მომხმარებელი Docker-ში

ანდრეი კოპილოვიჩვენს CTO-ს უყვარს, აქტიურად იყენებს და ხელს უწყობს Docker-ს. ახალ სტატიაში ის განმარტავს, თუ როგორ უნდა შექმნათ მომხმარებლები Docker-ში. სწორი მუშაობა მათთან, რატომ არ უნდა დარჩეს მომხმარებლებს root უფლებები და როგორ გადაჭრას Dockerfile-ში შეუსაბამო ინდიკატორების პრობლემა.

კონტეინერში ყველა პროცესი იმუშავებს როგორც root მომხმარებელი, თუ არ მიუთითებთ მას სპეციალური გზით. ეს ძალიან მოსახერხებელი ჩანს, რადგან ამ მომხმარებელს არ აქვს შეზღუდვები. ამიტომაც Root-ად მუშაობა არასწორია უსაფრთხოების თვალსაზრისით. თუ გონებით არავინ მუშაობს ადგილობრივ კომპიუტერზე root უფლებებით, მაშინ ბევრი აწარმოებს პროცესებს root ქვეშ კონტეინერებში.

ყოველთვის არის შეცდომები, რომლებიც საშუალებას მისცემს მავნე პროგრამას გაიქცეს კონტეინერიდან და მოხვდეს მასპინძელ კომპიუტერზე. ყველაზე უარესის დაშვებით, ჩვენ უნდა უზრუნველვყოთ, რომ კონტეინერის შიგნით პროცესები განხორციელდეს მომხმარებლის მიერ, რომელსაც არ აქვს რაიმე უფლება მასპინძელ მანქანაზე.

მომხმარებლის შექმნა

კონტეინერში მომხმარებლის შექმნა არაფრით განსხვავდება ლინუქსის დისტრიბუციებში მისი შექმნისგან. თუმცა, ბრძანებები შეიძლება განსხვავდებოდეს სხვადასხვა საბაზისო სურათებისთვის.

Debian-ზე დაფუძნებული დისტრიბუციისთვის, თქვენ უნდა დაამატოთ შემდეგი Dockerfile-ში:

RUN groupadd --gid 2000 node 
  && useradd --uid 2000 --gid node --shell /bin/bash --create-home node

ალპურისთვის:

RUN addgroup -g 2000 node 
    && adduser -u 2000 -G node -s /bin/sh -D node

პროცესების გაშვება მომხმარებლისგან

ყველა შემდგომი პროცესის გასაშვებად, როგორც მომხმარებლის UID 2000, გაუშვით:

USER 2000

ყველა შემდგომი პროცესის გასაშვებად, როგორც კვანძის მომხმარებელი, გაუშვით:

USER node

უფრო მეტი დოკუმენტაცია.

სამონტაჟო მოცულობები

კონტეინერში ტომების დამონტაჟებისას, მიეცით მომხმარებელს ფაილების წაკითხვის და/ან ჩაწერის შესაძლებლობა. ამისათვის კონტეინერში მყოფი მომხმარებლის UID (GID) და კონტეინერის გარეთ არსებული მომხმარებელი, რომელსაც აქვს ფაილზე წვდომის შესაბამისი ნებართვა, უნდა ემთხვეოდეს. ამ შემთხვევაში მომხმარებლის სახელებს მნიშვნელობა არ აქვს.

ხშირად Linux კომპიუტერზე მომხმარებლის UID და GID უდრის 1000-ს. ეს იდენტიფიკატორები ენიჭება კომპიუტერის პირველ მომხმარებელს.

თქვენი იდენტიფიკატორების გარკვევა მარტივია:

id

თქვენ მიიღებთ ამომწურავ ინფორმაციას თქვენი მომხმარებლის შესახებ.
შეცვალეთ მაგალითებიდან 2000 თქვენი იდენტიფიკატორით და ყველაფერი კარგად იქნება.

მომხმარებლისთვის UID და GID მინიჭება

თუ მომხმარებელი შეიქმნა ადრე, მაგრამ თქვენ უნდა შეცვალოთ იდენტიფიკატორები, შეგიძლიათ გააკეთოთ ეს ასე:

RUN usermod -u 1000 node 
  && groupmod -g 1000 node

თუ იყენებთ ალპური ბაზის სურათს, უნდა დააინსტალიროთ ჩრდილების პაკეტი:

RUN apk add —no-cache shadow

მომხმარებლის ID-ის გადაცემა კონტეინერში გამოსახულების შექმნისას

თუ თქვენი პირადობის მოწმობა და პროექტზე მომუშავე ყველა ადამიანის პირადობის მოწმობა ემთხვევა, მაშინ უბრალოდ მიუთითეთ ეს ID Dockerfile-ში. თუმცა, ხშირად მომხმარებლის ID არ ემთხვევა.

როგორ მიაღწიოთ იმას, რაც გსურთ, მაშინვე არ არის ნათელი. ჩემთვის ეს იყო ყველაზე რთული Docker-ის დაუფლების პროცესში. დოკერის ბევრ მომხმარებელს არ ესმის, რომ გამოსახულების ცხოვრებაში სხვადასხვა ეტაპია. პირველი, სურათი იკრიბება Dockerfile-ის გამოყენებით. სურათიდან კონტეინერის გაშვებისას, Dockerfile აღარ გამოიყენება.

მომხმარებლის შექმნა უნდა მოხდეს სურათის აგებისას. იგივე ეხება მომხმარებლის განსაზღვრას, რომლის ფარგლებშიც მიმდინარეობს პროცესები. ეს ნიშნავს, რომ ჩვენ როგორმე უნდა გადავიტანოთ UID (GID) კონტეინერის შიგნით.

დირექტივები გამოიყენება Dockerfile-ში გარე ცვლადების გამოსაყენებლად ენვ и ARG. დირექტივების დეტალური შედარება აქ.

dockerfile

ARG UID=1000
ARG GID=1000
ENV UID=${UID}
ENV GID=${GID}
RUN usermod -u $UID node 
  && groupmod -g $GID node

თქვენ შეგიძლიათ გადასცეთ არგუმენტები docker-compose-ით ასე:

დოკერი-კომპოზიცია

build:
  context: ./src/backend
  args:
    UID: 1000
    GID: 1000

PS Docker-ის ყველა სირთულის დასაუფლებლად, საკმარისი არ არის დოკუმენტაციის ან სტატიების წაკითხვა. ბევრი უნდა ივარჯიშო, დოკერის გრძნობა უნდა გქონდეს.

წყარო: www.habr.com