Docker：使用 --volume 绑定安装的文件权限

我遵循以下指南：https://denibertovic.com/posts/handling-permissions-with-docker-volumes/ https://denibertovic.com/posts/handling-permissions-with-docker-volumes/在我的容器中设置 --volume 绑定挂载，并在来宾容器中创建一个与我的主机用户具有相同 UID 的用户 - 理论是我的容器用户应该能够访问该挂载。它对我不起作用，我正在寻找一些下一步尝试的建议。

更多背景细节：

我的 Dockerfile 从 alpine 基础开始并添加了 python 开发包。它按照 denibertovic 的指导方针复制entrypoint.sh 脚本。然后它跳转到 entrpoint.sh 脚本。

FROM alpine

RUN apk update
RUN apk add bash
RUN apk add python3
RUN apk add python3-dev
RUN apk add su-exec

COPY entrypoint.sh /usr/local/bin/entrypoint.sh
RUN chmod +x  /usr/local/bin/entrypoint.sh

ENTRYPOINT ["/usr/local/bin/entrypoint.sh"]

entrpoint.sh 脚本将用户添加到容器，并将 UID 作为环境变量传入。

#!/bin/bash

# Add local user
# Either use the LOCAL_USER_ID if passed in at runtime or
# fallback

USER_ID=${LOCAL_USER_ID:-9001}

echo "Starting with UID : $USER_ID"
adduser -s /bin/bash -u $USER_ID -H -D user
export HOME=/home/user

su-exec user "$@"

容器构建没有问题。 然后我使用以下命令行运行它：

sudo docker run -it -e LOCAL_USER_ID=`id -u` -v `realpath ../..`:/ws django-runtime /bin/bash

您将看到我正在传递要映射到容器用户的 UID 的主机 UID，并且我要求将卷绑定挂载从我的本地工作目录到容器中的 /ws 挂载点。

从容器内的 bash shell 中，我可以看到 /ws 由与我自己的“id”匹配的“用户”UID 拥有。但是，当我去列出 /ws 的内容时，我收到一个 Permission Denied 错误，如下所示：

[dleclair@localhost runtime]$ sudo docker run -it -e LOCAL_USER_ID=`id -u` -v `realpath ../..`:/ws django-runtime /bin/bash
[sudo] password for dleclair:
Starting with UID : 1000
bash-5.0$ id
uid=1000(user) gid=1000(user) groups=1000(user)
bash-5.0$ ls -la .
total 0
drwxr-xr-x    1 root     root            27 Feb  8 09:15 .
drwxr-xr-x    1 root     root            27 Feb  8 09:15 ..
-rwxr-xr-x    1 root     root             0 Feb  8 09:15 .dockerenv
drwxr-xr-x    1 root     root            18 Feb  8 07:44 bin
drwxr-xr-x    5 root     root           360 Feb  8 09:15 dev
drwxr-xr-x    1 root     root            91 Feb  8 09:15 etc
drwxr-xr-x    2 root     root             6 Jan 16 21:52 home
drwxr-xr-x    1 root     root            17 Jan 16 21:52 lib
drwxr-xr-x    5 root     root            44 Jan 16 21:52 media
drwxr-xr-x    2 root     root             6 Jan 16 21:52 mnt
drwxr-xr-x    2 root     root             6 Jan 16 21:52 opt
dr-xr-xr-x  119 root     root             0 Feb  8 09:15 proc
drwx------    2 root     root             6 Jan 16 21:52 root
drwxr-xr-x    1 root     root            21 Feb  8 07:44 run
drwxr-xr-x    1 root     root            21 Feb  8 08:22 sbin
drwxr-xr-x    2 root     root             6 Jan 16 21:52 srv
dr-xr-xr-x   13 root     root             0 Feb  8 01:58 sys
drwxrwxrwt    2 root     root             6 Jan 16 21:52 tmp
drwxr-xr-x    1 root     root            19 Feb  8 07:44 usr
drwxr-xr-x    1 root     root            19 Jan 16 21:52 var
drwxrwxr-x    5 user     user           111 Feb  8 02:15 ws
bash-5.0$
bash-5.0$
bash-5.0$ cd /ws
bash-5.0$ ls -la
ls: can't open '.': Permission denied
total 0
bash-5.0$

感谢任何人可以提供的任何指示。谢谢！

经过更多搜索，我在这里找到了问题的答案：访问 Docker 中的主机目录的权限被拒绝 https://stackoverflow.com/questions/24288616/permission-denied-on-accessing-host-directory-in-docker和这里：http://www.projectatomic.io/blog/2015/06/using-volumes-with-docker-can-cause-problems-with-selinux/ http://www.projectatomic.io/blog/2015/06/using-volumes-with-docker-can-cause-problems-with-selinux/.

简而言之，问题在于卷安装的 SELinux 默认标签阻止了对已安装文件的访问。解决方案是在 -v 命令行参数中添加“:Z”尾部，以强制 docker 针对已安装的文件设置适当的标志以允许访问。

因此命令行变成：

sudo docker run -it -e LOCAL_USER_ID=`id -u` -v `realpath ../..`:/ws:Z django-runtime /bin/bash

工作起来就像一个魅力。