Qu'est-ce que la (meilleure) façon de gérer les autorisations pour Docker volumes partagés?

J'ai été jouer avec un menu fixe pour un certain temps et de garder sur la recherche de la même chose lorsque l'on traite des données persistantes.

J'ai créer mon Dockerfile et exposer un volume ou de l'utilisation --volumes-from à monter un dossier à l'intérieur de mon conteneur.

Quelles autorisations faut-il saisir le volume partagé sur l'ordinateur hôte?

Je pense à deux options:

  • Jusqu'à présent, j'ai permis à chacun d'avoir accès en lecture/écriture, donc je peux écrire dans le dossier du conteneur Docker.

  • Carte, les utilisateurs de l'ordinateur hôte dans le récipient, de sorte que je peux attribuer des autorisations plus précises. Pas sûr que cela est possible et n'ai pas trouvé grand chose à ce sujet. Jusqu'à présent, tout ce que je peux faire est de lancer le conteneur comme certains d'utilisateur: docker run -i -t -user="myuser" postgres, mais cet utilisateur a un autre UID que mon hôte myuser, si bien que les autorisations ne fonctionnent pas. Aussi, je ne suis pas sûr si le mappage des utilisateurs de poser des risques de sécurité.

Existe-il d'autres alternatives?

Comment êtes-vous les gars et les filles qui s'occupent de ce problème?

InformationsquelleAutor Xabs | 2014-05-08
  1. 161

    Mise à JOUR 2016-03-02: Comme de Docker 1.9.0, Docker a nommé volumes qui remplacer les données de la seule conteneurs. La réponse ci-dessous, ainsi que mon lié billet de blog, a encore de la valeur dans le sens de comment penser les données à l'intérieur de docker mais pensez à utiliser nommé volumes à mettre en œuvre le modèle décrit ci-dessous, plutôt que de conteneurs de données.

    Je crois que la manière canonique de résoudre ce problème est en utilisant les données seulement des conteneurs. Avec cette approche, tous les accès aux données du volume via les conteneurs qui utilisent -volumes-from le conteneur de données, afin que l'hôte uid/gid n'a pas d'importance.

    Par exemple, un cas d'utilisation donné dans la documentation est la sauvegarde d'un volume de données. Pour ce faire, un autre conteneur est utilisé pour faire la sauvegarde via tar, et il utilise -volumes-from afin de monter le volume. Donc, je pense que le point clé de grok est: plutôt que de penser comment faire pour obtenir l'accès aux données sur l'hôte avec les autorisations appropriées, pensez à la façon de faire tout ce dont vous avez besoin, les sauvegardes, la navigation, etc. -- via un autre récipient. Les conteneurs eux-mêmes besoin d'utiliser cohérente uid/gid, mais ils n'ont pas besoin de carte pour quoi que ce soit sur l'ordinateur hôte, ce qui est portable.

    C'est relativement nouveau pour moi, mais si vous avez un cas d'utilisation particulier n'hésitez pas à commenter et je vais essayer d'étoffer la réponse.

    Mise à JOUR: Pour le cas d'utilisation dans les commentaires, vous pourriez avoir une image some/graphite pour exécuter graphite, et une image some/graphitedata que le conteneur de données. Donc, en ignorant les ports et ces, Dockerfile de l'image some/graphitedata est quelque chose comme:

    FROM debian:jessie
# add our user and group first to make sure their IDs get assigned consistently, regardless of other deps added later
RUN groupadd -r graphite \
  && useradd -r -g graphite graphite
RUN mkdir -p /data/graphite \
  && chown -R graphite:graphite /data/graphite
VOLUME /data/graphite
USER graphite
CMD ["echo", "Data container for graphite"]

    Construire et de créer le conteneur de données:

    docker build -t some/graphitedata Dockerfile
docker run --name graphitedata some/graphitedata

    La some/graphite Dockerfile devrait également obtenir le même uid/gid, par conséquent, il pourrait ressembler à quelque chose comme ceci:

    FROM debian:jessie
# add our user and group first to make sure their IDs get assigned consistently, regardless of other deps added later
RUN groupadd -r graphite \
  && useradd -r -g graphite graphite
# ... graphite installation ...
VOLUME /data/graphite
USER graphite
CMD ["/bin/graphite"]

    Et il serait de fonctionner comme suit:

    docker run --volumes-from=graphitedata some/graphite

    Ok, maintenant que nous donne notre graphite conteneur et de données associées,-seul un récipient avec le bon utilisateur/groupe (remarque vous pouvez ré-utiliser le some/graphite conteneur pour le conteneur de données ainsi, en substituant les entrypoing/cmd lors de l'exécution, mais le fait d'avoir que des images distinctes de l'OMI est plus clair).

    Maintenant, disons que vous souhaitez modifier quelque chose dans le dossier de données. Donc, plutôt que de lier le montage du volume de l'hôte et de l'édition il y, créer un nouveau conteneur pour faire ce travail. Appelons cela some/graphitetools. Permet également de créer des utilisateur/groupe, tout comme le some/graphite image.

    FROM debian:jessie
# add our user and group first to make sure their IDs get assigned consistently, regardless of other deps added later
RUN groupadd -r graphite \
  && useradd -r -g graphite graphite
VOLUME /data/graphite
USER graphite
CMD ["/bin/bash"]

    Vous pourriez faire de ce SEC en héritant de some/graphite ou some/graphitedata dans le Dockerfile, ou au lieu de créer une nouvelle image, tout simplement ré-utiliser l'un de ceux déjà existants (en ignorant point d'entrée/cmd en tant que de besoin).

    Maintenant, il vous suffit d'exécuter:

    docker run -ti --rm --volumes-from=graphitedata some/graphitetools

    et puis vi /data/graphite/whatever.txt. Cela fonctionne parfaitement, parce que tous les conteneurs ont les mêmes graphite utilisateur avec appariement des uid/gid.

    Puisque vous ne jamais monter /data/graphite à partir de l'hôte, vous ne se soucient pas de savoir comment l'hôte uid/gid cartes à l'uid/gid définie à l'intérieur de la graphite et graphitetools conteneurs. Ces conteneurs peuvent désormais être déployées à tout hôte, et ils vont continuer à fonctionner parfaitement.

    La chose intéressante à ce sujet est que graphitetools pourrait avoir toutes sortes d'informations utiles des services publics et des scripts, que vous pouvez maintenant également déployer d'une manière portable.

    Mise à JOUR 2: Après avoir écrit cette réponse, j'ai décidé d'écrire un plus complet post de blog sur cette approche. J'espère que cela aide.

    Mise à JOUR 3: j'ai corrigé cette réponse et a ajouté plus de détails. Elle contenait auparavant des hypothèses erronées au sujet de la propriété et permanentes -- la propriété est généralement attribué à la création d'un volume heure c'est à dire dans le conteneur de données, parce que c'est lorsque le volume est créé. Voir ce blog. Ce n'est pas une obligation si -- vous pouvez simplement utiliser le conteneur de données de référence/de la poignée" et définissez la propriété/perms dans un autre récipient au moyen d'un chown dans un point d'entrée, qui se termine avec gosu pour exécuter la commande que l'utilisateur approprié. Si quelqu'un est intéressé par cette démarche, s'il vous plaît commentaire et je peut fournir des liens vers d'un échantillon à l'aide de cette approche.

