Docker 卷 - 需要写入数据库的权限
Docker volume - need permissions to write to database
我正在开发一个 flask 服务器(在带有 python 3.5 的 virtualenv 中)用作 REST API(仅用于按照 flask 的建议进行开发)。一开始它连接到本地 sqlite 数据库,它会尽快提交任何数据库更改。现在我想 运行 容器中的所有内容,我想知道如何访问数据库,因为 sqlite 文件位于容器中。
所以我在 docker-compose 文件中创建了一个卷,它指向构建应用程序的 docker 文件。
Docker 文件:
FROM python:latest
ENV HOME /home/parkrep
WORKDIR $HOME
ADD requirements.txt $HOME/requirements.txt
RUN pip install -r requirements.txt
ADD . $HOME
EXPOSE 80
CMD ["python", "server.py"]
.docker忽略
__pycache__
venv
.gitignore
.dockerignore
README.md
Dockerfile
docker-compose.yml
docker-compose.yml
version: '2'
services:
parkrep:
build:
context: ./
dockerfile: Dockerfile
volumes:
- ./output:/home/parkrep/output
command: ["python", "server.py"]
ports:
- "80:80"
如果我 运行 docker-compose up 我得到以下
parkrep_1 | File "/home/parkrep/db_connector.py", line 45, in _connect_db
parkrep_1 | self._connection = sqlite3.connect(path, check_same_thread=False)
parkrep_1 | sqlite3.OperationalError: unable to open database file
parkrep_parkrep_1 exited with code 1
如果我在 output/reports.db 创建数据库并再次启动 docker-compose,它 returns 出现以下错误:
parkrep_1 | sqlite3.OperationalError: attempt to write a readonly database
显然我没有写入文件的权限。我通过写入这样安装的测试文件来测试此行为:
...
volumes:
- ./output:/home/parkrep/output
- ./test.txt:/home/parkrep/text.txt
command: bash -c "echo 'hallo' > test.txt"
错误信息:
parkrep_1 | bash: text.txt: Permission denied
让我们看看谁拥有这个文件:
parkrep_1 | drwxr-xr-x 7 root root 4.0K Dec 19 10:45 .
parkrep_1 | -rw-rw-r-- 1 root root 143 Dec 12 15:08 config.yaml
parkrep_1 | -rw-rw-r-- 1 root root 7.9K Dec 12 14:37 db_connector.py
parkrep_1 | drwxrwxr-x 2 4262 4262 4.0K Dec 19 11:10 output
parkrep_1 | -rw-rw-r-- 1 root root 144 Dec 12 13:20 requirements.txt
parkrep_1 | -rw-rw-r-- 1 root root 2.7K Dec 19 10:14 server.py
parkrep_1 | -rw-rw-r-- 1 4262 4262 2.7K Dec 19 10:14 test.txt
原来容器中没有用户4262,但是在主机上我的用户帐户有这个id。所以我想我知道现在的问题是什么,但我不知道如何访问这些文件。我尝试将“:rw”添加到卷定义中,但我仍然没有写权限。如果定义了卷,我如何告诉 docker 不要更改 file/directory 所有者。
我在想我的本地卷驱动程序有问题,但也许其他人已经遇到了这个问题并且可以告诉我如何配置我的映像以获得所需的权限。
您好,
托马斯
docker info
Containers: 1
Running: 0
Paused: 0
Stopped: 1
Images: 19
Server Version: 1.12.5
Storage Driver: aufs
Root Dir: /var/lib/docker/aufs
Backing Filesystem: extfs
Dirs: 19
Dirperm1 Supported: true
Logging Driver: json-file
Cgroup Driver: cgroupfs
Plugins:
Volume: local
Network: host bridge null overlay
Swarm: inactive
Runtimes: runc
Default Runtime: runc
Security Options: apparmor seccomp
Kernel Version: 4.4.0-53-generic
Operating System: Ubuntu 16.04.1 LTS
OSType: linux
Architecture: x86_64
CPUs: 8
Total Memory: 15.56 GiB
Name: de3lxd-107769
ID: PU5F:LZ55:EEK7:W3R7:SYR3:336J:2VRH:35H2:MTLY:6Q6L:BWBP:EM5R
Docker Root Dir: /var/lib/docker
Debug Mode (client): false
Debug Mode (server): false
Registry: https://index.docker.io/v1/
WARNING: No swap limit support
Insecure Registries:
127.0.0.0/8
docker-compose -v
docker-compose version 1.9.0, build 2585387
lsb_release -a
No LSB modules are available.
