這篇文章主要介紹了Docker運(yùn)行時(shí)的用戶與組如何管理的相關(guān)知識(shí)，內(nèi)容詳細(xì)易懂，操作簡單快捷，具有一定借鑒價(jià)值，相信大家閱讀完這篇Docker運(yùn)行時(shí)的用戶與組如何管理文章都會(huì)有所收獲，下面我們一起來看看吧。

讓客戶滿意是我們工作的目標(biāo)，不斷超越客戶的期望值來自于我們對(duì)這個(gè)行業(yè)的熱愛。我們立志把好的技術(shù)通過有效、簡單的方式提供給客戶，將通過不懈努力成為客戶在信息化領(lǐng)域值得信任、有價(jià)值的長期合作伙伴，公司提供的服務(wù)項(xiàng)目有：域名注冊、網(wǎng)絡(luò)空間、營銷軟件、網(wǎng)站建設(shè)、任丘網(wǎng)站維護(hù)、網(wǎng)站推廣。

docker 以進(jìn)程為核心, 對(duì)系統(tǒng)資源進(jìn)行隔離使用的管理工具. 隔離是通過 cgroups (control groups 進(jìn)程控制組) 這個(gè)操作系統(tǒng)內(nèi)核特性來實(shí)現(xiàn)的. 包括用戶的參數(shù)限制、 帳戶管理、 資源(cpu,內(nèi)存,磁盤i/o,網(wǎng)絡(luò))使用的隔離等. docker 在運(yùn)行時(shí)可以為容器內(nèi)進(jìn)程指定用戶和組. 沒有指定時(shí)默認(rèn)是 root .但因?yàn)楦綦x的原因, 并不會(huì)因此喪失安全性. 傳統(tǒng)上, 特定的應(yīng)用都以特定的用戶來運(yùn)行, 在容器內(nèi)進(jìn)程指定運(yùn)行程序的所屬用戶或組并不需要在 host 中事先創(chuàng)建.

進(jìn)程控制組cgroups主要可能做以下幾件事:

• 資源限制 組可以設(shè)置為不超過配置的內(nèi)存限制, 其中還包括文件系統(tǒng)緩存

• 優(yōu)先級(jí) 某些組可能會(huì)獲得更大的 cpu 利用率份額或磁盤 i/o 吞吐量

• 帳號(hào)會(huì)計(jì) 度量組的資源使用情況, 例如, 用于計(jì)費(fèi)的目的

• 控制 凍結(jié)組進(jìn)程, 設(shè)置進(jìn)程的檢查點(diǎn)和重新啟動(dòng)

與 cgroups(控制進(jìn)程組) 相關(guān)聯(lián)的概念是 namespaces (命令空間).

命名空間主要有六種名稱隔離類型:

• pid 命名空間為進(jìn)程標(biāo)識(shí)符 (pids) 的分配、進(jìn)程列表及其詳細(xì)信息提供了隔離。

雖然新命名空間與其他同級(jí)對(duì)象隔離, 但其 "父 " 命名空間中的進(jìn)程仍會(huì)看到子命名空間中的所有進(jìn)程 (盡管具有不同的 pid 編號(hào))。

• 網(wǎng)絡(luò)命名空間隔離網(wǎng)絡(luò)接口控制器 (物理或虛擬)、iptables 防火墻規(guī)則、路由表等。網(wǎng)絡(luò)命名空間可以使用 "veth " 虛擬以太網(wǎng)設(shè)備彼此連接。

• uts 命名空間允許更改主機(jī)名。

• mount(裝載)命名空間允許創(chuàng)建不同的文件系統(tǒng)布局, 或使某些裝入點(diǎn)為只讀。

• ipc 命名空間將 system v 的進(jìn)程間通信通過命名空間隔離開來。

• 用戶命名空間將用戶 id 通過命名空間隔離開來。

普通用戶 docker run 容器內(nèi) root

如 busybox, 可以在 docker 容器中以 root 身份運(yùn)行軟件. 但 docker 容器本身仍以普通用戶執(zhí)行.

考慮這樣的情況

echo test | docker run -i busybox cat

前面的是當(dāng)前用戶當(dāng)前系統(tǒng)進(jìn)程,后面的轉(zhuǎn)入容器內(nèi)用戶和容器內(nèi)進(jìn)程運(yùn)行.

當(dāng)在容器內(nèi) pid 以1運(yùn)行時(shí), linux 會(huì)忽略信號(hào)系統(tǒng)的默認(rèn)行為, 進(jìn)程收到 sigint 或 sigterm 信號(hào)時(shí)不會(huì)退出, 除非你的進(jìn)程為此編碼. 可以通過 dockerfile stopsignal signal指定停止信號(hào).