    • Je crains que ce n'est pas une solution puisque vous avez le même problème avec les données uniquement dans des conteneurs. À la fin de la journée, ce sont les conteneurs seront à l'aide de volumes partagés de l'hôte, de sorte que vous aurez toujours besoin pour gérer les autorisations sur les dossiers partagés.
    • Je pensais la même chose au départ, mais une fois que j'ai vu l'exemple dans les docs (la sauvegarde du volume), j'ai réalisé que la plupart des cas d'utilisation devrait être possible à partir de l'intérieur d'un conteneur. C'est pourquoi j'ai demandé pour votre cas d'utilisation spécifiques.
    • Hmmm, ton approche est intéressante, mais laissez-moi vous expliquer un de mes cas:
    • - Je exécuter plusieurs conteneurs à plusieurs applications sur le même hôte: graphite, cabot, certains Atlassian test des trucs... et ils ont tous besoin de données persistantes. Dans l'armée, les données sont stockées dans /data/graphite, /data/cabot etc. Dans les deux cas, le montage du volume directement et par l'intermédiaire d'un données uniquement conteneur, je suis incertain sur ce que les autorisations à appliquer lors de la création d'un nouveau dossier de données pour, disons, une nouvelle JIRA instance de test.
    • Gardez à l'esprit que j'ai peut-être besoin de modifier le dossier de données à partir de mon hôte (c'est à dire: supprimer un test de graphite clé, supprimer mon JIRA d'accueil du test de dossier ou de mise à jour avec la dernière production de sauvegarde...). Aussi loin que je comprends de votre commentaire, je devrais être en train de faire des choses comme la mise à jour de JIRA de données par l'intermédiaire d'un 3ème conteneur. En tout cas, ce que les autorisations que vous appliquez à un nouveau dossier de données /data/newcontainer? Je suppose que vous exécutez docker en tant que root (est-il possible de ne pas le faire?) Aussi, est-il une différence dans les autorisations si les données sont montés directement dans le conteneur principal ou par le biais d'un données uniquement conteneur?
    • Consultez la mise à jour...
    • Merci pour élaborer votre réponse. Vais tester cela dès que j'ai de la chance. Aussi, de belles références à la fois le blog post et celui sur les en utilisant un minimum d'images pour les conteneurs de données.
    • Le seul problème avec cette approche est très facile de supprimer un conteneur par erreur. Imaginez si elle arrive à être votre conteneur de données. Je pense (CMIIW), les données seront toujours dans /var/lib/docker quelque part, mais toujours un énorme douleur
    • Je pense que le docker gars travaillent sur un nouveau mécanisme pour gérer les volumes indépendamment de conteneurs. Voir github.com/docker/docker/pull/8484. Notez que tant que vous avez un conteneur qui a le volume monté à l'aide de --des volumes de partir, vous pouvez recréer le conteneur de données par le fait, les volumes de ce conteneur existant.
    • Excellent blog merci beaucoup d'avoir pris le temps 🙂 Pourriez-vous ajouter une mise à jour de mon cas d'utilisation? Dans mon équipe nous git clone du code source et l'idée est d'utiliser docker pour exécuter l'application, de sorte que le récipient doit accéder à un répertoire de l'hôte (git clone) pour exécuter l'application. Nous ne voulons pas git clone à partir de l'intérieur d'un conteneur de données. premier j'ai pensé que nous devions match gid/uid pour cela, mais vous pourriez avoir une meilleure idée.
    • il semble juste être une variation de la même chose? c'est à dire créer un conteneur qui ne le git clone dans le volume accessible via --volume-from un conteneur de données...
    • "vous pouvez simplement utiliser le conteneur de données de référence/de la poignée" et définissez la propriété/perms dans un autre récipient au moyen d'un chown dans un point d'entrée"... @Raman: C'est la section qui finalement m'a sauvé après avoir eu de nombreux problèmes d'autorisation pas compris. À l'aide d'un point d'entrée de script et de définir des autorisations dans ce qui fonctionne pour moi. Merci pour votre explication élaborée. C'est le meilleur que j'ai trouvé sur le web à ce jour.
    • Avec Docker, les choses changent vite. Les volumes de cette option permet d'obtenir les mêmes résultats plus rapidement. Voir stackoverflow.com/questions/18496940/... et en particulier le référencés blog container42.com/2014/11/18/data-only-container-madness
    • plus rapide que ce à quoi? Cette réponse est basée sur les volumes-de...
