我无法理解 Docker 中用户的概念。
这些是我的问题:
每个 Docker 容器都有自己的用户和组还是 Docker 容器使用主机用户管理?
--user我们传递给docker run命令的参数是什么?
Docker 容器或 Docker 守护进程是否可以在主机操作系统上创建用户?
Docker 卷中的所有权和文件权限如何工作?
对于第四个问题,假设我有以下卷:
--volume /var/run/docker.sock:/var/run/docker.sock
并且主机操作系统中的ls和id命令的结果如下:
root@tashkhisi:/var/run# ls -l docker.sock
srw------- 1 root docker 0 Jul 30 18:44 docker.sock
root@novinhost:/var/run# id -u root
0
这是否意味着我只能从 Docker 容器内使用 Docker 容器内 id 为 0 的用户访问该文件?
我的意思是容器看到该文件具有原始文件权限但有自己的用户?
请不要注意/var/run/docker.sock我只想知道权限如何工作的文件。
我只是使用它,因为它是一个常见的用例。
Ano*_*noE 12
是的,每个容器都有自己的一组用户。如果您查看容器内的用户 ID,您会发现非常大的数字(这在 Linux 中完全没问题),它们是单独创建的。Dockerd 有一系列用于此目的的 UID。
该--user选项只是运行的快捷方式su;它从默认用户切换root到另一个用户来调用容器内的第一个命令。
您通常无法从容器内部创建主机用户(除非您破解容器,或者做一些奇怪的事情,例如将主机安装/etc到容器中......这可能不是您要问的);并且守护进程(当然,它本身不是容器化的)也不执行此操作。
对于您的最后一个问题:挂载主机卷通常会导致权限问题 - 例如,如果您在容器内创建文件,它们最终将在主机端获得较大的 UID(即我上面提到的临时 UID)。在您的情况下,root默认情况下只能访问该文件。您需要chown酌情进行。您可以运行docker run --user uid:group并覆盖 dockerd 通常为您创建的临时 UID/GID。
但您的具体问题似乎是关于“docker in docker”或“dind”的问题,您可以通过将主机 docker 套接字安装到容器中来从 docker 容器内部运行 docker 命令。请谷歌搜索或提出更具体的问题。那里应该有很多教程等。
另外,最后一个提示:可以以非 root 用户身份运行 docker 恶魔本身。为此,我还会向您推荐谷歌或 Docker 文档,因为到目前为止您还没有询问它,如果您走那条路,事情会变得非常复杂......
每个docker容器是否有自己的用户和组
是的。
docker容器使用主机用户管理?
不。
我们传递给 docker run 命令的 --user 参数是什么?
的文档docker run --user很短,我将解释Dockerfile USER命令的文档:
root (id = 0) 是容器内的默认用户。图像开发者可以创建额外的用户。可以通过名称访问这些用户。开发人员可以使用
--user命令行选项选择一个用户来运行第一个进程。
docker 容器或 docker 守护进程是否可以在主机操作系统上创建用户?
您可以在主机上启动 sshd,通过 ssh 从 docker 容器登录到主机,然后执行通常会执行的操作。
“用户管理”这个词对于 Linux 世界来说是一个很大的词。它很简单 - 用户和组的列表存储在几个文件中,例如/etc/passwd /etc/shadow /etc/groups. 这些是以文本格式存储的文件,没有什么魔力。当您添加一行时,您就有了一个新用户。当您使用任何文本编辑器从 中删除一行时,您就删除了一个用户。docker 容器具有单独的文件系统,因此它具有单独的目录,因此它具有单独的这些文件,因此它具有单独的用户和组。/etc/passwd/etc/passwd/etc/
docker 卷中的所有权和文件权限如何工作?
没有差异。这里没有必要解释 *unix 用户组-其他权限模型如何工作,请参考无尽的网络资源......
这是否意味着我只能使用 docker 容器内 id 为 0 的用户从 docker 容器内访问该文件?
是的 - 权限是rw-------...
我的意思是容器看到该文件具有原始文件权限但具有自己的用户?
是的。
--volume选项只是一个mount -o bind.
| 归档时间: |
|
| 查看次数: |
1566 次 |
| 最近记录: |