https://deepzz.com/post/the-docker-volumes-permissions.html
Desc:在使用docker volume的过程中遇到的一些问题,权限问题,permission denied,容器非root用户如何进行 volume 的处理。
如果你读了docker volume 容器卷的那些事(一),我想应该不会遇到下面这些问题的,毕竟是具有指导意义的。本篇文章的内容依旧是有关 volume 的内容,主要讲诉的是如何解决非 root 用户下的文件映射问题。博主将自己常遇到的一些问题总结如下。
事情要从博主使用 prometheus 说起。当时博主使用的执行脚本类似下面这种:
$ docker run --rm \
--name prometheus \
-p 9090:9090 \
-v "$(pwd)"/data:/prometheus \
prom/prometheus:v2.0.0
应该是在其版本 2.0.0 之前,博主使用 prometheus 一切正常。突然有一天冒出这样的错误:
level=info ts=2017-12-22T12:40:09.154479277Z caller=main.go:314 msg="Starting TSDB"
level=error ts=2017-12-22T12:40:09.154587496Z caller=main.go:323 msg="Opening storage failed" err="open DB in /prometheus: open /prometheus/872424405: permission denied"
什么情况!发生了什么?没有权限?明明没有该执行脚本,不应该的啊。这才想起来咱刚刚更新过 prometheus 镜像的版本(该版本优化很大,故及时跟进)。没办法,看看它的 Dockerfile 更新了什么 #Use user nobody in Dockerfile。在 Dockerfile 中明显的看到:
USER nobody
从以前的 root 用户切换到了 nobody 用户(为了安全考虑)。
而我们映射的目录:
drwxr-sr-x 2 root root 40 Dec 5 02:41 data/
看到我们的 data 目录的拥有者依然是 root 用户,权限的问题必然出现了。
那么,如果你依然固执的要这样做(不使用命名容器卷)。这里提供了几种解决的办法,供参考。
在某些情况下,即使使用下面方法也不能达到效果,可能你需要尝试关闭 SELinux:
setenforce 0
(临时关闭)
更改目录拥有者
是的,非常容易的想到,既然这个映射出来的文件夹所有者不是 nobody,我给它改成 nobody 不就可以了吗?
首先,我们找到 nobody 用户的 id:
# 找到它的原始镜像执行命令。
$ docker run --rm quay.io/prometheus/busybox cat /etc/passwd
...
nobody:x:65534:65534:nobody:/home:/bin/false
发现,其 id 为 65534(其实这些用户uid是约定的),执行如下命令:
$ sudo chown -R 65534 data
$ ls -al data
drwxr-sr-x 3 65534 root 60 Dec 22 12:59 data/
可以看到 data 目录的所有者已经改为了 uid 为 65534 的用户。再次执行运行 prometheus 的脚本,成功。
Data Container
是的,你可以使用 Data Container 的方式进行容器卷的共享,这样也能够解决权限的问题。其基本运行方式是:
# 声明一个容器卷 /data,并在 /data 目录下新建 a.txt 文件
$ docker run --name data_container -v /data alpine touch /data/a.txt
# 挂载容器卷,查看 /data 目录下的内容
$ docker run --volumes-from container_name alpine ls /data
a.txt
当执行第二条命令时,你会看到了 a.txt
文件,说明挂载数据容器成功了。
需要说明的是,最好用同一个镜像运行数据容器,这样才能保证两者的 UID 一致,然也会出现权限问题。数据容器应该是执行一条命令就退出。
再把前面 prometheus 的例子拿来实践一下。首先,在 prometheus 的 Dockerfile 中我们看到:
# 声明容器卷
VOLUME [ "/prometheus" ]
...
# 入口
ENTRYPOINT [ "/bin/prometheus" ]
原来 prom/prometheus 镜像就声明了一个容器卷,那么我们就不必再多次一举了。但我们需要覆盖 ENTRYPOINT
指令。
$ docker run --name data_container --entrypoint="" prom/prometheus:v2.0.0 ls
然后再次执行:
$ docker run --rm \
--name prometheus \
-p 9090:9090 \
--volumes-from data_container \
prom/prometheus:v2.0.0
成功。
切换用户
有没有更好的方式去实现呢?有的,这种方式较第一种优点是自动化,不需要手动更改文件权限。具体流程是:
- 切换为 root 用户。
- 更改目录权限到当前非 root 用户。
- 用 gosu 以非 root 用户执行命令。
这里需要自行书写 Dockerfile 构建镜像。具体实现类似下面,新建 Dockerfile:
FROM prom/prometheus:v2.0.0
USER root
RUN mkdir -p /usr/local/bin \
&& wget -O /usr/local/bin/gosu "https://github.com/tianon/gosu/releases/download/1.10/gosu-amd64" \
&& chmod +x /usr/local/bin/gosu
COPY entrypoint.sh /entrypoint.sh
ENTRYPOINT ["/entrypoint.sh"]
CMD [ "--config.file=/etc/prometheus/prometheus.yml", \
"--storage.tsdb.path=/prometheus", \
"--web.console.libraries=/usr/share/prometheus/console_libraries", \
"--web.console.templates=/usr/share/prometheus/consoles" ]
其中 entrypoint.sh
的内容如下,它的目的就是将我们的目录的权限改成非 root 用户的权限:
#!/bin/sh
chown -R nobody /prometheus
gosu nobody prometheus "$@"
这里提到了 gosu 工具,用它来替换 sudo 从某种意义上解决了信号传递和 TTY 的问题,更多详情到其项目首页。
然后我们构建镜像,执行最初的运行脚本,成功。我们查看下映射到宿主机上的目录:
$ ls -al data
drwxr-sr-x 3 nobody root 80 Jan 11 11:09 data
# 进入容器查看进程
$ ps
PID USER TIME COMMAND
1 root 0:00 {entrypoint.sh} /bin/sh /entrypoint.sh ...
6 nobody 0:00 prometheus --config.file=/etc/prometheus/prometheus.yml ...
注意,
standard_init_linux.go:195: exec user process caused "exec format error"
得到这个错误,可能是你没有指定运行 entrypoint.sh 的 shebang。指定如#!/bin/sh
即可。
参考文章
[1] https://denibertovic.com/posts/handling-permissions-with-docker-volumes/
[2] https://segmentfault.com/a/1190000004527476