docker volume 容器卷的那些事(二)

https://deepzz.com/post/the-docker-volumes-permissions.html
Desc:在使用docker volume的过程中遇到的一些问题,权限问题,permission denied,容器非root用户如何进行 volume 的处理。

如果你读了docker volume 容器卷的那些事(一),我想应该不会遇到下面这些问题的,毕竟是具有指导意义的。本篇文章的内容依旧是有关 volume 的内容,主要讲诉的是如何解决非 root 用户下的文件映射问题。博主将自己常遇到的一些问题总结如下。

事情要从博主使用 prometheus 说起。当时博主使用的执行脚本类似下面这种:

$ docker run --rm \
    --name prometheus \
    -p 9090:9090 \
    -v "$(pwd)"/data:/prometheus \
    prom/prometheus:v2.0.0

应该是在其版本 2.0.0 之前,博主使用 prometheus 一切正常。突然有一天冒出这样的错误:

level=info ts=2017-12-22T12:40:09.154479277Z caller=main.go:314 msg="Starting TSDB"
level=error ts=2017-12-22T12:40:09.154587496Z caller=main.go:323 msg="Opening storage failed" err="open DB in /prometheus: open /prometheus/872424405: permission denied"

什么情况!发生了什么?没有权限?明明没有该执行脚本,不应该的啊。这才想起来咱刚刚更新过 prometheus 镜像的版本(该版本优化很大,故及时跟进)。没办法,看看它的 Dockerfile 更新了什么 #Use user nobody in Dockerfile。在 Dockerfile 中明显的看到:

USER       nobody

从以前的 root 用户切换到了 nobody 用户(为了安全考虑)。

而我们映射的目录:

drwxr-sr-x    2 root     root            40 Dec  5 02:41 data/

看到我们的 data 目录的拥有者依然是 root 用户,权限的问题必然出现了。

那么,如果你依然固执的要这样做(不使用命名容器卷)。这里提供了几种解决的办法,供参考。

在某些情况下,即使使用下面方法也不能达到效果,可能你需要尝试关闭 SELinux:setenforce 0(临时关闭)

更改目录拥有者

是的,非常容易的想到,既然这个映射出来的文件夹所有者不是 nobody,我给它改成 nobody 不就可以了吗?

首先,我们找到 nobody 用户的 id:

# 找到它的原始镜像执行命令。
$ docker run --rm quay.io/prometheus/busybox cat /etc/passwd

...
nobody:x:65534:65534:nobody:/home:/bin/false

发现,其 id 为 65534(其实这些用户uid是约定的),执行如下命令:

$ sudo chown -R 65534 data

$ ls -al data
drwxr-sr-x    3 65534   root            60 Dec 22 12:59 data/

可以看到 data 目录的所有者已经改为了 uid 为 65534 的用户。再次执行运行 prometheus 的脚本,成功。

Data Container

是的,你可以使用 Data Container 的方式进行容器卷的共享,这样也能够解决权限的问题。其基本运行方式是:

# 声明一个容器卷 /data,并在 /data 目录下新建 a.txt 文件
$ docker run --name data_container -v /data alpine touch /data/a.txt

# 挂载容器卷,查看 /data 目录下的内容
$ docker run --volumes-from container_name alpine ls /data
a.txt

当执行第二条命令时,你会看到了 a.txt 文件,说明挂载数据容器成功了。

需要说明的是,最好用同一个镜像运行数据容器,这样才能保证两者的 UID 一致,然也会出现权限问题。数据容器应该是执行一条命令就退出。

再把前面 prometheus 的例子拿来实践一下。首先,在 prometheus 的 Dockerfile 中我们看到:

# 声明容器卷
VOLUME     [ "/prometheus" ]
...
# 入口
ENTRYPOINT [ "/bin/prometheus" ]

原来 prom/prometheus 镜像就声明了一个容器卷,那么我们就不必再多次一举了。但我们需要覆盖 ENTRYPOINT 指令。

$ docker run --name data_container --entrypoint="" prom/prometheus:v2.0.0 ls

然后再次执行:

