前言:
目前朋友们对“docker映射出来的文件权限”大概比较珍视,兄弟们都需要了解一些“docker映射出来的文件权限”的相关文章。那么小编也在网络上网罗了一些有关“docker映射出来的文件权限””的相关知识,希望看官们能喜欢,朋友们一起来了解一下吧!在复制到 Docker 映像的文件或访问 Docker 容器内已安装卷上的文件时遇到“权限被拒绝”错误?在此博客中,您将了解为什么会出现“权限被拒绝”错误以及如何解决它。享受!
一、简介
在深入探讨 Docker 容器中的 Permission Denied问题之前,最好了解 Linux 中权限的基本知识。如果您已经熟悉这些概念,则可以跳过本段。
可以在 Ubuntu 文档和这个关于umask的优秀解释 中找到熟悉权限的一个很好的起点。如果您想要快速总结,请继续阅读!
当您创建一个新目录blog并列出该目录的属性时,您将在终端窗口中看到以下输出:
$ mkdir blog
$ ls -la
drwxrwxr-x 2 user group 4096 Aug 14 06:15 blog/
让我们从左到右检查这里列出的一些项目:
当您创建一个新文件defaultpermissions.txt并列出该文件的属性时,您将看到类似的输出:
$ touch defaultfilepermissions.txt
$ ls -la
-rw-rw-r-- 1 user group 0 Aug 14 06:20 defaultfilepermissions.txt
权限的列出方式与目录类似。没有 das 第一项,因为它当然不是目录,并且文件没有任何执行权限。
2.先决条件
以下段落中执行的测试是在 osboxes.org提供的基于 Ubuntu 22.04 的 VirtualBox 虚拟机 (VM) 中执行的。如果您按照上一篇文章第 2 段中的说明进行操作,则可以轻松 设置。
登录到 VM 后,需要安装 docker。在撰写本文时,使用的是 Docker v20.10.14。
sudo snap install docker
您还可以从您自己的本地安装的 Ubuntu 中执行测试,执行测试不需要更改您的系统设置。
使用 OSBoxes VM 时,用户/组将为 osboxes/osboxes。如果您使用自己的系统,则可以使用 usersand groups命令检索用户/组。
以下段落中使用的文件可在 GitHub 上找到。
3.以root身份运行的容器
在第一个测试中,文件将从本地文件系统复制到 Docker 映像。Docker 镜像的基础镜像是 Alpine Linux 镜像。
创建一个目录1-defaultcontainer,导航到该目录并创建一个test.txt包含一些虚拟内容的文件。Dockerfile使用以下内容在同一目录中创建一个:
FROM alpine:3.16.2
COPY test.txt /tmp/test.txt
该 FROM指令将使用 Alpine Linux 3.16.2 基础 Docker 映像,并且该 COPY指令会将本地 test.txt文件复制到位于 location 的 Docker 映像中 /tmp/test.txt。
在终端窗口中,构建 Docker 映像:
$ sudo docker build -f Dockerfile -t dockertest .