    • Je pense que lorsque vous appelez docker run avec --volumes-from=graphitedata la VOLUME /data/graphite déclaration dans le Dockerfile est redondant, si pas même une collision (je n'ai pas trouvé un cahier des charges correspondant dans les docs). J'ai constaté le problème suivant: lors de l'utilisation de --volumes-from=graphitedata, le volume correspondant est disponible dans le conteneur cible avec le même point de montage comme utilisé dans la base de données seulement un conteneur, sans avoir de VOLUME entrée dans le Dockerfile pour le conteneur cible.
    • n'est pas la même chose que -v. Ce dernier est équivalent à VOLUME dans le Dockerfile, et se lie à un volume de conteneur. L'ancien raconte le Panneau de monter le volume de la spécifié (différent) du conteneur.
    • Je sais comment ces caractéristiques se comportent lorsqu'il est appliqué indépendamment. Mon but était de souligner que vous avez utilisé les deux en même temps, se référant à la volume (je pense que oui, au moins). Votre --volumes-from=graphitedata lie le volume dans votre récipient jusqu'à un certain point de montage. Ce point de montage se trouve être /data/graphite, parce que c'est la façon dont vous avez défini vos données uniquement conteneur. Mais vous aussi utiliser VOLUME /data/graphite dans votre conteneur. C'est redondant et c'est même pas clair que le comportement spécifié pour cette situation devrait être.
    • Je vois ce que tu veux dire. Je crois --volumes-from remplace le VOLUME de la déclaration dans le conteneur, mais je vais mettre à jour la réponse à la suppression de la "collision".
    • À la réflexion, non, je l'aime comme il est. Vous pouvez même voir un exemple de cela dans le menu fixe manuel (le même training/postgres image est utilisée à la fois pour créer le volume et le monter à partir d'un autre conteneur via --volumes-from). Je tiens à ajouter le descripteur de VOLUME de la consommation conteneur ainsi parce qu'il documents l'exigence de volume, mais laisse la décision de l'endroit où le volume vient de l'ops de l'équipe au moment de l'exécution.
    • Quand je pensais que j'avais de ce travail, j'ai créé des fichiers sur mon volume de mon conteneur primaire et ils étaient encore détenues par la racine de l'hôte. Le volume a été définie par mes données uniquement conteneur qui a été créé avec mon nom d'utilisateur. Alors, quand j'ai créé des fichiers de données-seulement un conteneur qu'ils ont été possédés par moi. Je ne comprends pas cette solution.
    • Ouais vous êtes souffrant de données contenant la confusion. Fondamentalement, cette solution permet d'éviter d'inquiéter les autorisations sur l'hôte complètement, de sorte que le fait qu'ils appartiennent à root, il n'a pas d'importance. Relisez la solution, et de vérifier certains de ces sites blog.
    • Je pense que mon objectif est différent, j'ai besoin d'un moyen pour le conteneur docker pour avoir accès en écriture à un répertoire sur l'ordinateur hôte et avons créé des fichiers détenus par le uide qui a engendré le conteneur. Mais non, rétrospectivement, je pourrais être capable de faire la traduction en s'appuyant sur un montage sshfs de l'application conteneur le conteneur de données, tels que le sshd lit et écrit les fichiers comme mon UID
    • Comme de docker 1.9.0 des données, seuls les contenants ne sont plus un modèle recommandé: github.com/docker/docker/issues/17798
    • Merci, j'ai ajouté une mise à jour vers le haut du texte en conséquence.
    • Bonne explication, mais "ajouter un utilisateur et de groupe d'abord" est encore un hack dans une certaine mesure. Lorsque le graphite image des mises à niveau vers la prochaine version de debian, et ils ont ajouté plus d'utilisateurs sur le système de base... boom. La spécification de -u 1000 serait moins hacky, et ne permettrait pas au début, si votre "conforme ID" est en conflit.
    • Alors que c'est probablement la meilleure solution pour les environnements de production, il est court si le contenant est pour le développement, où vous avez besoin de modifier le code via l'IDE à l'intérieur de l'hôte et de voir les résultats instantanément lors de l'appel de conteneur.
    • Cette réponse a une longue conversation, mais toujours pas résolu le problème d'autorisation dans le conteneur de données. Je pense que @Dimitris réponse qui est basé sur le redis la solution doit être la bonne.
    • Ouais, comme @srain dit, cette réponse ne couvre pas le problème avec les autorisations. En tout cas, vous avez besoin de monter le volume à partir de données contenant dans un hôte.
    • Pouvez-vous m'aider sur ce point. J'ai du mal avec l'enregistrement des données dans les conteneurs et en s'engageant & poussant sur docker hub, de sorte que je peux être indépendant des machines hôtes. C'est la référence à ma discussion sur stackoverflow link
    • Réponse par @alex_edev était beaucoup plus simple! stackoverflow.com/a/45640469/1112124

