Docker และ --userns-remap วิธีจัดการสิทธิ์ระดับเสียงเพื่อแชร์ข้อมูลระหว่างโฮสต์และคอนเทนเนอร์

Question 1

ในนักเทียบท่าไฟล์ที่สร้างขึ้นภายในคอนเทนเนอร์มักจะมีความเป็นเจ้าของที่ไม่สามารถคาดเดาได้ในขณะที่ตรวจสอบไฟล์เหล่านั้นจากโฮสต์ เจ้าของไฟล์บนไดรฟ์ข้อมูลคือ root (uid 0) โดยค่าเริ่มต้น แต่ทันทีที่บัญชีผู้ใช้ที่ไม่ใช่รูทเกี่ยวข้องกับคอนเทนเนอร์และเขียนไปยังระบบไฟล์เจ้าของจะสุ่มจากมุมมองของโฮสต์มากขึ้นหรือน้อยลง

เป็นปัญหาเมื่อคุณต้องการเข้าถึงข้อมูลปริมาณจากโฮสต์โดยใช้บัญชีผู้ใช้เดียวกันซึ่งเรียกใช้คำสั่งนักเทียบท่า

วิธีแก้ปัญหาทั่วไปคือ

บังคับให้ผู้ใช้ uIDs ในเวลาสร้างใน Dockerfiles (ไม่ใช่แบบพกพา)
ส่งผ่าน UID ของผู้ใช้โฮสต์ไปยังdocker runคำสั่งเป็นตัวแปรสภาพแวดล้อมจากนั้นรันchownคำสั่งบางคำบนไดรฟ์ข้อมูลในสคริปต์จุดเริ่มต้น

โซลูชันทั้งสองนี้สามารถควบคุมสิทธิ์จริงภายนอกคอนเทนเนอร์ได้

ฉันคาดว่าเนมสเปซของผู้ใช้จะเป็นทางออกสุดท้ายสำหรับปัญหานี้ ฉันได้ทำการทดสอบกับเวอร์ชัน 1.10 ที่เพิ่งเปิดตัวและ - ผู้ใช้ - ทำการรีแมปไปยังบัญชีเดสก์ท็อปของฉัน อย่างไรก็ตามฉันไม่แน่ใจว่ามันสามารถทำให้การเป็นเจ้าของไฟล์บนไดรฟ์ข้อมูลที่เมาท์จัดการง่ายขึ้นฉันกลัวว่ามันอาจจะตรงกันข้าม

สมมติว่าฉันเริ่มคอนเทนเนอร์พื้นฐานนี้

docker run -ti -v /data debian:jessie /bin/bash
echo 'hello' > /data/test.txt
exit

จากนั้นตรวจสอบเนื้อหาจากโฮสต์:

ls -lh /var/lib/docker/100000.100000/volumes/<some-id>/_data/

-rw-r--r-- 1 100000 100000 6 Feb  8 19:43 test.txt

หมายเลข '100000' นี้เป็น UID ย่อยของผู้ใช้โฮสต์ของฉัน แต่เนื่องจากไม่ตรงกับ UID ของผู้ใช้ของฉันฉันจึงยังไม่สามารถแก้ไข test.txt ได้หากไม่มีสิทธิ์ ผู้ใช้ย่อยรายนี้ดูเหมือนจะไม่มีความสัมพันธ์ใด ๆ กับผู้ใช้ปกติของฉันนอกนักเทียบท่า มันไม่ถูกแมปกลับ

วิธีแก้ปัญหาที่กล่าวถึงก่อนหน้านี้ในโพสต์นี้ซึ่งประกอบด้วยการจัดแนว UID ระหว่างโฮสต์และคอนเทนเนอร์ไม่ทำงานอีกต่อไปเนื่องจากการUID->sub-UIDแมปที่เกิดขึ้นในเนมสเปซ

จากนั้นมีวิธีเรียกใช้นักเทียบท่าโดยเปิดใช้งานเนมสเปซผู้ใช้ (เพื่อความปลอดภัยที่ดีขึ้น) ในขณะที่ยังทำให้ผู้ใช้โฮสต์ที่เรียกใช้นักเทียบท่าสามารถเป็นเจ้าของไฟล์ที่สร้างจากไดรฟ์ข้อมูลได้หรือไม่

Question 2

หากคุณสามารถจัดเรียงผู้ใช้และกลุ่มล่วงหน้าได้ก็เป็นไปได้ที่จะกำหนด UID และ GID ด้วยวิธีที่เฉพาะเจาะจงดังกล่าวเพื่อให้ผู้ใช้โฮสต์สอดคล้องกับผู้ใช้ที่ระบุชื่อภายในคอนเทนเนอร์

นี่คือตัวอย่าง (Ubuntu 14.04, Docker 1.10):

สร้างผู้ใช้บางรายที่มีรหัสตัวเลขคงที่:

useradd -u 5000 ns1

groupadd -g 500000 ns1-root
groupadd -g 501000 ns1-user1

useradd -u 500000 -g ns1-root ns1-root
useradd -u 501000 -g ns1-user1 ns1-user1 -m

แก้ไขช่วง ID รองที่สร้างขึ้นโดยอัตโนมัติใน/etc/subuidและ/etc/subgidไฟล์:
```
ns1:500000:65536
```
(โปรดทราบว่าไม่มีบันทึกสำหรับns1-rootและns1-user1เนื่องจากMAX_UIDและMAX_GIDข้อ จำกัด ใน/etc/login.defs)
เปิดใช้งานเนมสเปซผู้ใช้ใน/etc/default/docker:
```
DOCKER_OPTS="--userns-remap=ns1"
```
รีสตาร์ท daemon service docker restartตรวจสอบให้แน่ใจว่า/var/lib/docker/500000.500000ไดเร็กทอรีถูกสร้างขึ้น