[sudo] password for osboxes:
Sending build context to Docker daemon 3.072kB
Step 1/2 : FROM alpine:3.16.2
3.16.2: Pulling from library/alpine
213ec9aee27d: Pull complete
Digest: sha256:bc41182d7ef5ffc53a40b044e725193bc10142a1243f395ee852a8d9730fc2ad
Status: Downloaded newer image for alpine:3.16.2
---> 9c6f07244728
Step 2/2 : COPY test.txt /tmp/test.txt
---> 842ef14a6a73
Successfully built 842ef14a6a73
Successfully tagged dockertest:latest
以交互模式启动 Docker 容器,以便能够使用 shell:
sudo docker run --rm -it dockertest /bin/sh
导航到目录/tmp并列出文件:
ls -la2-rw-rw-r-- 1根 23 Aug 14 10 :33 test.txt
请注意,文件权限被保留,但用户/组是 root/root。默认情况下,Docker 容器以 root 用户身份运行,这是一个安全问题。
尝试执行 cat test.txt,你会注意到文件的内容被输出了。尝试通过编辑文件 vi并保存文件。这个动作也是允许的。这些结果是合乎逻辑的:root 用户执行它们,root 可以做任何事情。
键入 退出 shell exit。
为了确保测试彼此独立执行,请按如下方式删除 Docker 映像:
$ sudo docker rmi dockertest
4.以用户1000运行的容器
此测试与第一个测试类似,不同之处在于您将为 Docker 容器创建一个用户。这样,容器将不再以 root 用户身份运行,这是一种更安全的容器运行方式。
创建一个目录2-containeruser1000,导航到该目录并创建一个test.txt包含一些虚拟内容的文件。Dockerfile使用以下内容在同一目录中创建一个:
FROM alpine:3.16.2
RUN addgroup --g 1000 groupcontainer
RUN adduser -u 1000 -G groupcontainer -h /home/containeruser -D containeruser
USER containeruser
COPY test.txt /home/containeruser/test.txt
这个新的发生了什么 Dockerfile?
使用 ,使用 gid 1000 创建RUN addgroup一个组 ;groupcontainer使用 RUN adduser, containeruser创建一个 uid 为 1000 的用户,属于组 groupcontainer和主目录 /home/containeruser;使用 USER containeruser,容器与用户一起运行 containeruser;本地 test.txt文件被复制到 containeruser.
这 Dockerfile可以更有效地减少层数。有关图层的更多信息,请阅读 有关此主题的上一篇文章。为了简单起见,这里不考虑优化 Docker 镜像。
像以前一样构建并运行容器。首先检查哪个用户正在运行容器:
# whoami
containeruser
正如预期的那样,容器以 user 身份运行containeruser。导航到主目录containeruser并列出文件:
# ls -la
-rw-rw-r-- 1 root root 23 Aug 14 10:58 test.txt
这可能会让您感到惊讶,但文件的所有者仍然是 root/root。
尝试执行 cat test.txt,你会注意到文件的内容被输出了。可以这样做,因为 other具有读取权限。请记住,容器 containeruser现在以用户身份运行。尝试编辑文件 vi并保存文件。这是不可能的:会发出警告,指出该文件是只读的。那是因为 other没有写权限。
如果您仍然不相信,请执行相同的测试,但使用 uid/gid 1024。结果是相同的。这些文件在目录中的存储库中可用3-containeruser1024。下面对应Dockerfile:
FROM alpine:3.16.2
RUN addgroup --g 1024 groupcontainer
RUN adduser -u 1024 -G groupcontainer -h /home/containeruser -D containeruser
USER containeruser
COPY test.txt /home/containeruser/test.txt
删除 Docker 映像。
5. 容器以用户 1024 运行并更改所有权
在本段中,您将解决权限问题。诀窍是将文件的所有权更改为运行 Docker 容器的用户。创建一个目录4-containeruser1024changedowner。是Dockerfile:
FROM alpine:3.16.2
RUN addgroup --g 1024 groupcontainer
RUN adduser -u 1024 -G groupcontainer -h /home/containeruser -D containeruser
USER containeruser
COPY --chown=containeruser:groupcontainer test.txt /home/containeruser/test.txt
在包含的行中 COPY,文件的所有权 test.txt更改为用户 containeruser和组 groupcontainer。
像以前一样构建并运行容器。导航到用户的主目录containeruser并列出文件:
# ls -la
-rw-rw-r-- 1 containe groupcon 23 Aug 14 10:58 test.txt
尝试执行 cat test.txt,你会注意到文件的内容被输出了。尝试编辑文件 vi并保存文件。这是允许的,因为这一次, containeruser拥有该文件并具有适当的写入权限。
删除 Docker 映像。
6. 体积映射
使用卷映射,您将本地目录映射到 Docker 容器内的目录。这可能会更棘手,因为您必须对本地系统权限、用户、组等做出一些假设。通常这可以正常工作,因为您的本地 uid/gid 可能是 1000/1000 并且在容器内这将是相似的。对于卷映射,重要的是所有者的 uid/gid 在容器外部和内部是相同的。让我们看看这是如何工作的!