    InformationsquelleAutor Raman
  2. 46

    Très élégante, une solution peut être vu sur le site officiel redis image et en général dans toutes les images.

    Décrit dans l'étape-par-étape du processus:

    • Créer redis utilisateur/groupe avant toute chose

    Comme on le voit sur Dockerfile commentaires:

    ajouter notre utilisateur et de groupe pour s'assurer que leurs Identifiants assignés de façon constante, indépendamment de ce que les dépendances sont ajoutés

    • Installer gosu avec Dockerfile

    gosu est une alternative de su /sudo pour une simple étape vers le bas à partir de la racine de l'utilisateur. (Redis est toujours fonctionner avec redis utilisateur)

    • Configurer /data volume et la définir comme workdir

    Par la configuration de l' /volume de données avec le VOLUME /data de commande, nous avons maintenant un volume distinct qui peut être soit le panneau de volume ou de bind-monté sur un hôte dir.

    La configuration en tant que le workdir (WORKDIR /data) rend le répertoire par défaut dans lequel les commandes sont exécutées à partir d'.

    • Ajouter un menu fixe-point d'entrée de fichier et de le définir comme point d'entrée par défaut CMD redis-server

    Cela signifie que tous les conteneur des exécutions sera exécuté par le menu fixe-point d'entrée de script, et par défaut, la commande à exécuter est redis-server.

    docker-entrypoint est un script qui effectue une fonction simple: Changer le propriétaire du répertoire courant (/data) et de l'étape vers le bas à partir de root à redis à l'utilisateur d'exécuter redis-server. (Si la commande en cours d'exécution n'est pas redis-server, exécutez la commande directement.)

    Ceci a l'effet suivant

    Si le répertoire " /data est lier monté à l'hôte, le menu fixe-point d'entrée sera de préparer les autorisations de l'utilisateur avant d'exécuter le redis-server sous redis utilisateur.

    Cela vous donne la facilité de l'esprit qu'il n'y a aucune installation pour fonctionner, le conteneur dans toute configuration de volume.

    Bien sûr, si vous avez besoin de partager le volume entre les différentes images dont vous avez besoin pour vous assurer qu'ils utilisent le même nom d'utilisateur/groupid sinon le dernier conteneur va détourner les autorisations de l'utilisateur à partir de la précédente.

    • L'on a accepté la réponse est instructif, mais il ne m'a mené vers le bas une semaine de chemin de frustrations avec des autorisations pour trouver cette réponse qui fournit en fait une manière canonique pour résoudre le problème.
    • Pour mon problème de cette réponse a également été beaucoup plus utiles.
    • Très bien expliqué aussi ici : denibertovic.com/posts/handling-permissions-with-docker-volumes
    InformationsquelleAutor Dimitris
  3. 28

    Ce n'est sans doute pas le meilleur façon pour la plupart des circonstances, mais il n'est pas encore été mentionnés donc peut-être que cela aidera quelqu'un.

    1. Lier mont volume hôte

      Host folder FOOBAR is mounted in container /volume/FOOBAR

    2. Modifier votre contenant du script de démarrage pour trouver le GID du volume vous intéresse

      $ TARGET_GID=$(stat -c "%g" /volume/FOOBAR)

    3. Assurer que votre utilisateur appartient à un groupe avec ce GID (vous pourriez avoir à créer un nouveau groupe). Pour cet exemple, je vais faire semblant de mon logiciel s'exécute en tant que nobody utilisateur lorsqu'à l'intérieur du conteneur, donc je veux m'assurer nobody appartient à un groupe avec un id de groupe égal à TARGET_GID

      EXISTS=$(cat /etc/group | grep $TARGET_GID | wc -l)

  # Create new group using target GID and add nobody user
  if [ $EXISTS == "0" ]; then
    groupadd -g $TARGET_GID tempgroup
    usermod -a -G tempgroup nobody
  else
    # GID exists, find group name and add
    GROUP=$(getent group $TARGET_GID | cut -d: -f1)
    usermod -a -G $GROUP nobody
  fi

    J'aime cela parce que je peux facilement modifier les autorisations de groupe sur mon hôte, des volumes et de savoir que ceux mis à jour autorisations s'appliquent à l'intérieur du conteneur docker. Cela se produit sans la permission ou la propriété des modifications à mon hôte de dossiers/fichiers, ce qui me rend heureux.

    Je n'aime pas cela parce qu'il assume qu'il y a pas de danger à ajouter vous-même à l'arbitraire d'un des groupes à l'intérieur du conteneur qui se trouvent être en utilisant un GID vous le souhaitez. Il ne peut pas être utilisé avec un USER clause dans un Dockerfile (à moins que l'utilisateur dispose des privilèges root, je suppose). Aussi, il hurle hack travail 😉

    Si vous voulez être hardcore vous pouvez évidemment prolonger de plusieurs façons - par exemple, rechercher tous les groupes sur tous les sous-fichiers, plusieurs volumes, etc.