如:

stopsignal sigkill

創(chuàng)建一個(gè) dockerfile

from alpine:latest
run apk add --update htop && rm -rf /var/cache/apk/*
cmd ["htop"]

$ docker build -t myhtop . #構(gòu)建鏡像
$ docker run -it --rm --pid=host myhtop #與 host 進(jìn)程運(yùn)行于同一個(gè)命名空間

普通用戶 docker run 容器內(nèi)指定不同用戶 demo_user

docker run --user=demo_user:group1 --group-add group2  

這里的 demo_user 和 group1(主組), group2(副組) 不是主機(jī)的用戶和組, 而是創(chuàng)建容器鏡像時(shí)創(chuàng)建的.

當(dāng)dockerfile里沒有通過user指令指定運(yùn)行用戶時(shí), 容器會(huì)以 root 用戶運(yùn)行進(jìn)程.

docker 指定用戶的方式

dockerfile 中指定用戶運(yùn)行特定的命令

user [:] #或
user [:]

docker run -u(--user)[user:group] 或 --group-add 參數(shù)方式

$ docker run busybox cat /etc/passwd
root:x:0:0:root:/root:/bin/sh
...
www-data:x:33:33:www-data:/var/www:/bin/false
nobody:x:65534:65534:nobody:/home:/bin/false

$ docker run --user www-data busybox id
uid=33(www-data) gid=33(www-data)

docker 容器內(nèi)用戶的權(quán)限

對(duì)比以下情況, host 中普通用戶創(chuàng)建的文件, 到 docker 容器下映射成了 root 用戶屬主:

$ mkdir test && touch test/a.txt && cd test
$ docker run --rm -it -v `pwd`:/mnt -w /mnt busybox  /bin/sh -c 'ls -al /mnt/*' 
-rw-r--r--  1 root   root       0 oct 22 15:36 /mnt/a.txt

而在容器內(nèi)卷目錄中創(chuàng)建的文件, 則對(duì)應(yīng) host 當(dāng)前執(zhí)行 docker 的用戶:

$ docker run --rm -it -v `pwd`:/mnt -w /mnt busybox  /bin/sh -c 'touch b.txt'
$ ls -al
-rw-r--r-- 1 xwx staff  0 10 22 23:36 a.txt
-rw-r--r-- 1 xwx staff  0 10 22 23:54 b.txt

docker volume 文件訪問權(quán)限

創(chuàng)建和使用卷, docker 不支持相對(duì)路徑的掛載點(diǎn), 多個(gè)容器可以同時(shí)使用同一個(gè)卷.

$ docker volume create hello #創(chuàng)建卷

hello

$ docker run -it --rm -v hello:/world -w /world busybox /bin/sh -c 'touch /world/a.txt && ls -al'  #容器內(nèi)建個(gè)文件
total 8
drwxr-xr-x  2 root   root     4096 oct 22 16:38 .
drwxr-xr-x  1 root   root     4096 oct 22 16:38 ..
-rw-r--r--  1 root   root       0 oct 22 16:38 a.txt

$ docker run -it --rm -v hello:/world -w /world busybox /bin/sh -c 'rm /world/a.txt && ls -al' #從容器內(nèi)刪除
total 8
drwxr-xr-x  2 root   root     4096 oct 22 16:38 .
drwxr-xr-x  1 root   root     4096 oct 22 16:38 ..

外部創(chuàng)建文件, 容器內(nèi)指定用戶去刪除

$ touch c.txt && sudo chmod root:wheel c.txt
$ docker run -u 100 -it --rm -v `pwd`:/world -w /world busybox /bin/sh -c 'rm /world/c.txt && ls -al'

實(shí)際是可以刪除的

rm: remove '/world/c.txt'? y
total 4
drwxr-xr-x  4 100   root      128 oct 23 16:09 .
drwxr-xr-x  1 root   root     4096 oct 23 16:09 ..
-rw-r--r--  1 100   root       0 oct 22 15:36 a.txt
-rw-r--r--  1 100   root       0 oct 22 15:54 b.txt

docker 普通用戶的1024以下端口權(quán)限

 $ docker run -u 100 -it --rm -p 70:80 busybox /bin/sh -c 'nc -l -p 80'
nc: bind: permission denied #用戶id 100 時(shí), 不能打開80端口
 $ docker run -u 100 -it --rm -p 70:8800 busybox /bin/sh -c 'nc -l -p 8800' #容器端口大于1024時(shí)則可以
...
 $ docker run -it --rm -p 70:80 busybox /bin/sh -c 'nc -l -p 80' #容器內(nèi)是 root 也可以
...

關(guān)于“Docker運(yùn)行時(shí)的用戶與組如何管理”這篇文章的內(nèi)容就介紹到這里，感謝各位的閱讀！相信大家對(duì)“Docker運(yùn)行時(shí)的用戶與組如何管理”知識(shí)都有一定的了解，大家如果還想學(xué)習(xí)更多知識(shí)，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道。