创建一个目录 5-volumemapping并在该目录中创建一个目录 testdir和一个 test.txt包含一些虚拟内容的文件。
检查本地用户的 uid/gid:
$ id -u osboxes
1000
$ id -g osboxes
1000
目录的权限是:
$ ll
drwxrwxr-x 2 osboxes osboxes 4096 Aug 14 04:19 testdir/
该文件的权限为:
$ ll
-rw-rw-r-- 1 osboxes osboxes 23 Aug 14 06:58 test.txt
这一次,您使用以下内容Dockerfile:
FROM alpine:3.16.2
RUN addgroup --g 1024 groupcontainer
RUN adduser -u 1024 -G groupcontainer -h /home/containeruser -D containeruser
USER containeruser
RUN mkdir /home/containeruser/testdir
请注意,对于测试,重要的是本地用户的 uid/gid 和容器内的用户不同。这次您不会将文件复制到容器中,但是使用 RUN mkdir可以确保存在可以将本地卷映射到的目录。
像以前一样构建 Docker 映像并从内部目录运行容器,5-volumemapping如下所示。该参数会将本地目录-v挂载到用户的主目录中。testdirtestdircontaineruser
$ sudo docker run -v $(pwd)/testdir:/home/containeruser/testdir --rm -it dockertest /bin/sh
导航到目录/home/containeruser并列出内容:
# ls -la
drwxrwxr-x 2 1000 1000 4096 Aug 14 10:23 testdir
如您所见,uid/gid 的值为 1000/1000,这是创建目录的本地系统用户的 uid/gid。
导航到目录testdir并列出内容:
# ls -la
-rw-rw-r-- 1 1000 1000 23 Aug 14 10:23 test.txt
同样,您注意到文件的所有权与目录的所有权相同。
尝试读取 file 的内容test.txt,成功。尝试创建一个新文件test2.txt,这将返回Permission Denied错误,因为other在此目录中没有写入权限。
# cat test.txt
this is a test message
# touch test2.txt
touch: test2.txt: Permission denied
如何解决这个问题,在 这个博客中有很好的解释。
更改目录的所有权,以便组 1024 拥有本地系统上的所有权
$ sudo chown :1024 testdir/
。
确保新文件获得组所有权。
$ chmod g+s testdir/
# ls -la
drwxrwxr-x 2 1000 groupcon 4096 Aug 12 10:23 testdir
现在您注意到该组 groupcontainer拥有该目录的所有权。
导航到目录testdir,创建一个文件,编辑它vi并输出内容。这一切现在都是可能的。
# touch test2.txt
# vi test2.txt
# cat test2.txt
another test message
检查文件的权限。
# ls -la
-rw-rw-r-- 1 1000 1000 23 Aug 14 10:23 test.txt
-rw-r--r-- 1 containe groupcon 0 Aug 14 10:37 test2.txt
该文件 test.txt仍然拥有 uid/gid 1000/1000 的原始所有权,新 test2.txt文件拥有 containeruser/groupcontainer 的所有权。
从本地系统可以读取 的内容 test2.txt,但由于 的只读权限,不允许更改其内容 other。根据您的用例,存在几种解决方案,如上述博客文章中所述,如何解决此问题。
删除 Docker 映像。
7. 结论
将文件复制到 Docker 映像时出现Permission Denied错误可以在 Dockerfile. 只需按照本博客中描述的提供的解决方案进行操作即可。 本地目录和容器内目录之间的卷映射的Permission Denied错误可能有点棘手。希望本博客中提供的信息能帮助您理解和解决 Permission Denied错误。
标签: #docker映射出来的文件权限