    • Est-ce ciblées à lecture fichiers à partir du volume monté? Je suis à la recherche d'une solution pour l'écriture de fichiers sans être détenue par un autre utilisateur que ceux qui ont créé le conteneur docker.
    • Je suis l'aide de cette approche depuis Août 15 . Tout était OK. Juste les autorisations des fichiers créés à l'intérieur du conteneur étaient distincts. À la fois, les utilisateurs (à l'intérieur et à l'extérieur du conteneur) ont la propriété de leurs fichiers, mais les deux avaient un accès en lecture parce qu'elles n'appartiennent au même groupe créé par cette solution. Le problème a commencé quand un cas d'utilisation a imposé l'accès en écriture aux fichiers communs. Plus grand problème était que le partage des volumed a git de fichiers (c'est un volume de test dev fichiers source dans le même contexte de production). Git a commencé à avertir d'un problème d'accès au code partagé.
    • Je pense qu'un meilleur grep pour $TARGET_GID serait d'utiliser grep ':$TARGET_GID:', sinon, si le contenant a, par exemple, gid 10001 et votre hôte est de 1000, cette vérification va passer, mais il ne devrait pas.
    InformationsquelleAutor
  4. 15

    Ok, c'est maintenant suivis au docker question n ° 7198

    Pour l'instant, je m'occupe de cela à l'aide de votre seconde option:

    Carte, les utilisateurs de l'ordinateur hôte dans le récipient

    Dockerfile

    #=======
# Users
#=======
# TODO: Idk how to fix hardcoding uid & gid, specifics to docker host machine
RUN (adduser --system --uid=1000 --gid=1000 \
        --home /home/myguestuser --shell /bin/bash myguestuser)

    CLI

    # DIR_HOST and DIR_GUEST belongs to uid:gid 1000:1000
docker run -d -v ${DIR_HOST}:${DIR_GUEST} elgalu/myservice:latest

    Mise à JOUR actuellement, je suis plus enclin à Hamy réponse

    InformationsquelleAutor Leo Gallucci
  5. 12

    Essayez d'ajouter une commande à Dockerfile

    RUN usermod -u 1000 www-data

    crédits va à https://github.com/denderello/symfony-docker-example/issues/2#issuecomment-94387272

    InformationsquelleAutor FDisk
  6. 7

    La même chose que vous, je cherchais un moyen de mapper les utilisateurs/groupes à partir de l'hôte de conteneurs docker et c'est le chemin le plus court que j'ai trouvé jusqu'à présent:

      version: "3"
    services:
      my-service:
        .....
        volumes:
          # take uid/gid lists from host
          - /etc/passwd:/etc/passwd:ro
          - /etc/group:/etc/group:ro
          # mount config folder
          - path-to-my-configs/my-service:/etc/my-service:ro
        .....

    Ceci est un extrait de mon menu fixe-composer.yml.

    L'idée est de monter (en mode lecture seule) des utilisateurs/groupes de listes à partir de l'hôte dans le conteneur ainsi, après le récipient démarre il aura le même uid->nom d'utilisateur (ainsi que pour les groupes), les couplages avec l'hôte. Maintenant, vous pouvez configurer un utilisateur/groupe de paramètres de votre service à l'intérieur du conteneur, comme si c'était de travailler sur votre système hôte.

    Lorsque vous décidez de mettre votre récipient à un autre hôte, vous avez juste besoin de changer le nom d'utilisateur dans le fichier de configuration du service de ce que vous avez sur l'hôte.

    • C'est une réponse très, très simple, si vous voulez exécuter des contenants de gérer les fichiers sur un système de base, sans exposer le reste du système.
    • C'est mon préféré de réponse. Aussi, j'ai vu une recommandation similaire ailleurs avec le panneau de commande exécuter lorsque vous passez votre nom d'utilisateur/groupes à l'aide -u $( id -u $USER ):$( id -g $USER ) et vous n'avez plus à vous soucier du nom d'utilisateur. Cela fonctionne bien pour les locaux dev environnements où vous souhaitez générer des fichiers (binaires par exemple) à laquelle vous avez accès en lecture/écriture par défaut.
    InformationsquelleAutor alex_edev
  7. 5

    Ici est une approche qui utilise encore un seul conteneur, mais n'en a pas besoin pour être synchronisés avec le conteneur de l'application (en termes d'avoir le même uid/gid).

    Sans doute, vous voulez exécuter une application dans le conteneur en tant que non-root $UTILISATEUR sans un shell de connexion.

    Dans le Dockerfile:

    RUN useradd -s /bin/false myuser

# Set environment variables
ENV VOLUME_ROOT /data
ENV USER myuser

...

