当前位置: 开发笔记 > 运维 > 正文

Docker运行时的用户与组管理的方法

作者：马岱五号_668 | 来源：互联网 | 2021-09-18 13:38

这篇文章主要介绍了Docker运行时的用户与组管理的方法，小编觉得挺不错的，现在分享给大家，也给大家做个参考。一起跟随小编过来看看吧

docker 以进程为核心, 对系统资源进行隔离使用的管理工具. 隔离是通过 cgroups (control groups 进程控制组) 这个操作系统内核特性来实现的. 包括用户的参数限制、帐户管理、资源(CPU,内存,磁盘I/O,网络)使用的隔离等. docker 在运行时可以为容器内进程指定用户和组. 没有指定时默认是 root .但因为隔离的原因, 并不会因此丧失安全性. 传统上, 特定的应用都以特定的用户来运行, 在容器内进程指定运行程序的所属用户或组并不需要在 host 中事先创建.

进程控制组cgroups主要可能做以下几件事:

资源限制组可以设置为不超过配置的内存限制, 其中还包括文件系统缓存
优先级某些组可能会获得更大的 CPU 利用率份额或磁盘 i/o 吞吐量
帐号会计度量组的资源使用情况, 例如, 用于计费的目的
控制冻结组进程, 设置进程的检查点和重新启动

与 cgroups(控制进程组) 相关联的概念是 namespaces (命令空间).

命名空间主要有六种名称隔离类型:

PID 命名空间为进程标识符 (PIDs) 的分配、进程列表及其详细信息提供了隔离。

虽然新命名空间与其他同级对象隔离, 但其 "父 " 命名空间中的进程仍会看到子命名空间中的所有进程 (尽管具有不同的 PID 编号)。

网络命名空间隔离网络接口控制器 (物理或虚拟)、iptables 防火墙规则、路由表等。网络命名空间可以使用 "veth " 虚拟以太网设备彼此连接。
UTS 命名空间允许更改主机名。
mount(装载)命名空间允许创建不同的文件系统布局, 或使某些装入点为只读。
IPC 命名空间将 System V 的进程间通信通过命名空间隔离开来。
用户命名空间将用户 id 通过命名空间隔离开来。

普通用户 docker run 容器内 root

如 busybox, 可以在 docker 容器中以 root 身份运行软件. 但 docker 容器本身仍以普通用户执行.

考虑这样的情况

echo test | docker run -i busybox cat

前面的是当前用户当前系统进程,后面的转入容器内用户和容器内进程运行.

当在容器内 PID 以1运行时, Linux 会忽略信号系统的默认行为, 进程收到 SIGINT 或 SIGTERM 信号时不会退出, 除非你的进程为此编码. 可以通过 Dockerfile STOPSIGNAL signal指定停止信号.

如:

STOPSIGNAL SIGKILL

创建一个 Dockerfile

FROM alpine:latest
RUN apk add --update htop && rm -rf /var/cache/apk/*
CMD ["htop"]

$ docker build -t myhtop . #构建镜像
$ docker run -it --rm --pid=host myhtop #与 host 进程运行于同一个命名空间

普通用户 docker run 容器内指定不同用户 demo_user

docker run --user=demo_user:group1 --group-add group2

这里的 demo_user 和 group1(主组), group2(副组) 不是主机的用户和组, 而是创建容器镜像时创建的.

