–
root(id = 0) 是容器的默認用戶。Docker image的製作者可以添加新的用戶。
比如jenkins image的Dockerfile是這樣的:
FROM java:8-jdk RUN apt-get update && apt-get install -y wget git curl zip && rm -rf /var/lib/apt/lists/* ENV JENKINS_HOME /var/jenkins_home ENV JENKINS_SLAVE_AGENT_PORT 50000 # Jenkins is run with user `jenkins`, uid = 1000 # If you bind mount a volume from the host or a data container, # ensure you use the same uid RUN useradd -d "$JENKINS_HOME" -u 1000 -m -s /bin/bash jenkins # Jenkins home directory is a volume, so configuration and build history # can be persisted and survive image upgrades VOLUME /var/jenkins_home # `/usr/share/jenkins/ref/` contains all reference configuration we want # to set on a fresh new installation. Use it to bundle additional plugins # or config file with your custom jenkins Docker image. RUN mkdir -p /usr/share/jenkins/ref/init.groovy.d ENV TINI_SHA 066ad710107dc7ee05d3aa6e4974f01dc98f3888 # Use tini as subreaper in Docker container to adopt zombie processes RUN curl -fL https://github.com/krallin/tini/releases/download/v0.5.0/tini-static -o /bin/tini && chmod +x /bin/tini \ && echo "$TINI_SHA /bin/tini" | sha1sum -c - COPY init.groovy /usr/share/jenkins/ref/init.groovy.d/tcp-slave-agent-port.groovy ENV JENKINS_VERSION 1.625.3 ENV JENKINS_SHA 537d910f541c25a23499b222ccd37ca25e074a0c # could use ADD but this one does not check Last-Modified header # see https://github.com/docker/docker/issues/8331 RUN curl -fL http://mirrors.jenkins-ci.org/war-stable/$JENKINS_VERSION/jenkins.war -o /usr/share/jenkins/jenkins.war \ && echo "$JENKINS_SHA /usr/share/jenkins/jenkins.war" | sha1sum -c - ENV JENKINS_UC https://updates.jenkins-ci.org RUN chown -R jenkins "$JENKINS_HOME" /usr/share/jenkins/ref # for main web interface: EXPOSE 8080 # will be used by attached slave agents: EXPOSE 50000 ENV COPY_REFERENCE_FILE_LOG $JENKINS_HOME/copy_reference_file.log USER jenkins COPY jenkins.sh /usr/local/bin/jenkins.sh ENTRYPOINT ["/bin/tini", "--", "/usr/local/bin/jenkins.sh"] # from a derived Dockerfile, can use `RUN plugins.sh active.txt` to setup /usr/share/jenkins/ref/plugins from a support bundle COPY plugins.sh /usr/local/bin/plugins.sh
請注意這一行:
RUN useradd -d "$JENKINS_HOME" -u 1000 -m -s /bin/bash jenkins
製作者創建了一個新用戶叫jenkins,指定它的uid爲1000。
如果我們不向容器掛載任何卷,那沒問題。如果我們向容器掛載了卷,就有權限的問題。
假設我們把本地/opt/jenkins_home掛載爲容器的/var/jenkins_home,而本地的/opt/jenkins_home是屬於root用戶的。
# ls /opt drwxr-xr-x 2 root root 4096 Dec 30 03:11 jenkins_home/
那容器在運行時jenkins嘗試向這個目錄寫數據時就會出錯,權限不足。
爲什麼?
因爲容器裏的jenkins用戶的uid是1000,在host主機上,uid爲1000用戶是普通用戶,無法寫root owned的目錄。
解決方法有兩個。
1 我們把本地的/opt/jenkins_home的所有者修改爲uid爲1000的那個用戶,假設在本地這個用戶是ubuntu。
# chown -R ubuntu:ubuntu /opt/jenkins_home
這樣我們再把這個目錄掛載到容器裏時,容器裏的jenkins用戶就有寫入的權限了。
或者:
2 運行時通過-u指定一個用戶
docker run的 -u選項可以指定容器裏的默認用戶,選項的值可以是用戶名,也可以是uid。
如果是用戶名,這個用戶必須在容器裏是存在的。如果是uid則沒有這個限制。
我們還是用jenkins image來舉例。如果我在運行時指定 -u ubuntu,容器就會報錯:
ERROR: Cannot start container e0e1201fb3192d0f8e68656de3657e2ae80b111e5f72f56583c908533a89f525: [8] System error: Unable to find user ubuntu
回到剛纔我們說的問題,/opt/jenkins_home的owner是root,所以容器無法寫數據。我們可以在運行時使用參數-u root,這樣容器內的默認用戶變爲root,就可以向/opt/jenkins_home寫入數據了。
總結:image的製作者可以指定容器的默認用戶,因爲作者認爲容器內的進程無需使用root用戶來運行。通常作者指定的用戶的uid都會爲1000(如果image是基於ubuntu或debian的),以保證有本地用戶可以映射。
如果在運行時不想使用作者指定的用戶,可以通過-u這個選項來指定一個用戶。選項的值可以是用戶名,也可以是uid。
如果是用戶名,這個用戶必須在容器裏是存在的。如果是uid則這個用戶在容器裏可以不存在。
参考文档:https://blog.csdn.net/renhuailin/article/details/50435638
–
–
评论前必须登录!
注册