អ្នកប្រើប្រាស់នៅក្នុង Docker

Andrey KopylovCTO របស់យើង ស្រឡាញ់ ប្រើប្រាស់ និងផ្សព្វផ្សាយ Docker យ៉ាងសកម្ម។ នៅក្នុងអត្ថបទថ្មីមួយ គាត់ពន្យល់ពីរបៀបបង្កើតអ្នកប្រើប្រាស់នៅក្នុង Docker ។ ការងារត្រឹមត្រូវជាមួយពួកគេ ហេតុអ្វីបានជាអ្នកប្រើប្រាស់មិនគួរទុកសិទ្ធិជា root និងរបៀបដោះស្រាយបញ្ហានៃសូចនាករមិនត្រូវគ្នានៅក្នុង Dockerfile ។

ដំណើរការទាំងអស់នៅក្នុងកុងតឺន័រនឹងដំណើរការជាអ្នកប្រើប្រាស់ root លុះត្រាតែអ្នកបញ្ជាក់វាតាមរបៀបពិសេស។ នេះ​ហាក់​ដូច​ជា​ងាយ​ស្រួល​ណាស់ ព្រោះ​អ្នក​ប្រើ​នេះ​មិន​មាន​ការ​រឹត​បន្តឹង​ទេ។ នេះ​ជា​មូលហេតុ​ដែល​ការ​ធ្វើការ​ជា root គឺ​ខុស​ពី​ទិដ្ឋភាព​សុវត្ថិភាព។ ប្រសិនបើគ្មាននរណាម្នាក់នៅក្នុងគំនិតត្រឹមត្រូវរបស់ពួកគេធ្វើការនៅលើកុំព្យូទ័រមូលដ្ឋានជាមួយនឹងសិទ្ធិជា root នោះ ដំណើរការជាច្រើនដំណើរការនៅក្រោម root នៅក្នុងកុងតឺន័រ។

វាតែងតែមានកំហុសដែលនឹងអនុញ្ញាតឱ្យមេរោគគេចចេញពីកុងតឺន័រ ហើយចូលទៅកាន់កុំព្យូទ័រម៉ាស៊ីន។ សន្មតថាអាក្រក់បំផុត យើងត្រូវធានាថាដំណើរការនៅក្នុងកុងតឺន័រត្រូវបានដំណើរការដោយអ្នកប្រើប្រាស់ដែលមិនមានសិទ្ធិណាមួយនៅលើម៉ាស៊ីនមេ។

ការបង្កើតអ្នកប្រើប្រាស់

ការបង្កើតអ្នកប្រើប្រាស់នៅក្នុងកុងតឺន័រគឺមិនខុសពីការបង្កើតវានៅក្នុងការចែកចាយលីនុចនោះទេ។ ទោះយ៉ាងណាក៏ដោយ ពាក្យបញ្ជាអាចប្រែប្រួលសម្រាប់រូបភាពមូលដ្ឋានផ្សេងៗគ្នា។

សម្រាប់ការចែកចាយដែលមានមូលដ្ឋានលើ debian អ្នកត្រូវបន្ថែមដូចខាងក្រោមទៅ Dockerfile៖

RUN groupadd --gid 2000 node 
  && useradd --uid 2000 --gid node --shell /bin/bash --create-home node

សម្រាប់ភ្នំអាល់ផែន៖

RUN addgroup -g 2000 node 
    && adduser -u 2000 -G node -s /bin/sh -D node

ដំណើរការដំណើរការពីអ្នកប្រើប្រាស់

ដើម្បីដំណើរការដំណើរការជាបន្តបន្ទាប់ទាំងអស់ក្នុងនាមជាអ្នកប្រើប្រាស់ជាមួយ UID 2000 សូមដំណើរការ៖

USER 2000

ដើម្បីដំណើរការដំណើរការជាបន្តបន្ទាប់ទាំងអស់ក្នុងនាមជាអ្នកប្រើប្រាស់ថ្នាំង សូមដំណើរការ៖

USER node

ច្រើនទៀតនៅក្នុង ឯកសារ.

ការម៉ោនបរិមាណ

នៅពេលដំឡើងភាគនៅក្នុងកុងតឺន័រ ផ្តល់ឱ្យអ្នកប្រើប្រាស់នូវសមត្ថភាពក្នុងការអាន និង/ឬសរសេរឯកសារ។ ដើម្បីធ្វើដូច្នេះ UID (GID) របស់អ្នកប្រើនៅក្នុងកុងតឺន័រ និងអ្នកប្រើប្រាស់នៅខាងក្រៅកុងតឺន័រដែលមានការអនុញ្ញាតសមរម្យដើម្បីចូលប្រើឯកសារត្រូវតែផ្គូផ្គង។ ក្នុងករណីនេះឈ្មោះអ្នកប្រើមិនមានបញ្ហាទេ។