ENTRYPOINT ["./entrypoint.sh"]

    Puis, dans entrypoint.sh:

    chown -R $USER:$USER $VOLUME_ROOT
su -s /bin/bash - $USER -c "cd $repo/build; $@"
    InformationsquelleAutor Ethan
  8. 4

    Pour sécuriser et changement de la racine pour docker un conteneur docker hôte essayez d'utiliser --uidmap et --private-uids options

    https://github.com/docker/docker/pull/4572#issuecomment-38400893

    Aussi, vous pouvez supprimer plusieurs capacités (--cap-drop) dans le panneau de conteneurs pour la sécurité

    http://opensource.com/business/14/9/security-for-docker

    Mise à JOUR soutien devrait venir en docker > 1.7.0

    Mise à JOUR Version 1.10.0 (2016-02-04) ajouter --userns-remap drapeau
    https://github.com/docker/docker/blob/master/CHANGELOG.md#security-2

    • Je suis en cours d'exécution docker 1.3.2 construire 39fa2fa (dernière version) et voir aucune trace de l' --uidmap ni la --private-uids options. Dirait que le PR n'a pas et n'a pas été fusionnées.
    • Ce n'est pas de fusion dans le coeur, si vous voulez, vous pouvez l'utiliser comment patch. Maintenant possible de restreindre certaines fonctionnalités et exécuter votre application dans un conteneur de non racine de l'utilisateur.
    • En juin 2015 et je ne vois pas ce fusionné dans le panneau 1.6.2 est votre réponse toujours valable?
    • Question encore ouverte. Développeur doit ajouter la prise en charge dans la version 1.7. (--option root) github.com/docker/docker/pull/12648
    • J'ai mis à jour et n'ont toujours pas de cette fonctionnalité dans Docker version 1.7.0, build 0baf609
    • Il semble que les développeurs une fois de plus déplacé de la libération avec cette fonctionnalité. Docker développeur "icecrime" dire "We apparently do have so some of conflicting designs between libnetwork and user namespaces ... and something we'd like to get in for 1.8.0. So don't think we're dropping this, we're definitely going to take a break after all these, and see how we need to reconsider the current design and integration of libnetwork to make this possible. Thanks!" github.com/docker/docker/pull/12648 je pense Donc que nous devrions nous attendre la prochaine version stable.
    • Le truc avec --userns-remap ne fonctionne pas encore, dans Docker version 1.10.3, build 20f81dd. Voir mon commentaire ici.

    InformationsquelleAutor umount
  9. 3

    Image De Base

    Utiliser cette image: https://hub.docker.com/r/reduardo7/docker-host-user

    ou

    Important: ce qui détruit conteneur de portabilité entre les hôtes.

    1) init.sh

    #!/bin/bash

if ! getent passwd $DOCKDEV_USER_NAME > /dev/null
  then
    echo "Creating user $DOCKDEV_USER_NAME:$DOCKDEV_GROUP_NAME"
    groupadd --gid $DOCKDEV_GROUP_ID -r $DOCKDEV_GROUP_NAME
    useradd --system --uid=$DOCKDEV_USER_ID --gid=$DOCKDEV_GROUP_ID \
        --home-dir /home --password $DOCKDEV_USER_NAME $DOCKDEV_USER_NAME
    usermod -a -G sudo $DOCKDEV_USER_NAME
    chown -R $DOCKDEV_USER_NAME:$DOCKDEV_GROUP_NAME /home
  fi

sudo -u $DOCKDEV_USER_NAME bash

    2) Dockerfile

    FROM ubuntu:latest
# Volumes
    VOLUME ["/home/data"]
# Copy Files
    COPY /home/data/init.sh /home
# Init
    RUN chmod a+x /home/init.sh

    3) run.sh

    #!/bin/bash

DOCKDEV_VARIABLES=(\
  DOCKDEV_USER_NAME=$USERNAME\
  DOCKDEV_USER_ID=$UID\
  DOCKDEV_GROUP_NAME=$(id -g -n $USERNAME)\
  DOCKDEV_GROUP_ID=$(id -g $USERNAME)\
)

cmd="docker run"

if [ ! -z "${DOCKDEV_VARIABLES}" ]; then
  for v in ${DOCKDEV_VARIABLES[@]}; do
    cmd="${cmd} -e ${v}"
  done
fi

# /home/usr/data contains init.sh
$cmd -v /home/usr/data:/home/data -i -t my-image /home/init.sh

    4) Construire avec docker

    4) lancez-vous!

