具有卷装载的docker容器中的文件权限
我试图让docker容器从主机文件系统访问letsencrypt证书 我不希望以root用户身份运行docker容器,而是希望以具有非常特定访问权限的用户身份运行docker容器。 我也不想更改证书的权限。 我只希望给定的用户能够读取docker容器中的证书 证书具有以下设置:具有卷装载的docker容器中的文件权限,docker,permissions,docker-compose,Docker,Permissions,Docker Compose,我试图让docker容器从主机文件系统访问letsencrypt证书 我不希望以root用户身份运行docker容器,而是希望以具有非常特定访问权限的用户身份运行docker容器。 我也不想更改证书的权限。 我只希望给定的用户能够读取docker容器中的证书 证书具有以下设置: -rw-r----- 1 root cert-group 要运行docker容器的用户位于证书组中: uid=113(myuser) gid=117(myuser) groups=117(myuser),999(cer
-rw-r----- 1 root cert-group
uid=113(myuser) gid=117(myuser) groups=117(myuser),999(cert-group),998(docker)
version: '3.7'
services:
test:
image: alpine:latest
volumes:
- /etc/ssl/letsencrypt/cert.pem:/cert.pem:ro
command: >
sh -c 'ls -l / && cat /etc/passwd && cat /etc/group && cat /cert.pem'
user: "113:117"
restart: "no"
test_1 | -rw-r----- 1 root ping 3998 Jul 15 09:51 cert.pem
test_1 | cat: can't open '/cert.pem': Permission denied
test_1 | ping:x:999:
test_1 | myuser:x:113:999:Linux User,,,:/home/myuser:/sbin/nologin
volumes:
- /etc/passwd:/etc/passwd
- /etc/group:/etc/group
我已经没有什么想法了,如果您能给我提供任何帮助或指点,我将不胜感激。事实上,您的解决方案并没有错。我也这么做了,但没有什么不同 这是我的Dockerfile:
FROM alpine:latest
RUN addgroup -S cert-group -g 117 \
&& adduser -S --uid 113 -G cert-group myuser
USER myuser
version: '3.7'
services:
test:
build:
dockerfile: ./Dockerfile
context: .
command: >
sh -c 'ls -l / && cat /etc/passwd && cat /etc/group && cat /cert.pem'
volumes:
- "/tmp/test.txt:/cert.pem:ro"
restart: "no"
IMHO,我认为docker-compose.yml中的问题在于它没有使用您的图像。您应该删除
图像:构建:注意:不幸的是,这只是Centos的问题,我在Ubuntu上没有遇到任何问题。Docker容器不知道主机上运行容器的用户的uid/gid。所有运行容器的请求都经过docker套接字,然后到达docker引擎,该引擎通常以root用户身份运行,在这些API调用中不传递uid/gid。docker引擎只是以docker文件中指定的用户身份或容器创建命令的一部分(在本例中,来自docker compose.yml)运行容器 进入容器后,使用容器内的/etc/passwd和/etc/group文件完成从uid/gid到names的映射。重要的是,在文件系统级别,容器和主机之间没有映射uid/gid值(用户名称空间除外,但如果实现正确,这只会使问题变得更糟)。所有文件系统操作都发生在uid/gid级别,而不是基于名称。因此,在执行主机卷装载时,uid/gid直接通过 这里遇到的问题是如何告诉容器选择uid/gid来运行容器进程。通过指定
user:“113:117”/etc/group用户:“113”/etc/passwd/etc/groupuser: "113"
不幸的是,在装入任何卷之前,docker都会查找组成员身份,因此出现以下情况 首先,创建一个图像,将示例用户分配到几个组:
$ cat df.users
FROM alpine:latest
RUN addgroup -g 4242 group1 \
&& addgroup -g 8888 group2 \
&& adduser -u 1000 -D -H test \
&& addgroup test group1 \
&& addgroup test group2
$ docker build -t test-users -f df.users .
...
$ id
uid=1000(bmitch) gid=1000(bmitch) groups=1000(bmitch),24(cdrom),25(floppy),...
$ docker run -it --rm -u bmitch -v /etc/passwd:/etc/passwd:ro -v /etc/group:/etc/group:ro test-users:latest id
docker: Error response from daemon: unable to find user bmitch: no matching entries in passwd file.
test$ docker run -it --rm -u test -v /etc/passwd:/etc/passwd:ro -v /etc/group:/etc/group:ro test-users:latest id
uid=1000(bmitch) gid=1000(bmitch) groups=4242,8888
/etc/group$ docker run -it --rm -u 1000 -v /etc/passwd:/etc/passwd:ro -v /etc/group:/etc/group:ro test-users:latest id
uid=1000(bmitch) gid=1000(bmitch) groups=4242,8888
$ docker run -it --rm -u 1000:1000 -v /etc/passwd:/etc/passwd:ro -v /etc/group:/etc/group:ro test-users:latest id
uid=1000(bmitch) gid=1000(bmitch)
/etc/passwd/etc/group$ docker run -it --rm -u test test-users:latest id
uid=1000(test) gid=1000(test) groups=4242(group1),8888(group2)
最好的选择可能是添加一个容器用户,其组成员身份与主机的uid/gid值匹配。对于主机卷,我还通过一个基本映像解决了这个问题,该映像动态调整容器中的用户或组,以匹配卷中装入的文件的uid/gid。这是以root用户身份完成的,然后使用gosu将权限放回用户。你可以在github上看到,speci
$ docker run -it --rm -u test test-users:latest id
uid=1000(test) gid=1000(test) groups=4242(group1),8888(group2)