Pru*_*mar 4 linux file-permissions permission-denied docker docker-compose
问题
我的 docker-compose 堆栈由“postgresql”、“redis”和“Python api server”以及其他一些如 opentracing 等组成,但问题区域仅限于前面提到的。
我的撰写文件中的入口点是一个 shell 脚本,它通过读取环境变量以及它应该做的其他事情来动态创建一些文件和文件夹。现在,这些文件的创建就像一个魅力,但这些动态生成的文件的文件和文件夹权限变得有趣。在 macos 上,这些动态生成的文件和文件夹由运行docker-compose up. 但是,在运行 Ubuntu 19.01 的 Linux 机器上,root尽管 Dockerfile 显式chown non-root-user:non-root-group地对整个项目的文件夹执行 a并将活动用户设置为这些文件和文件夹non-root-user
postgres 容器将自己安装到给定的路径上,但该目录的所有者不再是创建它的人,但有些奇怪,systemd-coredump我猜这是因为 Postgres 的 Dockerfile 上的用户 ID 和组映射到我的 linux 服务器上的这个用户名?如果是,推荐的避免这种情况的方法是什么?
由于运行的非 root 用户docker-compose up无法保留主机上的文件和文件夹权限,因此我遇到了permission denied问题。虽然 achmod 777有助于解决问题,但我相信 chmod 777 从未真正解决任何问题。
重申所有这些仅在 Linux 机器上存在问题。在运行 Docker-For-Mac 的 Macos 上,预先存在的和动态生成的文件/文件夹都将非 root 登录用户保留为其所有者并在容器内,Dockerfile 中指定的 USER 仍然是所有预先存在的(那些通过COPY) 和新生成的动态文件/文件夹传输。
例子
文件和文件夹所有权更改的示例:
drwxrwxr-x 13 sparkle_deployment_2 sparkle_deployment_2 4096 Nov 21 01:00 PROTON/
drwx------ 19 systemd-coredump docker 4096 Nov 21 01:00 proton_db/
从上面,proton_db是 Postgres 应该安装到的地方。该文件夹最初是由用户创建的 - sparkle_deployment_2。之后docker-compose up,所有者和组分别更改为system-coredump和docker。
这是我的一部分:docker-compose.yaml
version: "3.4"
services:
pg:
container_name: proton_postgres
restart: always
image: postgres
environment:
- POSTGRES_USER=${PG_USERNAME}
- POSTGRES_PASSWORD=${PG_PASSWORD}
- POSTGRES_DB=${PG_TARGET_DB}
volumes:
- ${PROTON_POSTGRES_VOLUME_MOUNT}:/var/lib/postgresql/data
ports:
- ${PG_TARGET_PORT}:${PG_TARGET_PORT}
redis:
container_name: proton_redis
restart: always
image: redis
volumes:
- ${PROTON_REDIS_VOLUME_MOUNT}:/data
ports:
- ${REDIS_TARGET_PORT}:${REDIS_TARGET_PORT}
proton:
container_name: proton
restart: always
image: proton_stretch
ports:
- ${PROTON_TARGET_PORT}:${PROTON_TARGET_PORT}
expose:
- ${PROTON_TARGET_PORT}
volumes:
- .:/PROTON
- ${PROTON_SQLITE_VOLUME_MOUNT}:/PROTON/proton-db
depends_on:
- pg
- redis
entrypoint: ["./proton.sh"]
而且,这是我的 API 服务器的 Dockerfile:
FROM python:3.7.3-stretch
RUN apt-get update
RUN apt-get install bash
RUN apt-get install -y gcc g++ unixodbc-dev
RUN groupadd -g proton_user_group
RUN useradd -G proton_user_group default_proton_user
RUN mkdir -p /PROTON
WORKDIR /PROTON
COPY . /PROTON
RUN python3 -m pip install -r requirements.txt --no-cache-dir
RUN chown -R default_proton_user:proton_user_group /PROTON
USER default_proton_user
EXPOSE 3000/tcp
如您所见,我正在执行一个chown明确的非 root 用户拥有的目录。尽管如此,当存在动态生成的文件/文件夹时,它们将root成为其所有者。而且,这只发生在 linux 上。
赢
就像在 MacOS 中一样,我希望 linux 机器上的非根主机保留所有预先存在和动态生成的文件/文件夹的所有权,因此不会导致任何“权限被拒绝”问题。
加上 linux 机器上相同的非 root 主机,以保留 Postgres 容器卷安装到的位置的所有权。
由于您在 docker-compose 中绑定挂载 python 容器,因此 Dockerfile 文件和现有权限无关紧要。在运行时,它挂载pwd到 /PROTON,因此 /PROTON 映像中的任何内容都是隐藏的,容器只能看到pwd主机上的。
容器中的用户是与主机匹配的简单 UID 和 GID 号。例如,id在主机上使用命令来获取您的 UID 和 GID。对我来说,它们是 1000 和 1000。您只需要确保在容器中运行的用户和组是相同的 UID/GID。
RUN groupadd --gid 1000 proton \
&& useradd --uid 1000 --gid proton --create-home proton
现在您的主机用户和容器用户 UID/GID 相同,您会注意到创建的文件pwd与每个用户的用户名相匹配。主机上的 Linux 将查找 UID 1000 并查看您的主机用户(对我来说是bret),如果您执行此操作,docker-compose exec proton ls -al /PROTON您应该注意到它会在容器中查找用户 1000 并查看proton. 用户名只是 ID 的友好名称,所以只要确保它们在主机用户和容器使用之间匹配,你就会很好。
不相关的提示:
user: username,但如果它是您使用 USER 放入 Dockerfile 的用户,则在这种情况下不需要。COPY --chown=1000:1000 . /PROTON
, 或者 COPY --chown=proton:proton . /PROTON| 归档时间: |
|
| 查看次数: |
6630 次 |
| 最近记录: |