骤中:
docker build <path/to/Dockerfile> -t <tag/name> --build-arg UID=$UID
之后,按照OP运行容器和命令给了我预期的结果。
小智 7
此问题是因为您的计算机上启用了 SELinux。检查以下内容并将其禁用。
[root@nfs-server ~]# getenforce
Enforcing
[root@nfs-server ~]# setenforce 0
[root@nfs-server ~]# getenforce
Permissive
如果您只想禁用 SELinux,可以使用--security-opt label:disable标志来执行此操作。
docker run --security-opt label:disable -v /run/docker.sock:/run/docker.sock POWERFULLCONTAINER
| 归档时间: |
|
| 查看次数: |
198152 次 |
| 最近记录: |