Docker और --userns-remap, होस्ट और कंटेनर के बीच डेटा साझा करने के लिए वॉल्यूम अनुमतियों का प्रबंधन कैसे करें?

डॉकटर में, कंटेनरों के अंदर बनाई गई फाइलें होस्ट से निरीक्षण करते समय अप्रत्याशित स्वामित्व रखती हैं। वॉल्यूम पर फ़ाइलों का स्वामी डिफ़ॉल्ट रूप से रूट (uid 0) है, लेकिन जैसे ही गैर-रूट उपयोगकर्ता खाते कंटेनर में शामिल होते हैं और फ़ाइल सिस्टम पर लिखते हैं, मालिक होस्ट के परिप्रेक्ष्य से कम या ज्यादा यादृच्छिक हो जाते हैं।

यह एक समस्या है जब आपको होस्ट से वॉल्यूम डेटा को उसी उपयोगकर्ता खाते का उपयोग करने की आवश्यकता होती है जो डॉक कमांड को कॉल कर रहा है।

विशिष्ट कार्यपत्रक होते हैं

• Dockerfiles (गैर पोर्टेबल) में निर्माण समय पर उपयोगकर्ताओं को मजबूर करना
• होस्ट उपयोगकर्ता के UID को docker runकमांड को एक पर्यावरण चर के रूप में पास करना और फिर chownएक एंट्रीपॉइंट स्क्रिप्ट में वॉल्यूम पर कुछ कमांड चलाना ।

ये दोनों समाधान कंटेनर के बाहर वास्तविक अनुमतियों पर कुछ नियंत्रण दे सकते हैं।

मुझे उम्मीद थी कि यूजर नेमस्पेस इस समस्या का अंतिम समाधान होगा। मैंने हाल ही में जारी संस्करण 1.10 और --userns-remap के साथ अपने डेस्कटॉप खाते में कुछ परीक्षण चलाए हैं। हालांकि, मुझे यकीन नहीं है कि इससे निपटने के लिए माउंटेड वॉल्यूम पर फ़ाइल का स्वामित्व आसान हो सकता है, मुझे डर है कि यह वास्तव में विपरीत हो सकता है।

मान लीजिए मैं इस बुनियादी कंटेनर को शुरू करता हूं

docker run -ti -v /data debian:jessie /bin/bash
echo 'hello' > /data/test.txt
exit

और फिर मेजबान से सामग्री का निरीक्षण करें:

ls -lh /var/lib/docker/100000.100000/volumes/<some-id>/_data/

-rw-r--r-- 1 100000 100000 6 Feb  8 19:43 test.txt

यह संख्या '100000' मेरे होस्ट उपयोगकर्ता का एक उप-यूआईडी है, लेकिन चूंकि यह मेरे उपयोगकर्ता के यूआईडी के अनुरूप नहीं है, इसलिए मैं अभी भी विशेषाधिकारों के बिना test.txt को संपादित नहीं कर सकता। इस उप-उपयोगकर्ता को मेरे वास्तविक नियमित उपयोगकर्ता के साथ डॉकटर के बाहर कोई संबंध नहीं लगता है। यह वापस मैप नहीं है।

इस पोस्ट में पहले बताए गए वर्कअराउंड शामिल हैं, जिसमें होस्ट और कंटेनर के बीच यूआईडी को संरेखित करना शामिल है UID->sub-UIDजो नामस्थान में होने वाली मैपिंग के कारण अब काम नहीं करता है।

फिर, क्या उपयोगकर्ता नेमस्पेस सक्षम (बेहतर सुरक्षा के लिए) के साथ डॉक चलाने का एक तरीका है, जबकि अभी भी वॉल्यूम पर उत्पन्न फ़ाइलों को चलाने के लिए होस्ट उपयोगकर्ता के लिए डॉक चलाने के लिए संभव है?

यदि आप उपयोगकर्ताओं और समूहों को पहले से व्यवस्थित कर सकते हैं, तो यूआईडी और जीआईडी ​​को इस तरह से निर्दिष्ट करना संभव है, ताकि मेजबान उपयोगकर्ता कंटेनरों के अंदर नामांकित उपयोगकर्ताओं के अनुरूप हों।

इसका एक उदाहरण (Ubuntu 14.04, Docker 1.10) है:

1. निश्चित संख्यात्मक आईडी वाले कुछ उपयोगकर्ता बनाएं:

   useradd -u 5000 ns1
   
   groupadd -g 500000 ns1-root
   groupadd -g 501000 ns1-user1
   
   useradd -u 500000 -g ns1-root ns1-root
   useradd -u 501000 -g ns1-user1 ns1-user1 -m
   

2. मैन्युअल रूप से ऑटो-जेनरेट की गई अधीनस्थ ID श्रेणियों /etc/subuidऔर /etc/subgidफ़ाइलों को संपादित करें :

   ns1:500000:65536
   

   (ध्यान दें वहाँ के लिए कोई रिकॉर्ड कर रहे हैं ns1-rootऔर ns1-user1की वजह से MAX_UIDऔर MAX_GIDमें सीमा /etc/login.defs)

3. इसमें उपयोगकर्ता नामस्थान सक्षम करें /etc/default/docker:

   DOCKER_OPTS="--userns-remap=ns1"
   