    sh run.sh
    InformationsquelleAutor Eduardo Cuomo
  10. 2

    Mon approche est de détecter actuel UID/GID, puis de créer l'utilisateur/de groupe à l'intérieur du conteneur et exécuter le script sous lui, alors tous les fichiers, il va créer va correspondre à l'utilisateur qui lance le script:

    # get location of this script no matter what your current folder is, this might break between shells so make sure you run bash
LOCAL_DIR="$( cd "$( dirname "${BASH_SOURCE[0]}" )" && pwd )"

# get current IDs
USER_ID=$(id -u)
GROUP_ID=$(id -g)

echo "Mount $LOCAL_DIR into docker, and match the host IDs ($USER_ID:$GROUP_ID) inside the container."

docker run -v $LOCAL_DIR:/host_mount -i debian:9.4-slim bash -c "set -euo pipefail && groupadd -r -g $GROUP_ID lowprivgroup && useradd -u $USER_ID lowprivuser -g $GROUP_ID && cd /host_mount && su -c ./runMyScriptAsRegularUser.sh lowprivuser"
    InformationsquelleAutor muni764
  11. 0

    Dans mon cas précis, j'ai essayé de construire mon node package avec le nœud de menu fixe de l'image, de sorte que je n'aurais pas à installer la ngp sur le serveur de déploiement. Il a bien fonctionné jusqu'à ce que, à l'extérieur le récipient et sur la machine hôte, j'ai essayé de déplacer un fichier dans le répertoire node_modules que le nœud de menu fixe l'image avait créé, à laquelle j'ai refusé les autorisations, car il a été possédé par la racine. J'ai réalisé que je pouvais contourner ce problème en copiant le répertoire le contenant sur la machine hôte. Via docker docs...

    Les fichiers copiés sur l'ordinateur local sont créés avec l'UID:GID de l'
    l'utilisateur qui a invoqué le docker commande cp.

    C'est du bash code que j'ai utilisé pour changer le propriétaire du répertoire créé par et à l'intérieur du conteneur docker.

    NODE_IMAGE=node_builder
docker run -v $(pwd)/build:/build -w="/build" --name $NODE_IMAGE node:6-slim npm i --production
# node_modules is owned by root, so we need to copy it out 
docker cp $NODE_IMAGE:/build/node_modules build/lambda 
# you might have issues trying to remove the directory "node_modules" within the shared volume "build", because it is owned by root, so remove the image and its volumes
docker rm -vf $NODE_IMAGE || true

    Si nécessaire, vous pouvez supprimer le répertoire avec un deuxième conteneur docker.

    docker run -v $(pwd)/build:/build -w="/build" --name $RMR_IMAGE node:6-slim rm -r node_modules
    InformationsquelleAutor johnklawlor
  12. 0

    Dans le dossier de partage entre le panneau d'accueil et conteneur docker, essayez de commande ci-dessous

    $ docker run-v "$(pwd):$(pwd)" -i-t ubuntu

    Le drapeau-v monte le répertoire de travail en cours dans le récipient. Lorsque le répertoire de l'hôte d'un bind-volume monté n'existe pas, Docker va automatiquement créer ce répertoire sur l'ordinateur hôte pour vous,

    Cependant, il y a 2 problèmes que nous avons ici:

    1. Vous ne pouvez pas écrire sur le volume monté si vous étiez utilisateur non-root parce que le fichier partagé sera détenue par un autre utilisateur de l'hôte,
    2. Vous ne devriez pas exécuter le processus à l'intérieur de vos conteneurs en tant que root, mais même si vous exécutez comme certains codée en dur de l'utilisateur, il ne veut toujours pas de match de l'utilisateur sur votre ordinateur portable/Jenkins,

    Solution:

    Conteneur:
    créer un utilisateur de dire "testuser", par id d'utilisateur par défaut sera à partir de 1000,

    De l'hôte:
    créer un groupe de dire "testgroup" avec l'id de groupe de 1000, et chown le répertoire du groupe(testgroup

    InformationsquelleAutor Praveen Muthusamy
  13. -3

    Si vous utilisez le Panneau de Composer, démarrer le conteneur en previleged mode:

    wordpress:
    image: wordpress:4.5.3
    restart: always
    ports:
      - 8084:80
    privileged: true
    • Cela pourrait rendre plus facile pour monter les volumes mais .. WordPress lancé dans privilège de mode? C'est une idée horrible - qui est demandé pour obtenir compromis. wpvulndb.com/wordpresses/453
    InformationsquelleAutor Renato Alencar