ជាញឹកញាប់នៅលើកុំព្យូទ័រលីនុច UID និង GID របស់អ្នកប្រើគឺស្មើនឹង 1000។ ការកំណត់អត្តសញ្ញាណទាំងនេះត្រូវបានផ្តល់ទៅឱ្យអ្នកប្រើប្រាស់ដំបូងនៃកុំព្យូទ័រ។

ការស្វែងរកអត្តសញ្ញាណរបស់អ្នកគឺងាយស្រួល៖

id

អ្នកនឹងទទួលបានព័ត៌មានដ៏ទូលំទូលាយអំពីអ្នកប្រើប្រាស់របស់អ្នក។
ជំនួសលេខ 2000 ពីឧទាហរណ៍ដោយប្រើឧបករណ៍កំណត់អត្តសញ្ញាណរបស់អ្នក ហើយអ្វីៗនឹងល្អ។

ការផ្តល់ UID និង GID ដល់អ្នកប្រើប្រាស់

ប្រសិនបើអ្នកប្រើត្រូវបានបង្កើតពីមុន ប៉ុន្តែអ្នកត្រូវផ្លាស់ប្តូរការកំណត់អត្តសញ្ញាណ អ្នកអាចធ្វើវាដូចនេះ៖

RUN usermod -u 1000 node 
  && groupmod -g 1000 node

ប្រសិនបើអ្នកកំពុងប្រើរូបភាពមូលដ្ឋានអាល់ផែន អ្នកត្រូវដំឡើងកញ្ចប់ស្រមោល៖

RUN apk add —no-cache shadow

ឆ្លងកាត់លេខសម្គាល់អ្នកប្រើប្រាស់នៅខាងក្នុងធុងនៅពេលបង្កើតរូបភាព

ប្រសិនបើ ID របស់អ្នក និងលេខសម្គាល់របស់មនុស្សទាំងអស់ដែលធ្វើការលើគម្រោងត្រូវគ្នានោះ គ្រាន់តែបញ្ជាក់លេខសម្គាល់នេះនៅក្នុង Dockerfile ។ ទោះយ៉ាងណាក៏ដោយ ជាញឹកញាប់លេខសម្គាល់អ្នកប្រើប្រាស់មិនត្រូវគ្នាទេ។

របៀបដើម្បីសម្រេចបាននូវអ្វីដែលអ្នកចង់បានគឺមិនច្បាស់ភ្លាមៗនោះទេ។ សម្រាប់ខ្ញុំ នេះគឺជារឿងដ៏លំបាកបំផុតនៅក្នុងដំណើរការនៃការធ្វើជាម្ចាស់ Docker ។ អ្នកប្រើប្រាស់ docker ជាច្រើនមិនបានដឹងថាមានដំណាក់កាលផ្សេងគ្នានៅក្នុងជីវិតនៃរូបភាពនោះទេ។ ដំបូងរូបភាពត្រូវបានផ្គុំដោយប្រើ Dockerfile ។ នៅពេលដំណើរការកុងតឺន័រពីរូបភាព ឯកសារ Dockerfile មិនត្រូវបានប្រើទៀតទេ។

ការបង្កើតអ្នកប្រើប្រាស់ត្រូវតែកើតឡើងនៅពេលដែលរូបភាពត្រូវបានបង្កើតឡើង។ អនុវត្តដូចគ្នាចំពោះការកំណត់អ្នកប្រើប្រាស់ដែលដំណើរការត្រូវបានចាប់ផ្តើម។ នេះមានន័យថាយើងត្រូវឆ្លងកាត់ UID (GID) នៅខាងក្នុងកុងតឺន័រ។

ការណែនាំត្រូវបានប្រើដើម្បីប្រើអថេរខាងក្រៅនៅក្នុង Dockerfile អេនវី и ARG. ការប្រៀបធៀបលម្អិតនៃការណែនាំ នៅទីនេះ.

Dockerfile

ARG UID=1000
ARG GID=1000
ENV UID=${UID}
ENV GID=${GID}
RUN usermod -u $UID node 
  && groupmod -g $GID node

អ្នកអាចឆ្លងកាត់អាគុយម៉ង់តាមរយៈ docker-compose ដូចនេះ៖

docker- តែង

build:
  context: ./src/backend
  args:
    UID: 1000
    GID: 1000

PS ដើម្បីគ្រប់គ្រងភាពស្មុគ្រស្មាញទាំងអស់របស់ Docker វាមិនគ្រប់គ្រាន់ទេក្នុងការអានឯកសារ ឬអត្ថបទ។ អ្នកត្រូវហាត់ច្រើន អ្នកត្រូវមានអារម្មណ៍សម្រាប់ Docker ។

ប្រភព: www.habr.com