משתמש ב-Docker

אנדריי קופילוב, CTO שלנו, אוהב, משתמש באופן פעיל ומקדם את Docker. במאמר חדש הוא מסביר כיצד ליצור משתמשים ב-Docker. עבודה נכונה איתם, מדוע אסור להשאיר למשתמשים זכויות שורש וכיצד לפתור את הבעיה של אינדיקטורים לא תואמים ב- Dockerfile.

כל התהליכים במיכל יפעלו כמשתמש השורש, אלא אם תציין זאת בצורה מיוחדת. זה נראה מאוד נוח, כי למשתמש הזה אין הגבלות. זו הסיבה שעבודה כשורש היא שגויה מנקודת מבט אבטחה. אם אף אחד בשכלו לא עובד על המחשב המקומי עם זכויות שורש, אז רבים מריצים תהליכים תחת שורש בקונטיינרים.

תמיד יש באגים שיאפשרו תוכנות זדוניות לברוח מהמיכל ולהגיע למחשב המארח. בהנחה הגרוע מכל, עלינו להבטיח שתהליכים בתוך הקונטיינר מופעלים על ידי משתמש שאין לו זכויות כלשהן במחשב המארח.

יצירת משתמש

יצירת משתמש בקונטיינר אינה שונה מיצירתו בהפצות לינוקס. עם זאת, הפקודות עשויות להשתנות עבור תמונות בסיס שונות.

עבור הפצות מבוססות דביאן, עליך להוסיף את הדברים הבאים ל-Dockerfile:

RUN groupadd --gid 2000 node 
  && useradd --uid 2000 --gid node --shell /bin/bash --create-home node

עבור אלפיני:

RUN addgroup -g 2000 node 
    && adduser -u 2000 -G node -s /bin/sh -D node

הפעלת תהליכים מהמשתמש

כדי להפעיל את כל התהליכים הבאים כמשתמש עם UID 2000, הפעל:

USER 2000

כדי להפעיל את כל התהליכים הבאים כמשתמש הצומת, הרץ:

USER node

יותר בפנים תיעוד.

הרכבת נפחים

בעת הרכבת אמצעי אחסון בתוך מיכל, ספק למשתמש את היכולת לקרוא ו/או לכתוב קבצים. לשם כך, ה-UID (GID) של המשתמש בקונטיינר והמשתמש מחוץ לקונטיינר שיש לו הרשאות גישה מתאימות לקובץ חייבים להתאים. במקרה זה, שמות המשתמש אינם חשובים.

לעתים קרובות במחשב Linux, UID ו-GID של משתמש שווים ל-1000. מזהים אלה מוקצים למשתמש הראשון של המחשב.

קל למצוא את המזהים שלך:

id

תקבל מידע מקיף על המשתמש שלך.
החלף 2000 מהדוגמאות במזהה שלך והכל יהיה בסדר.

הקצאת UID ו-GID למשתמש

אם המשתמש נוצר בעבר, אבל אתה צריך לשנות את המזהים, אתה יכול לעשות זאת כך:

RUN usermod -u 1000 node 
  && groupmod -g 1000 node

אם אתה משתמש בתמונת הבסיס האלפיני, עליך להתקין את חבילת הצללים:

RUN apk add —no-cache shadow

העברת מזהה המשתמש בתוך הקונטיינר בעת בניית התמונה

אם המזהה שלך והמזהים של כל האנשים שעובדים על הפרויקט תואמים, אז מספיק לציין את המזהה הזה ב- Dockerfile. עם זאת, לעתים קרובות מזהי המשתמש אינם תואמים.

איך להשיג את מה שאתה רוצה לא ברור מיד. עבורי, זה היה הדבר הקשה ביותר בתהליך השליטה ב-Docker. משתמשי Docker רבים אינם מבינים שישנם שלבים שונים בחייה של תמונה. ראשית, התמונה מורכבת באמצעות Dockerfile. בעת הפעלת קונטיינר מתמונה, ה- Dockerfile אינו בשימוש עוד.

יצירת משתמש חייבת להתרחש כאשר התמונה נבנית. כנ"ל לגבי קביעת המשתמש שתחתיו מופעלים תהליכים. זה אומר שאנחנו חייבים איכשהו להעביר את ה-UID (GID) בתוך הקונטיינר.

הנחיות משמשות לשימוש במשתנים חיצוניים ב- Dockerfile ENV и ARG. השוואה מפורטת של הנחיות כאן.

דוקרפיל

ARG UID=1000
ARG GID=1000
ENV UID=${UID}
ENV GID=${GID}
RUN usermod -u $UID node 
  && groupmod -g $GID node

אתה יכול להעביר ארגומנטים דרך docker-compose כך:

הדוקר-הלחנה

build:
  context: ./src/backend
  args:
    UID: 1000
    GID: 1000

נ.ב כדי לשלוט בכל המורכבות של Docker, זה לא מספיק לקרוא את התיעוד או המאמרים. אתה צריך להתאמן הרבה, אתה צריך להרגיש את Docker.

מקור: www.habr.com