ตอนนี้ภายในคอนเทนเนอร์ที่คุณมีrootและuser1และบนโฮสต์ - ns1-rootและns1-user1ด้วยรหัสที่ตรงกัน

อัปเดต:เพื่อรับประกันว่าผู้ใช้ที่ไม่ใช่รูทมี ID คงที่ในคอนเทนเนอร์ (เช่น user1 1000: 1000) ให้สร้างอย่างชัดเจนในระหว่างการสร้างอิมเมจ

ทดลองขับ:

เตรียมไดเร็กทอรีวอลุ่ม
```
mkdir /vol1
chown ns1-root:ns1-root /vol1
```

ลองใช้จากภาชนะ

docker run --rm -ti -v /vol1:/vol1 busybox sh
echo "Hello from container" > /vol1/file
exit

ลองดูจากโฮสต์

passwd ns1-root
login ns1-root
cat /vol1/file
echo "can write" >> /vol1/file

ไม่พกพาและดูเหมือนแฮ็ค แต่ใช้งานได้

Question 3

วิธีแก้ปัญหาอย่างหนึ่งคือการกำหนด uid ของผู้ใช้แบบไดนามิกในเวลาสร้างเพื่อให้ตรงกับโฮสต์

ตัวอย่างDockerfile:

FROM ubuntu
# Defines argument which can be passed during build time.
ARG UID=1000
# Create a user with given UID.
RUN useradd -d /home/ubuntu -ms /bin/bash -g root -G sudo -u $UID ubuntu
# Switch to ubuntu user by default.
USER ubuntu
# Check the current uid of the user.
RUN id
# ...

จากนั้นสร้างเป็น:

docker build --build-arg UID=$UID -t mycontainer .

และเรียกใช้เป็น:

docker run mycontainer

หากคุณมีคอนเทนเนอร์อยู่แล้วให้สร้างที่เก็บกระดาษห่อด้วยสิ่งต่อไปนี้Dockerfile:

FROM someexistingcontainer
ARG UID=1000
USER root
# This assumes you've the existing user ubuntu.
RUN usermod -u $UID ubuntu
USER ubuntu

สิ่งนี้สามารถห่อด้วยdocker-compose.yml:

version: '3.4'
services:
  myservice:
    command: id
    image: myservice
    build:
      context: .
    volumes:
    - /data:/data:rw

จากนั้นสร้างและเรียกใช้เป็น:

docker-compose build --build-arg UID=$UID myservice; docker-compose run myservice

Question 4

คุณสามารถหลีกเลี่ยงปัญหาที่ได้รับอนุญาตโดยใช้คำสั่งdocker cp

การเป็นเจ้าของถูกกำหนดให้กับผู้ใช้และกลุ่มหลักที่ปลายทาง ตัวอย่างเช่นไฟล์ที่คัดลอกไปยังคอนเทนเนอร์ถูกสร้างขึ้นโดยUID:GIDผู้ใช้รูท ไฟล์ที่คัดลอกไปยังเครื่องโลคัลจะถูกสร้างขึ้นด้วยUID:GIDผู้ใช้ที่เรียกใช้docker cpคำสั่ง

นี่คือตัวอย่างของคุณที่เปลี่ยนไปใช้docker cp:

$ docker run -ti -v /data debian:jessie /bin/bash
root@e33bb735a70f:/# echo 'hello' > /data/test.txt
root@e33bb735a70f:/# exit
exit
$ docker volume ls
DRIVER              VOLUME NAME
local               f073d0e001fb8a95ad8d919a5680e72b21a457f62a40d671b63c62ae0827bf93
$ sudo ls -l /var/lib/docker/100000.100000/volumes/f073d0e001fb8a95ad8d919a5680e72b21a457f62a40d671b63c62ae0827bf93/_data
total 4
-rw-r--r-- 1 100000 100000 6 Oct  6 10:34 test.txt
$ docker ps -a
CONTAINER ID        IMAGE               COMMAND             CREATED              STATUS                          PORTS               NAMES
e33bb735a70f        debian:jessie       "/bin/bash"         About a minute ago   Exited (0) About a minute ago                       determined_hypatia
$ docker cp determined_hypatia:/data/test.txt .
$ ls -l test.txt 
-rw-r--r-- 1 don don 6 Oct  6 10:34 test.txt
$ cat test.txt
hello
$

อย่างไรก็ตามหากคุณต้องการอ่านไฟล์จากคอนเทนเนอร์คุณไม่จำเป็นต้องมีไดรฟ์ข้อมูลที่ตั้งชื่อ ตัวอย่างนี้ใช้คอนเทนเนอร์ที่มีชื่อแทนไดรฟ์ข้อมูลที่ตั้งชื่อ:

$ docker run -ti --name sandbox1 debian:jessie /bin/bash
root@93d098233cf3:/# echo 'howdy' > /tmp/test.txt
root@93d098233cf3:/# exit
exit
$ docker cp sandbox1:/tmp/test.txt .
$ ls -l test.txt
-rw-r--r-- 1 don don 6 Oct  6 10:52 test.txt
$ cat test.txt
howdy
$

ฉันพบว่าไดรฟ์ข้อมูลที่ตั้งชื่อมีประโยชน์เมื่อฉันต้องการคัดลอกไฟล์ลงในคอนเทนเนอร์ตามที่อธิบายไว้ในคำถามนี้