堆栈内存溢出
  繁体   English   中英

在 Ubuntu Docker 容器内运行非 root Docker

[英]Running non-root Docker within Ubuntu Docker container

 原文  2021-04-19 16:12:47       linux/ docker/ ubuntu

问题描述

我正在尝试在基于 Ubuntu 20.04 的 Docker 容器内运行 Docker 构建。 在 Docker 构建发生之前,容器需要作为构建过程的非 root 用户运行。

这是我的 Dockerfile 的一些片段,以显示我在做什么:

FROM amd64/ubuntu:20.04

# Install required packages
RUN apt-get update && apt-get install -y software-properties-common
                                        build-essential \
                                        libssl-dev \
                                        openssl \
                                        libsqlite3-dev \
                                        libtool \
                                        wget \
                                        autoconf \
                                        automake \
                                        git \
                                        make \
                                        pkg-config \
                                        cmake \
                                        doxygen \
                                        graphviz \
                                        docker.io

# Add user for CI purposes
RUN useradd -ms /bin/bash ciuser
RUN passwd -d ciuser

# Set docker group membership
RUN usermod -aG docker ciuser

# Run bash as the non-root user
CMD ["su", "-", "ciuser", "/bin/bash"]

当我运行容器并尝试运行 docker 命令时,出现错误:

$ docker run -ti --privileged=true -v /var/run/docker.sock:/var/run/docker.sock ci_container_staging
ciuser@0bb768506106:~$ docker ps
Got permission denied while trying to connect to the Docker daemon socket at unix:///var/run/docker.sock: Get http://%2Fvar%2Frun%2Fdocker.sock/v1.40/containers/json: dial unix /var/run/docker.sock: connect: permission denied

如果我删除以ciuser运行,它可以正常工作:

$ docker run -ti --privileged=true -v /var/run/docker.sock:/var/run/docker.sock /ci_container_staging
root@d71654581cec:/# docker ps
CONTAINER ID        IMAGE                                                  COMMAND             CREATED             STATUS              PORTS               NAMES
d71654581cec        ci_container_staging   "/bin/bash"         3 seconds ago       Up 2 seconds                            vigilant_lalande
root@d71654581cec:/#

通过 Dockerfile 设置 Docker 然后将用户设置为运行身份,我哪里出错了?

2 个解决方案

解决方案1
 1 已采纳  2021-04-19 17:34:16

amd64/ubuntu:20.04有一个docker组,组 id 为 103。很可能您本地计算机的 docker 组的 gid 不是 103(检查getent group docker 因此,即使ciuserdocker组的一部分,id 也是不同的,因此不会授予用户访问 docker 套接字的权限。

一个简单的解决方法是更改容器中docker组的 gid 以匹配您的主机:

RUN groupmod -g <HOST_DOCKER_GROUP_ID> docker

还有很多其他方法可以解决将 uid/gid 映射到 docker 容器的问题,但这应该可以为您提供足够的信息来继续前进。

示例/更多信息:

# gid on docker socket is 998
root@c349e1d13b76:/# ls -al /var/run/docker.sock 
srw-rw---- 1 root 998 0 Apr 12 14:54 /var/run/docker.sock

# But gid of docker group is 103
root@c349e1d13b76:/# getent group docker
docker:x:103:ciuser

# root can `docker ps`
root@c349e1d13b76:/# docker ps
CONTAINER ID   IMAGE            COMMAND       CREATED              STATUS              PORTS     NAMES
c349e1d13b76   nonroot:latest   "/bin/bash"   About a minute ago   Up About a minute             kind_satoshi

# but fails for ciuser
root@c349e1d13b76:/# runuser -l ciuser -c 'docker ps'
Got permission denied while trying to connect to the Docker daemon socket at unix:///var/run/docker.sock: Get http://%2Fvar%2Frun%2Fdocker.sock/v1.24/containers/json: dial unix /var/run/docker.sock: connect: permission denied

# change docker gid in the container to match the one on the socket/localhost
# 998 is the docker gid on my machine, yours may (will) be different.
root@c349e1d13b76:/# groupmod -g 998 docker

# run `docker ps` again as ciuser, works.
root@c349e1d13b76:/# runuser -l ciuser -c 'docker ps'
CONTAINER ID   IMAGE            COMMAND       CREATED              STATUS              PORTS     NAMES
c349e1d13b76   nonroot:latest   "/bin/bash"   About a minute ago   Up About a minute             kind_satoshi

解决方案2
 0  2021-04-20 00:11:18

启动容器时 Docker 元数据的一部分是它应该以哪个用户运行; 您通常不会使用susudo

USER ciuser
CMD ["/bin/bash"] # or the actual thing the container should do

这很重要,因为您可以在容器启动时覆盖用户,使用docker run -u选项; 或者您可以docker run --group-add额外组。 这些通常应该是数字组 ID,它们不需要存在于容器的/etc/passwd/etc/group文件中。

如果主机的 Docker 套接字是模式 0660 并且属于docker组,则可以查找相应的组 ID并指定容器进程具有该组 ID:

docker run \
  --group-add $(getent group docker | cut -d: -f3) \
  -v /var/run/docker.sock:/var/run/docker.sock \
  --rm \
  ci_container_staging \
  docker ps

(容器并不特别需要是--privileged ,尽管没有什么能阻止它启动额外的特权容器。)

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 在Docker容器中以非root身份运行nginx会给出权限被拒绝错误 在Docker上以非root用户身份运行JAR时出现权限错误 如何以非root用户身份运行Docker容器以及如何与他人共享Docker映像? 在 Cirrus/Kubernetes 环境中以特定的非 root 用户身份运行 Docker 容器 你能否以root身份在Docker容器内启动进程,而exec调用的默认用户是非root用户? 将 Docker 镜像中的用户切换为非 root 用户 让非root用户写入Docker中的linux主机 Docker - 在 ENTRYPOINT 中切换到非 root 用户是否安全? 为非 root 用户创建工作 Docker 映像的问题 在 ubuntu docker 容器中运行 wine
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM