鉴于以下Dockerfile
FROM ubuntu
RUN groupadd mygroup
RUN useradd -ms /bin/bash -G mygroup john
MKDIR /data
COPY test/ /data/test data
RUN chown -R john:mygroup /data
CMD /bin/bash
在复制的测试目录中,我已将文件许可权设置为770。
如果su john在容器内部进行操作,则无法访问测试目录中的任何文件或子目录。似乎此问题与aufs文件系统中的所有权有关,在该文件系统中,复制的目录仍由root拥有,并且权限设置为770。
是否有解决此问题的方法以正确设置权限?一种可能是在复制之前将原始目录的权限设置为容器用户的uid。但这似乎更像是黑客。
Answers:
一个--chown标志终于被添加到COPY:
COPY --chown=patrick hostPath containerPath
这种新语法似乎可以在Docker 17.09上使用。
有关更多信息,请参见PR。
--chown=user:group,我在容器中创建了该用户和组
user.group语法,但没有用,很高兴我偶然发现了这一点。
user.group“普通”语法在哪里?.通常将A作为用户名的一部分,因此我对为什么有人将其用作分隔符感到有些怀疑/好奇……
ADD --chown=user:group还是UID:GID运行良好。
我想我找到了一个可行的解决方案。使用数据卷容器可以解决问题。首先,我创建数据卷容器,其中包含我的外部目录的副本:
FROM busybox
RUN mkdir /data
VOLUME /data
COPY /test /data/test
CMD /bin/sh
在我有我的用户的应用程序容器中,看起来可能像这样
FROM ubuntu
RUN groupadd mygroup
RUN useradd -ms /bin/bash -G mygroup john
COPY setpermissions.sh /root/setpermissions.sh
CMD /root/setpermissions.sh && /bin/bash
setpermissions脚本完成了设置用户权限的工作:
#!/bin/bash
if [ ! -e /data/.bootstrapped ] ; then
chown -R john:mygroup /data
touch /data/.bootstrapped
fi
现在,我只需要--volumes-from <myDataContainerId>在运行应用程序容器时使用。
RUN <fullpath_of_setpermissions.sh>参加Dockerfile
COPY和MKDIR我之前,我认为您应该有一个USER john