问题
我的 docker-compose 堆栈由“postgresql”、“redis”和“Python api 服务器”以及其他一些组件(例如 opentracing 等)组成,但问题区域仅限于前面提到的区域。
我的撰写文件中的入口点是一个 shell 脚本,它通过读取环境变量以及它应该执行的其他操作来动态创建一些文件和文件夹。现在,这些文件的创建工作就像一个魅力,但这些动态生成的文件的文件和文件夹权限变得有趣。在 Macos 上,这些动态生成的文件和文件夹由运行的非 root 用户拥有docker-compose up
。但是,在运行 Ubuntu 19.01 的 Linux 机器上,这些文件和文件夹的所有者是root
尽管 Dockerfile 明确做了chown non-root-user:non-root-group
到整个项目的文件夹并将活动用户设置为这样non-root-user
postgres 容器将自身安装到给定路径,但该目录的所有者不再是创建它的人,而是一些奇怪的systemd-coredump
我猜这是因为 Postgres 的 Dockerfile 上的 userID 和组映射到我的 Linux 服务器上的这个用户名?如果是,建议避免这种情况的方法是什么?
由于非root用户运行docker-compose up
无法保留主机上的文件和文件夹权限,我遇到了permission denied
问题。虽然一个chmod 777
有助于解决问题,我相信 chmod 777 永远不会真正解决任何问题。
重申一下,所有这些都只是 Linux 机器上的问题。在运行 Docker-For-Mac 的 Macos 上,预先存在的和动态生成的文件/文件夹都保留非 root 登录用户作为其所有者,并且在容器内,Dockerfile 中指定的 USER 仍然是所有预先存在的(那些通过传输COPY
)和新生成的动态文件/文件夹。
Example
文件和文件夹所有权更改的示例:
drwxrwxr-x 13 sparkle_deployment_2 sparkle_deployment_2 4096 Nov 21 01:00 PROTON/
drwx------ 19 systemd-coredump docker 4096 Nov 21 01:00 proton_db/
从上面,proton_db
是 Postgres 应该安装的地方。该文件夹最初由用户创建 -sparkle_deployment_2
. After docker-compose up
,所有者和组更改为system-coredump
and docker
分别。
这是我的一部分:docker-compose.yaml
version: "3.4"
services:
pg:
container_name: proton_postgres
restart: always
image: postgres
environment:
- POSTGRES_USER=${PG_USERNAME}
- POSTGRES_PASSWORD=${PG_PASSWORD}
- POSTGRES_DB=${PG_TARGET_DB}
volumes:
- ${PROTON_POSTGRES_VOLUME_MOUNT}:/var/lib/postgresql/data
ports:
- ${PG_TARGET_PORT}:${PG_TARGET_PORT}
redis:
container_name: proton_redis
restart: always
image: redis
volumes:
- ${PROTON_REDIS_VOLUME_MOUNT}:/data
ports:
- ${REDIS_TARGET_PORT}:${REDIS_TARGET_PORT}
proton:
container_name: proton
restart: always
image: proton_stretch
ports:
- ${PROTON_TARGET_PORT}:${PROTON_TARGET_PORT}
expose:
- ${PROTON_TARGET_PORT}
volumes:
- .:/PROTON
- ${PROTON_SQLITE_VOLUME_MOUNT}:/PROTON/proton-db
depends_on:
- pg
- redis
entrypoint: ["./proton.sh"]
而且,这是我的 API 服务器的 Dockerfile:
FROM python:3.7.3-stretch
RUN apt-get update
RUN apt-get install bash
RUN apt-get install -y gcc g++ unixodbc-dev
RUN groupadd -g proton_user_group
RUN useradd -G proton_user_group default_proton_user
RUN mkdir -p /PROTON
WORKDIR /PROTON
COPY . /PROTON
RUN python3 -m pip install -r requirements.txt --no-cache-dir
RUN chown -R default_proton_user:proton_user_group /PROTON
USER default_proton_user
EXPOSE 3000/tcp
如你所见,我正在做一个chown
明确让非 root 用户拥有该目录。尽管如此,当存在动态生成的文件/文件夹时,它们会得到root
作为他们的主人。而且,这种情况只发生在 Linux 上。
Win
就像在 MacOS 中一样,我希望 Linux 计算机上的非 root 主机保留所有预先存在的和动态生成的文件/文件夹的所有权,因此不会导致任何“权限被拒绝”问题。
再加上 Linux 计算机上的相同非 root 主机,以保留 Postgres 容器卷安装位置的所有权。