有没有办法以非root用户的身份挂载命名卷?我试图避免在每个Dockerfile中运行chown,但我需要将挂载点写成可被非root用户写入以便能够在镜像中编写构建生成的工件。
这是我正在尝试的:
docker run --rm -it -v /home/bob/dev/:/src/dev -v builds:/mnt/build --name build hilikus/build /bin/bash
但对于第二座山,我得到了:
[user@42f237282128 ~]$ ll /mnt
total 4
drwxr-xr-x 2 root root 4096 Sep 18 19:29 build
我的另一个挂载点(/src/dev/)归用户所有,而不是根用户,因此它提供了我所需的内容;但是,我无法使用命名卷做同样的事情。
命名的卷初始化为图像中该位置的内容,因此您需要在Dockerfile内设置权限:
$ cat df.vf-uid
FROM busybox
RUN mkdir -p /data && echo "hello world" > /data/hello && chown -R 1000 /data
$ docker build -t test-vf -f df.vf-uid .
Sending build context to Docker daemon 23.06 MB
Step 1 : FROM busybox
---> 2b8fd9751c4c
Step 2 : RUN mkdir -p /data && echo "hello world" > /data/hello && chown -R 1000 /data
---> Using cache
---> 41390b132940
Successfully built 41390b132940
$ docker run -v test-vol:/data --rm -it test-vf ls -alR /data
/data:
total 12
drwxr-xr-x 2 1000 root 4096 Sep 19 15:26 .
drwxr-xr-x 19 root root 4096 Sep 19 15:26 ..
-rw-r--r-- 1 1000 root 12 Aug 22 11:43 hello
--mount语法而不是旧的-v/--volume语法,则可以通过docker volume create somename --opt -o=uid=1000或类似的方式为卷的内容分配uid。dockremap动态用户和userns-map选项的运行情况,但希望很快能够测试。uid既不能被docker volume create接受,也不能被docker run --mount接受。 - corwin.amber--uid=nnn,必须传递 -o=uid=nnnn,这取决于你使用的存储驱动程序。 - dragon788--uid 会(预料中地)出现 unknown flag 错误。后者则会出现 Error response from daemon ... invalid option: "uid" 错误。抱歉。 - corwin.amberdocker run --rm -v builds:/target alpine:latest sh -c 'chown 1000:1000 /target'
该命令将创建名为"builds"的命名卷,将其挂载到一个以root身份运行的小型容器,并将其所有权更改为用户ID 1000。
VOLUME /data。当我像你展示的那样运行docker run命令时,所有东西都回到了root所有权下(需要注意的是我的卷在开始时是空的,所以我只更改了卷文件夹的所有权)。 - HuygensDockerfile文档中的说明,它指出:“如果任何构建步骤在声明卷后更改卷内的数据,则这些更改将被丢弃。” 我刚好就犯了这个错误!VOLUME指令是在我创建文件夹并设置权限之前,所以它被简单地丢弃了。 - Huygensdocker run中提供卷,它也会保留数据(并且人们可以理解命名卷是自动创建的);包装器可以通过简单地检查镜像来自动建议用户创建卷(无需文档)。但是,如果您提供了良好的文档,则这两个点就不那么重要,可以视为可选项。所有这些都是告诉您,是的,我同意您的最佳实践,它带来了更多优势(或减少了头痛)。 - Huygens