当Dockerfile里没有通过USER指令指定运行用户时, 容器会以 root 用户运行进程.

docker 指定用户的方式

Dockerfile 中指定用户运行特定的命令

USER [:] #或
USER [:]

docker run -u(--user)[user:group] 或 --group-add 参数方式

$ docker run busybox cat /etc/passwd
root:x:0:0:root:/root:/bin/sh
...
www-data:x:33:33:www-data:/var/www:/bin/false
nobody:x:65534:65534:nobody:/home:/bin/false

$ docker run --user www-data busybox id
uid=33(www-data) gid=33(www-data)

docker 容器内用户的权限

对比以下情况, host 中普通用户创建的文件, 到 docker 容器下映射成了 root 用户属主:

$ mkdir test && touch test/a.txt && cd test
$ docker run --rm -it -v `pwd`:/mnt -w /mnt busybox  /bin/sh -c 'ls -al /mnt/*' 
-rw-r--r--  1 root   root       0 Oct 22 15:36 /mnt/a.txt

而在容器内卷目录中创建的文件, 则对应 host 当前执行 docker 的用户:

$ docker run --rm -it -v `pwd`:/mnt -w /mnt busybox  /bin/sh -c 'touch b.txt'
$ ls -al
-rw-r--r-- 1 xwx staff  0 10 22 23:36 a.txt
-rw-r--r-- 1 xwx staff  0 10 22 23:54 b.txt

docker volume 文件访问权限

创建和使用卷, docker 不支持相对路径的挂载点, 多个容器可以同时使用同一个卷.

$ docker volume create hello #创建卷

hello

$ docker run -it --rm -v hello:/world -w /world busybox /bin/sh -c 'touch /world/a.txt && ls -al'  #容器内建个文件
total 8
drwxr-xr-x  2 root   root     4096 Oct 22 16:38 .
drwxr-xr-x  1 root   root     4096 Oct 22 16:38 ..
-rw-r--r--  1 root   root       0 Oct 22 16:38 a.txt

$ docker run -it --rm -v hello:/world -w /world busybox /bin/sh -c 'rm /world/a.txt && ls -al' #从容器内删除
total 8
drwxr-xr-x  2 root   root     4096 Oct 22 16:38 .
drwxr-xr-x  1 root   root     4096 Oct 22 16:38 ..

外部创建文件, 容器内指定用户去删除

$ touch c.txt && sudo chmod root:wheel c.txt
$ docker run -u 100 -it --rm -v `pwd`:/world -w /world busybox /bin/sh -c 'rm /world/c.txt && ls -al'

实际是可以删除的

rm: remove '/world/c.txt'&＃63; y
total 4
drwxr-xr-x  4 100   root      128 Oct 23 16:09 .
drwxr-xr-x  1 root   root     4096 Oct 23 16:09 ..
-rw-r--r--  1 100   root       0 Oct 22 15:36 a.txt
-rw-r--r--  1 100   root       0 Oct 22 15:54 b.txt

docker 普通用户的1024以下端口权限

 $ docker run -u 100 -it --rm -p 70:80 busybox /bin/sh -c 'nc -l -p 80'
nc: bind: Permission denied #用户id 100 时, 不能打开80端口
 $ docker run -u 100 -it --rm -p 70:8800 busybox /bin/sh -c 'nc -l -p 8800' #容器端口大于1024时则可以
...
 $ docker run -it --rm -p 70:80 busybox /bin/sh -c 'nc -l -p 80' #容器内是 root 也可以
...

以上就是本文的全部内容，希望对大家的学习有所帮助，也希望大家多多支持。

推荐阅读

docker
探索阿里巴巴的开源世界

从理想主义者的内心深处萌发的技术信仰，推动了云原生技术在全球范围内的快速发展。本文将带你深入了解阿里巴巴在开源领域的贡献与成就。 ... [详细]

蜡笔小新 2024-11-21 09:06:54
docker
深入解析 RuntimeClass 及多容器运行时应用

本文旨在探讨RuntimeClass的起源、功能及其在多容器运行时环境中的实际应用。通过详细的案例分析，帮助读者理解如何在Kubernetes集群中高效管理不同类型的容器运行时。 ... [详细]

蜡笔小新 2024-11-25 15:13:46
docker
Kubernetes 实践指南：初次体验

本文介绍了如何通过官方提供的简易示例，快速上手 Kubernetes (K8S)，并深入理解其核心概念和操作流程。 ... [详细]

