Quyền của người dùng trong và ngoài container LXC?

Tôi đang chạy một số dịch vụ bên trong các container Docker LXC trên máy chủ của mình và tôi bắt đầu thực sự làm những việc nghiêm túc với chúng.

Một điều tôi không rõ là làm thế nào quyền của người dùng hoạt động bên trong và bên ngoài container. Ví dụ: nếu tôi đang chạy MySQL trong một thùng chứa và có thư mục dữ liệu được đặt thành /datakhối lượng Docker, thì các quyền bên trong và bên ngoài của container ảnh hưởng đến các chính sách truy cập như thế nào?

Rõ ràng, ý tưởng là chạy MySQL với tư cách là người dùng của chính nó trong vùng chứa (tức là mysql:mysql) và cung cấp cho nó quyền đọc và ghi vào thư mục đó. Tôi giả định rằng điều này sẽ khá đơn giản, chỉ cần chmodnhập thư mục, vv Nhưng làm thế nào để nó hoạt động bên ngoài container? Bây giờ tôi có khối lượng chia sẻ Docker này được gọi là 'dữ liệu', làm cách nào để quản lý kiểm soát truy cập vào nó?

Tôi đặc biệt mong muốn có thể chạy một người dùng không có đặc quyền bên ngoài bộ chứa Docker, định kỳ sẽ truy cập vào khối lượng chia sẻ của MySQL và sao lưu dữ liệu.

Làm cách nào tôi có thể thiết lập quyền, người dùng và nhóm để người dùng cụ thể trên máy chủ có thể đọc / ghi tệp và thư mục trong ổ đĩa chia sẻ Docker?

Kể từ khi phiên bản 0.9 Docker bị hủy LXCvà sử dụng môi trường thực thi riêng của nó , libcontainer. Câu hỏi của bạn hơi cũ nhưng tôi đoán câu trả lời của tôi vẫn áp dụng phiên bản bạn đang sử dụng.

Trả lời nhanh: Để hiểu các quyền của âm lượng, bạn có thể sử dụng phép tương tự mount --bind Host-Dir Container-Dir. Vì vậy, để đáp ứng yêu cầu của bạn, bạn có thể sử dụng bất kỳ phương pháp truyền thống nào để quản lý quyền. Tôi đoán ACL là những gì bạn cần .

Câu trả lời dài: Vì vậy, như trong ví dụ của bạn, chúng ta có một thùng chứa có tên dock với âm lượng /data.

docker run -tid --name dock -v /usr/container/Databases/:/data \
    centos:latest /bin/bash

Bên trong container, máy chủ MySQL của chúng tôi đã được cấu hình để sử dụng /datalàm thư mục dữ liệu của nó. Vì vậy, chúng tôi có cơ sở dữ liệu của chúng tôi /datatrong container. Và bên ngoài container trên hệ điều hành máy chủ, chúng tôi đã gắn kết này /datakhối lượng từ /usr/container/Databases/và chúng ta gán một người dùng bình thường bob để sao lưu của cơ sở dữ liệu. Từ máy chủ, chúng tôi sẽ cấu hình ACL cho người dùng bob .

useradd -u 3000 bob
usermod -R o=--- /usr/container/Databases/
setfacl -R -m u:bob:rwx /usr/container/Databases/
setfacl -R -d -m u:bob:rwx /usr/container/Databases/

Để kiểm tra nó, hãy sao lưu với người dùng bob .

su - bob
tar -cvf container-data.tar /usr/container/Databases/

Và tar sẽ liệt kê ra và bạn có thể thấy rằng người dùng của chúng tôi có thể truy cập tất cả các tệp.

Bây giờ từ bên trong container nếu bạn kiểm tra với getfaclbạn sẽ nhận thấy rằng thay vì bob nó hiển thị 3000. Điều này là do UID của bob là 3000 và không có người dùng nào trong container nên nó chỉ hiển thị UID mà nó nhận được từ dữ liệu meta . Bây giờ nếu bạn tạo một người dùng trong thùng chứa của mình, useradd -u 3000 bobbạn sẽ nhận thấy rằng bây giờ tên getfaclhiển thị bob thay vì 3000.

Tóm tắt : Vì vậy, quyền người dùng bạn gán từ bên trong hoặc bên ngoài vùng chứa phản ánh cả hai môi trường. Vì vậy, để quản lý quyền của khối lượng, UID trong máy chủ phải khác với UID trong vùng chứa .