   डेमॉन को पुनरारंभ service docker restartकरें, सुनिश्चित करें कि /var/lib/docker/500000.500000निर्देशिका बनाई गई है।

   अब, कंटेनर के अंदर rootऔर आपके पास user1, और मेजबान पर - ns1-rootऔर ns1-user1, मेल आईडी के साथ

   अद्यतन: यह सुनिश्चित करने के लिए कि गैर-रूट उपयोगकर्ताओं ने कंटेनरों में आईडी तय की है (उदाहरण के लिए उपयोगकर्ता 1000: 1000), उन्हें छवि निर्माण के लिए स्पष्ट रूप से बनाएं।

टेस्ट ड्राइव:

1. वॉल्यूम डायरेक्टरी तैयार करें

   mkdir /vol1
   chown ns1-root:ns1-root /vol1
   

2. कंटेनर से इसे आज़माएं

   docker run --rm -ti -v /vol1:/vol1 busybox sh
   echo "Hello from container" > /vol1/file
   exit
   

3. मेजबान से कोशिश करें

   passwd ns1-root
   login ns1-root
   cat /vol1/file
   echo "can write" >> /vol1/file
   

पोर्टेबल नहीं है और हैक की तरह दिखता है, लेकिन काम करता है।

एक वर्कअराउंड गतिशील रूप से उपयोगकर्ता के यूआईडी को होस्ट से मिलान करने के लिए बिल्ड टाइम पर असाइन करना है।

उदाहरण Dockerfile:

FROM ubuntu
# Defines argument which can be passed during build time.
ARG UID=1000
# Create a user with given UID.
RUN useradd -d /home/ubuntu -ms /bin/bash -g root -G sudo -u $UID ubuntu
# Switch to ubuntu user by default.
USER ubuntu
# Check the current uid of the user.
RUN id
# ...

तब के रूप में निर्माण:

docker build --build-arg UID=$UID -t mycontainer .

और निम्नानुसार चलाएं:

docker run mycontainer

यदि आपके पास मौजूदा कंटेनर है, तो निम्न के साथ एक आवरण कंटेनर बनाएं Dockerfile:

FROM someexistingcontainer
ARG UID=1000
USER root
# This assumes you've the existing user ubuntu.
RUN usermod -u $UID ubuntu
USER ubuntu

इसे इस docker-compose.ymlतरह से लपेटा जा सकता है :

version: '3.4'
services:
  myservice:
    command: id
    image: myservice
    build:
      context: .
    volumes:
    - /data:/data:rw

फिर निर्माण और चलाने के रूप में:

docker-compose build --build-arg UID=$UID myservice; docker-compose run myservice

आप docker cpकमांड का उपयोग करके अनुमति की समस्याओं से बच सकते हैं ।

गंतव्य पर उपयोगकर्ता और प्राथमिक समूह के लिए स्वामित्व सेट है। उदाहरण के लिए, कंटेनर में प्रतिलिपि की गई फ़ाइलें UID:GIDरूट उपयोगकर्ता के साथ बनाई जाती हैं । स्थानीय मशीन में कॉपी की गई फाइलें UID:GIDउपयोगकर्ता के साथ बनाई जाती हैं , जो docker cpकमांड को आमंत्रित करती है ।

यहां आपके उदाहरण का उपयोग करने के लिए स्विच किया गया है docker cp:

$ docker run -ti -v /data debian:jessie /bin/bash
root@e33bb735a70f:/# echo 'hello' > /data/test.txt
root@e33bb735a70f:/# exit
exit
$ docker volume ls
DRIVER              VOLUME NAME
local               f073d0e001fb8a95ad8d919a5680e72b21a457f62a40d671b63c62ae0827bf93
$ sudo ls -l /var/lib/docker/100000.100000/volumes/f073d0e001fb8a95ad8d919a5680e72b21a457f62a40d671b63c62ae0827bf93/_data
total 4
-rw-r--r-- 1 100000 100000 6 Oct  6 10:34 test.txt
$ docker ps -a
CONTAINER ID        IMAGE               COMMAND             CREATED              STATUS                          PORTS               NAMES
e33bb735a70f        debian:jessie       "/bin/bash"         About a minute ago   Exited (0) About a minute ago                       determined_hypatia
$ docker cp determined_hypatia:/data/test.txt .
$ ls -l test.txt 
-rw-r--r-- 1 don don 6 Oct  6 10:34 test.txt
$ cat test.txt
hello
$ 

हालाँकि, यदि आप किसी कंटेनर में से फ़ाइलें पढ़ना चाहते हैं, तो आपको नामांकित वॉल्यूम की आवश्यकता नहीं है। यह उदाहरण एक नामित मात्रा के बजाय एक नामित कंटेनर का उपयोग करता है:

$ docker run -ti --name sandbox1 debian:jessie /bin/bash
root@93d098233cf3:/# echo 'howdy' > /tmp/test.txt
root@93d098233cf3:/# exit
exit
$ docker cp sandbox1:/tmp/test.txt .
$ ls -l test.txt
-rw-r--r-- 1 don don 6 Oct  6 10:52 test.txt
$ cat test.txt
howdy
$ 

जब मुझे इस प्रश्न में वर्णित किया गया है, तो मुझे नामांकित वॉल्यूम उपयोगी लगते हैं, जब मैं फ़ाइलों को एक कंटेनर में कॉपी करना चाहता हूं ।