蜡笔小新 2024-11-25 11:09:16
nginx
微服务自动化.dockercompose

目录一、docker-compose二、docker-compose安装与配置1、修改docker.service2、下载文件3、将刚才下载的docker-compose文 ... [详细]

蜡笔小新 2024-11-25 10:14:20
ssh
Docker安全策略与管理

本文探讨了Docker的安全挑战、核心安全特性及其管理策略，旨在帮助读者深入理解Docker安全机制，并提供实用的安全管理建议。 ... [详细]

蜡笔小新 2024-11-21 20:03:03
docker
使用 Docker 在阿里云部署 Flask 应用

本文介绍如何在阿里云环境中利用 Docker 容器化技术部署一个简单的 Flask Web 应用，并确保其可通过互联网访问。内容涵盖 Python 代码编写、Dockerfile 配置、镜像构建及容器运行等步骤。 ... [详细]

蜡笔小新 2024-11-20 18:35:41
linux
分布式计算助力链力实现毫秒级安全响应，确保100%数据准确性

随着分布式计算技术的发展，其在数据存储、文件传输、在线视频、社交平台及去中心化金融等多个领域的应用日益广泛。国际知名企业如Firefox、Google、Opera、Netflix、OpenBazaar等均已采用该技术，推动了技术创新和服务升级。 ... [详细]

蜡笔小新 2024-11-24 18:25:00
linux
在Linux系统中使用EncFS实现文件夹加密

为了保护个人隐私或敏感数据不被未经授权的访问，可以通过加密技术来增强安全性。本文介绍如何在Linux系统上使用EncFS工具创建和管理加密文件夹，以确保即使在系统登录状态下，特定文件夹中的数据也保持加密状态。 ... [详细]

蜡笔小新 2024-11-24 17:06:52
服务器
解决 MyBatis 批量操作时 BindingException 异常

本文探讨了在使用 MyBatis 进行批量数据处理时遇到的参数绑定异常问题，并提供了详细的解决方案。 ... [详细]

蜡笔小新 2024-11-24 13:03:13
服务器
Openfire在不同操作系统中的部署指南

本文详细介绍了如何在Windows和Linux系统上配置Openfire服务器，包括安装步骤、数据库配置及端口映射等关键环节。 ... [详细]

蜡笔小新 2024-11-24 12:33:03
docker
Docker基础入门与环境配置指南

本文介绍了Docker——一款用Go语言编写的开源应用程序容器引擎。通过Docker，用户能够将应用及其依赖打包进容器内，实现高效、轻量级的虚拟化。容器之间采用沙箱机制，确保彼此隔离且资源消耗低。 ... [详细]

蜡笔小新 2024-11-24 09:54:53
docker
Docker运行中实例端口映射调整方法

本文探讨了在Docker容器运行期间调整端口映射的方法，包括前期规划与运行时需求变更两种常见场景下的解决方案。 ... [详细]

蜡笔小新 2024-11-24 08:44:31
linux
春季职场跃迁指南：如何高效利用金三银四跳槽季

随着每年的‘金三银四’跳槽高峰期的到来，许多职场人士都开始考虑是否应该寻找新的职业机会。本文将探讨如何制定有效的职业规划、撰写吸引人的简历以及掌握面试技巧，助您在这关键时期成功实现职场跃迁。 ... [详细]

蜡笔小新 2024-11-22 19:18:22
linux
深入理解函数式编程中的函子

函子（Functor）是函数式编程中的一个重要概念，它不仅是一个特殊的容器，还提供了一种优雅的方式来处理值和函数。本文将详细介绍函子的基本概念及其在函数式编程中的应用，包括如何通过函子控制副作用、处理异常以及进行异步操作。 ... [详细]

蜡笔小新 2024-11-21 20:29:15
linux
将字符串中的嵌套列表转换回嵌套列表

将字符串中的嵌套列表转换回嵌套列表 ... [详细]

蜡笔小新 2024-11-18 17:46:24

马岱五号_668

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章