linux上docker中的重叠绑定装载和权限
linux主机上重叠的绑定装载似乎会在linux上docker中的重叠绑定装载和权限,linux,docker,file-permissions,Linux,Docker,File Permissions,linux主机上重叠的绑定装载似乎会在root所拥有的主机上创建重影文件。这是有意的吗?下面是一个例子: # Create a file to mount in the container touch hostfile # Create a temporary directory to mount in the container mkdir tempdir # Run bash in the container and mount the file and directory docker r
root
所拥有的主机上创建重影文件。这是有意的吗?下面是一个例子:
# Create a file to mount in the container
touch hostfile
# Create a temporary directory to mount in the container
mkdir tempdir
# Run bash in the container and mount the file and directory
docker run --rm --volume=`pwd`/tempdir:/home --volume=`pwd`/hostfile:/home/hostfile ubuntu bash
运行该命令后,可以在tempdir
中找到hostfile
,但它属于root
注意
- 在OS X主机上运行相同的bash脚本会导致启动容器的用户拥有
hostfile
- 在主机上指定用户的用户和组id作为
调用的一部分不会改变任何内容docker run
hostfile
,“host”目录和目标“container”目录(例如,在我的机器上是/home/qazer/dockx
):
#主机文件
$touch主机文件
#“主机端目录”
$mkdir hostdir
#“容器”-侧目录
$mkdir contdir
然后我们执行安装:
#第一次装载:“主机”目录到“容器”目录
$sudo mount--绑定主机目录contdir
#成功!
#第二次装载:主机文件到容器文件
$sudo mount--绑定主机文件contdir/hostfile
装载:contdir/hostfile:装载点不存在。
是的,绑定装载失败,因为目标文件不存在!查阅mount(2)
系统调用的手册页发现,如果提供的某些路径指向不存在的文件,则此调用将失败:
ENOENT A pathname was empty or had a nonexistent component.
因此,Docker实际做的是:
$ sudo strace -f -p $(pidof containerd) \
-e trace=%file,mount -yy |& grep -e hostfile -e home
...
[pid 23945] newfstatat(AT_FDCWD, "/var/lib/docker/overlay2/b2c32423952d49f21e7a9c1addec6201c7f036c8dba1da975bac6a34d5abbe11/merged/home/hostfile", 0xc00016ce08, 0) = -1 ENOENT (No such file or directory)
...
[pid 23945] openat(AT_FDCWD, "/var/lib/docker/overlay2/b2c32423952d49f21e7a9c1addec6201c7f036c8dba1da975bac6a34d5abbe11/merged/home/hostfile", O_RDONLY|O_CREAT|O_CLOEXEC, 0755) = 7</var/lib/docker/overlay2/b2c32423952d49f21e7a9c1addec6201c7f036c8dba1da975bac6a34d5abbe11/merged/home/hostfile>
[pid 23945] mount("/home/qazer/dockx/hostfile", "/var/lib/docker/overlay2/b2c32423952d49f21e7a9c1addec6201c7f036c8dba1da975bac6a34d5abbe11/merged/home/hostfile", 0xc00013bb00, MS_BIND|MS_REC, NULL) = 0
$sudo strace-f-p$(皮多夫集装箱)\
-e trace=%file,mount-yy |&grep-e hostfile-e home
...
[pid 23945]newfstatat(AT_FDCWD,“/var/lib/docker/overlay2/b2c32423952d49f21e7a9c1addec201c7f036c8dba1da975bac6a34d5abbe11/merged/home/hostfile”,0xc0016ce08,0)=-1 enoint(无此类文件或目录)
...
[pid 23945]openat(AT_FDCWD,“/var/lib/docker/overlay2/b2c32423952d49f21e7a9c1addec201c7f036c8dba1da975bac6a34d5abbe11/merged/home/hostfile”,O|RDONLY | O|create | O| O|CLOEXEC,0755)=7
[pid 23945]挂载(“/home/qazer/dockx/hostfile”,“/var/lib/docker/overlay2/b2c32423952d49f21e7a9c1addec6201c7f036c8dba1da975bac6a34d5abbe11/merged/home/hostfile”,0xc0013bb00,MS|BIND | MS|REC,NULL)=0
首先,检查容器文件系统中是否存在/home/hostfile
文件(调用newfstat()
)。此文件不存在(enoint
),因此Docker创建它以避免我们以前看到的错误(调用openat(O_CREAT)
),并且只有在这之后,容器引擎才会将hostfile
实际绑定装载到容器文件系统(调用mount()
)
在编写时,/home
目录已经从主机绑定装入(第一次装入),因此此写入操作将转到此主机目录。最后,当容器停止时,Docker编写的文件将保留在主机目录中,这就是您看到的
至于Mac OS主机的文件所有权,我认为原因与中的相同