那些遇到过的问题

Rootless Docker:在没有 sudo 的情况下将文件写入卷挂载时权限被拒绝

Ger*_*ers 8 file-permissions docker docker-volume rootless

如果没有 sudo 权限,我无法在容器中(通过 ssh)写入已安装的卷。挂载的文件夹是主机用户在主机上的主文件夹。我正在运行一个无根的 docker 守护进程。

我执行了以下步骤来启动容器:

  1. 我已经按照https://docs.docker.com/engine/security/rootless/上的说明设置了一个无根 docker

  2. 使用以下命令构建 Dockerfile(如下):

    docker build --build-arg USER_ID=$(id -u) --build-arg GROUP_ID=$(id -g) --build-arg USER_NAME=user--build-arg USER_PASS=user -t test 。

  3. 使用以下命令启动容器:

    docker run -d --name test_container -p 50000:22 -v /home/$(id -u -n):/mnt/home 测试

  4. 通过 SSH 连接到我的容器

    ssh 用户@localhost -p 50000

当我在主目录中创建文件时,权限被拒绝。当我在主机中创建一个新文件夹并将其 chmod 为 777 时;然后我可以创建文件,但它们不会以正确的用户/组出现在我的原始主机中,而是得到类似以下内容的信息:

drwxrwxrwx  6 gdekkers gdekkers 4096 May 25 21:10 .
drwxr-xr-x 14 gdekkers gdekkers 4096 May 25 21:10 ..
drwxrwxrwx  3 gdekkers gdekkers 4096 Apr 30 13:01 SomeFolder
drwxr-xr-x  2   100999   100999 4096 May 25 21:08 test
drwxr-xr-x  2   100999   100999 4096 May 25 21:10 test2
Run Code Online (Sandbox Code Playgroud)

这很不方便,因为我需要定期应用 chown 。它似乎与无根 Docker 使用的命名空间有关。如何确保创建的文件与我的主机上的用户匹配?

Dockerfile:

FROM nvidia/cuda:11.2.2-cudnn8-runtime-ubuntu20.04

# Input arguments
ARG USER_ID
ARG GROUP_ID
ARG USER_NAME
ARG USER_PASS

# environment variables
ARG DEBIAN_FRONTEND="noninteractive"
ENV TZ Europe/Belgium

# Install some basic utilities and clean up
RUN apt-get update && apt-get install -y \
    nano \
    ca-certificates \
    sudo \
    libx11-6 \
    openssh-server \
 && rm -rf /var/lib/apt/lists/*

# Create a sudo user
RUN groupadd --gid $GROUP_ID user
RUN useradd -rm -d /home/$USER_NAME -s /bin/bash --uid $USER_ID --gid $GROUP_ID -G sudo $USER_NAME
RUN usermod -aG sudo $USER_NAME
RUN echo $USER_NAME:$USER_PASS | chpasswd

# Start ssh service
RUN service ssh start
EXPOSE 22
CMD ["/usr/sbin/sshd","-D"]
Run Code Online (Sandbox Code Playgroud)

谢谢!

joe*_*eey 1

我最近在做自己的项目时遇到了这样的问题。这是由于无根使用 Docker 时 UID/GID 映射不同造成的。

我最近在博客上写了一篇文章,详细介绍了如何处理无根 Docker 问题,例如这些“权限被拒绝”问题。主机上的继承 ACL 是一个可行的解决方案(正如StackOverflow 线程中也提到的):

acl如果您尚未安装该软件包,请先安装该软件包:

sudo apt install acl
Run Code Online (Sandbox Code Playgroud)

然后,让我们始终允许用户 访问当前和将来的文件的rwX权限:./dataubuntu

sudo setfacl -Rm d:u:ubuntu:rwX,u:ubuntu:rwX ./data
Run Code Online (Sandbox Code Playgroud)

(上面的示例假设 Docker 绑定挂载是 的子项./data

归档时间:

查看次数:

2043 次

最近记录:

2 年,3 月 前
我可以在docker镜像中控制已装入装订的卷的所有者吗? 12
更多相关链接
相关归档
Docker中的Docker无法安装卷 49
在Dockerfile中激活python virtualenv 27
Docker 守护进程未运行 15
如何在苹果硅上运行 docker (m1) 12
使用 Golang docker SDK - Interactive Container 接受用户输入 os.stdin 到容器 10
在容器中运行服务(upstart/init.d) 9
使用sh管道时使用"docker-compose"时出错(echo"docker-compose ..."| sh) 9
pycharm无法完成Docker的远程解释器设置 9
如何将环境变量传递给docker中的nginx.conf文件? 8
Dockerfile中的WORKDIR $ HOME似乎不起作用 6
难疑归档
如何在Python中延迟时间? 2638
如何让Git使用我选择的编辑器进行提交? 2362
在PostgreSQL中显示表格 1703
如何使用逗号作为千位分隔符在JavaScript中打印数字 1589
如何将NodeJS和NPM更新到下一个版本? 1573
<meta http-equiv ="X-UA-Compatible"content ="IE = edge">是做什么用的? 1378
什么是monad? 1373
如何查看运行我的脚本的Python版本? 1099
在Python中创建多行注释的方法? 1081
如何将本地jar文件添加到Maven项目? 1053