$ docker run --rm \
    --name prometheus \
    -p 9090:9090 \
    --volumes-from data_container \
    prom/prometheus:v2.0.0

成功。

切换用户

有没有更好的方式去实现呢?有的,这种方式较第一种优点是自动化,不需要手动更改文件权限。具体流程是:

  1. 切换为 root 用户。
  2. 更改目录权限到当前非 root 用户。
  3. 用 gosu 以非 root 用户执行命令。

这里需要自行书写 Dockerfile 构建镜像。具体实现类似下面,新建 Dockerfile:

FROM prom/prometheus:v2.0.0
USER root

RUN mkdir -p /usr/local/bin \
  && wget -O /usr/local/bin/gosu "https://github.com/tianon/gosu/releases/download/1.10/gosu-amd64" \
  && chmod +x /usr/local/bin/gosu 
 
COPY entrypoint.sh /entrypoint.sh
ENTRYPOINT ["/entrypoint.sh"]
CMD [ "--config.file=/etc/prometheus/prometheus.yml", \
      "--storage.tsdb.path=/prometheus", \
      "--web.console.libraries=/usr/share/prometheus/console_libraries", \
      "--web.console.templates=/usr/share/prometheus/consoles" ]

其中 entrypoint.sh 的内容如下,它的目的就是将我们的目录的权限改成非 root 用户的权限:

#!/bin/sh

chown -R nobody /prometheus
gosu nobody prometheus "$@"

这里提到了 gosu 工具,用它来替换 sudo 从某种意义上解决了信号传递和 TTY 的问题,更多详情到其项目首页。

然后我们构建镜像,执行最初的运行脚本,成功。我们查看下映射到宿主机上的目录:

$ ls -al data
drwxr-sr-x    3 nobody   root            80 Jan 11 11:09 data

# 进入容器查看进程
$ ps
PID   USER     TIME   COMMAND
    1 root       0:00 {entrypoint.sh} /bin/sh /entrypoint.sh ...
    6 nobody     0:00 prometheus --config.file=/etc/prometheus/prometheus.yml ...

注意,standard_init_linux.go:195: exec user process caused "exec format error" 得到这个错误,可能是你没有指定运行 entrypoint.sh 的 shebang。指定如 #!/bin/sh 即可。

参考文章

[1] https://denibertovic.com/posts/handling-permissions-with-docker-volumes/
[2] https://segmentfault.com/a/1190000004527476

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 204,053评论 6 478
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 85,527评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 150,779评论 0 337
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,685评论 1 276
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,699评论 5 366
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,609评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,989评论 3 396
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,654评论 0 258
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,890评论 1 298
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,634评论 2 321
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,716评论 1 330
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,394评论 4 319
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,976评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,950评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,191评论 1 260
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 44,849评论 2 349
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,458评论 2 342

推荐阅读更多精彩内容

  • docker基本概念 1. Image Definition 镜像 Image 就是一堆只读层 read-only...
    慢清尘阅读 8,720评论 1 21
  • 转载自 http://blog.opskumu.com/docker.html 一、Docker 简介 Docke...
    极客圈阅读 10,468评论 0 120
  • 2017年7月30星期日 小雨转阴 今天看到家委会主任的分享。我们厦小的陈主任和校家委会主任一起参加在济南...
    厦小薛智一爸爸阅读 111评论 1 5
  • 你有没有遇见过这样一个人,明明是他先闯进你的世界,却在你日渐上心的时候扬长而去,留你一个人在日后漫长的岁月里一边...
    談談爱吃肉阅读 473评论 0 1
  • 保安:干嘛的?我:我想去楼顶看看。保安:别装了,就说你亏多少吧?我:5万。。。保安:一楼大厅排队,撞柱子去吧!我:...
    北极雪路阅读 240评论 0 0