解决Docker开发环境中的权限问题

53次阅读

没有评论

问题描述

在使用Docker进行开发时，文件的拥有者和权限问题可能会成为一大困扰。用户提到在构建Docker开发环境时，由于文件拥有者和权限的不匹配，遇到了一些问题，比如：

在PHP容器中的www-data用户无法在用户目录中创建文件，因为www-data用户的UID为82，而用户的UID为1000。尝试将www-data的UID改为1000，但由于与使用UID为500的macOS用户共享环境，这个解决方案并不适用。
无法删除在容器内部创建的文件，这在切换Git分支时会带来麻烦（需要使用sudo rm命令）。

用户已经尝试了一些解决方案，如在容器中使用gosu，将/etc/shadow挂载为卷等，但这些方案要么不够通用，要么存在一些问题。

解决方案

最佳解决方案：使用命名卷和启动脚本

为了解决Docker容器权限问题，有一些策略和技巧可以考虑。

使用命名卷

当可能的时候，尽量使用命名卷。这些卷会初始化为镜像的内容，包括文件的拥有者和权限。这样可以避免在主机和容器之间出现权限不匹配的问题。

启动脚本解决方案

对于开发者机器上的主机卷，一个推荐的解决方案是在容器内以root用户启动，然后在调整了容器内用户的UID和GID值以匹配挂载卷的ID后，将权限降低到应用程序用户。下面是一个可能的解决方案步骤：

在开发者机器上，以root用户启动容器。在生产环境中，你可以在入口点脚本中放置一些逻辑，以便知道它不是root，并使服务器上的文件权限与容器的权限相匹配。
配置容器的入口点脚本，以查找选择的主机卷的UID和GID。可以使用环境变量将这些ID传递给容器。
比较主机卷的UID和GID与容器用户的UID和GID。如果它们不匹配，更新容器内用户的UID和GID，并在卷外的文件上调整文件权限。要小心处理容器内已经存在的UID和GID的情况。
使用gosu工具从root用户切换到你的容器用户，并运行所需的应用程序。

示例启动脚本

以下是一个可能的bash启动脚本示例，展示了如何在容器内以root用户启动，然后切换到应用程序用户，并在需要的时候调整权限：

#!/bin/bash
# 以root用户启动容器
docker run -d --name my_app_container -v my_host_volume:/app --user root my_image

# 等待容器完全启动
while ! docker exec my_app_container echo "Container is ready"; do
  sleep 1
done

# 获取主机卷的UID和GID
host_uid=$(stat -c %u /path/to/my_host_volume)
host_gid=$(stat -c %g /path/to/my_host_volume)

# 更新容器内用户的UID和GID
docker exec my_app_container usermod -u $host_uid my_app_user
docker exec my_app_container groupmod -g $host_gid my_app_group

# 调整卷外的文件权限
docker exec my_app_container chown -R my_app_user:my_app_group /app

# 以应用程序用户运行应用
docker exec -u my_app_user my_app_container my_app_command

在上面的脚本中，我们首先以root用户启动了一个容器，然后等待容器完全启动。接着，通过stat命令获取了主机卷的UID和GID，并使用usermod和groupmod命令在容器内更新了用户的UID和GID。最后，使用chown命令调整了卷外的文件权限，并以应用程序用户运行了应用。