Docker의 사용자

안드레이 코필로프, 우리의 CTO는 Docker를 사랑하고 적극적으로 사용하며 홍보합니다. 새 기사에서 그는 Docker에서 사용자를 생성하는 방법을 설명합니다. 올바른 작업, 사용자에게 루트 권한을 남겨서는 안되는 이유 및 Dockerfile에서 일치하지 않는 표시기 문제를 해결하는 방법.

특별한 방법으로 지정하지 않는 한 컨테이너의 모든 프로세스는 루트 사용자로 실행됩니다. 이 사용자에게는 제한이 없기 때문에 매우 편리해 보입니다. 이것이 보안 관점에서 루트로 작업하는 것이 잘못된 이유입니다. 올바른 마음을 가진 사람이 루트 권한으로 로컬 컴퓨터에서 작업하지 않으면 많은 사람들이 컨테이너의 루트에서 프로세스를 실행합니다.

맬웨어가 컨테이너에서 빠져나와 호스트 컴퓨터에 침입하도록 허용하는 버그는 항상 존재합니다. 최악의 경우를 가정하면 호스트 시스템에 대한 권한이 없는 사용자가 컨테이너 내부 프로세스를 실행하도록 해야 합니다.

사용자 생성

컨테이너에서 사용자를 생성하는 것은 Linux 배포판에서 생성하는 것과 다르지 않습니다. 그러나 명령은 기본 이미지에 따라 다를 수 있습니다.

Debian 기반 배포의 경우 Dockerfile에 다음을 추가해야 합니다.

RUN groupadd --gid 2000 node 
  && useradd --uid 2000 --gid node --shell /bin/bash --create-home node

알파인의 경우:

RUN addgroup -g 2000 node 
    && adduser -u 2000 -G node -s /bin/sh -D node

사용자로부터 프로세스 실행

UID 2000을 가진 사용자로 모든 후속 프로세스를 실행하려면 다음을 실행하십시오.

USER 2000

모든 후속 프로세스를 노드 사용자로 실행하려면 다음을 실행하십시오.

USER node

자세히 알아보기 선적 서류 비치.

볼륨 장착

컨테이너 내부에 볼륨을 탑재할 때 사용자에게 파일을 읽고 쓸 수 있는 기능을 제공합니다. 이를 위해서는 컨테이너 내 사용자와 파일에 액세스할 수 있는 적절한 권한이 있는 컨테이너 외부 사용자의 UID(GID)가 일치해야 합니다. 이 경우 사용자 이름은 중요하지 않습니다.

Linux 컴퓨터에서는 사용자의 UID와 GID가 1000인 경우가 많습니다. 이러한 식별자는 컴퓨터의 첫 번째 사용자에게 할당됩니다.

식별자를 찾는 것은 쉽습니다.

id

귀하는 귀하의 사용자에 대한 포괄적인 정보를 받게 됩니다.
예제의 2000을 귀하의 식별자로 바꾸면 모든 것이 잘 될 것입니다.

사용자에게 UID 및 GID 할당

사용자가 이전에 생성되었지만 식별자를 변경해야 하는 경우 다음과 같이 할 수 있습니다.

RUN usermod -u 1000 node 
  && groupmod -g 1000 node

Alpine 기본 이미지를 사용하는 경우 섀도우 패키지를 설치해야 합니다.

RUN apk add —no-cache shadow

이미지 빌드 시 컨테이너 내부에 사용자 ID 전달

귀하의 ID와 프로젝트에 참여하는 모든 사람의 ID가 일치하는 경우 Dockerfile에 이 ID를 지정하면 됩니다. 그러나 사용자 ID가 일치하지 않는 경우가 많습니다.

원하는 것을 달성하는 방법은 즉시 명확하지 않습니다. 저는 Docker를 마스터하는 과정에서 이것이 가장 어려웠습니다. 많은 Docker 사용자는 이미지 수명에 여러 단계가 있다는 사실을 인식하지 못합니다. 먼저 Dockerfile을 사용하여 이미지를 어셈블합니다. 이미지에서 컨테이너를 실행할 때 Dockerfile은 더 이상 사용되지 않습니다.

사용자 생성은 이미지가 빌드될 때 발생해야 합니다. 프로세스가 실행되는 사용자를 결정하는 경우에도 동일하게 적용됩니다. 이는 어떻게든 컨테이너 내부에 UID(GID)를 전달해야 함을 의미합니다.

지시문은 Dockerfile에서 외부 변수를 사용하는 데 사용됩니다. ENV и ARG. 지시어의 상세한 비교 여기에.

도커 파일

ARG UID=1000
ARG GID=1000
ENV UID=${UID}
ENV GID=${GID}
RUN usermod -u $UID node 
  && groupmod -g $GID node

다음과 같이 docker-compose를 통해 인수를 전달할 수 있습니다.

도커 작성

build:
  context: ./src/backend
  args:
    UID: 1000
    GID: 1000

PS Docker의 모든 복잡성을 익히려면 문서나 기사를 읽는 것만으로는 충분하지 않습니다. 연습을 많이 해야 하고, Docker에 대한 느낌도 익혀야 합니다.

출처 : habr.com