Distributor ID: Ubuntu
Description: Ubuntu 16.04.1 LTS
Release: 16.04
Codename: xenial
热修复
我通过向所有人授予作者权限解决了这个问题。
mkdir output
touch output/reports.db output/database.log
chmod a+rw output output/*
这将授予主机上的用户和 docker 机器上的 root 用户权限,无论谁拥有这些文件。这只是一个肮脏的修复,因为我必须快点。任何进程都可以访问和 edit/delete 文件。如果只有 docker 用户获得写入权限会更好,但我无法将写入权限授予主机上的 root 用户。
更好的方法
在此 post 中,他们在容器中使用另一个用户 (www-data)。构建图像后,他们获得用户的 ID 并用此 ID 替换当前文件所有者。如果您以该用户(www-data)启动容器,挂载将复制具有权限和所有者信息的文件,因此该用户可以读写这些文件。
这将是一种更安全的方式,因为您确保只有 docker 用户可以更改 database/files。因为我无法让这个对我有用(似乎对 id=0 的 root 用户不起作用),但我想指出,有一个更好的解决方案。
如果您只需要 docker 停止后的最后数据,您可以查看 docker cp。
我正在开发一个 flask 服务器(在带有 python 3.5 的 virtualenv 中)用作 REST API(仅用于按照 flask 的建议进行开发)。一开始它连接到本地 sqlite 数据库,它会尽快提交任何数据库更改。现在我想 运行 容器中的所有内容,我想知道如何访问数据库,因为 sqlite 文件位于容器中。
所以我在 docker-compose 文件中创建了一个卷,它指向构建应用程序的 docker 文件。
Docker 文件:
FROM python:latest
ENV HOME /home/parkrep
WORKDIR $HOME
ADD requirements.txt $HOME/requirements.txt
RUN pip install -r requirements.txt
ADD . $HOME
EXPOSE 80
CMD ["python", "server.py"]
.docker忽略
__pycache__
venv
.gitignore
.dockerignore
README.md
Dockerfile
docker-compose.yml
docker-compose.yml
version: '2'
services:
parkrep:
build:
context: ./
dockerfile: Dockerfile
volumes:
- ./output:/home/parkrep/output
command: ["python", "server.py"]
ports:
- "80:80"
如果我 运行 docker-compose up 我得到以下
parkrep_1 | File "/home/parkrep/db_connector.py", line 45, in _connect_db
parkrep_1 | self._connection = sqlite3.connect(path, check_same_thread=False)
parkrep_1 | sqlite3.OperationalError: unable to open database file
parkrep_parkrep_1 exited with code 1
如果我在 output/reports.db 创建数据库并再次启动 docker-compose,它 returns 出现以下错误:
parkrep_1 | sqlite3.OperationalError: attempt to write a readonly database
显然我没有写入文件的权限。我通过写入这样安装的测试文件来测试此行为:
...
volumes:
- ./output:/home/parkrep/output
- ./test.txt:/home/parkrep/text.txt
command: bash -c "echo 'hallo' > test.txt"
错误信息:
parkrep_1 | bash: text.txt: Permission denied
让我们看看谁拥有这个文件:
parkrep_1 | drwxr-xr-x 7 root root 4.0K Dec 19 10:45 .
parkrep_1 | -rw-rw-r-- 1 root root 143 Dec 12 15:08 config.yaml
parkrep_1 | -rw-rw-r-- 1 root root 7.9K Dec 12 14:37 db_connector.py
parkrep_1 | drwxrwxr-x 2 4262 4262 4.0K Dec 19 11:10 output
parkrep_1 | -rw-rw-r-- 1 root root 144 Dec 12 13:20 requirements.txt
parkrep_1 | -rw-rw-r-- 1 root root 2.7K Dec 19 10:14 server.py
parkrep_1 | -rw-rw-r-- 1 4262 4262 2.7K Dec 19 10:14 test.txt
原来容器中没有用户4262,但是在主机上我的用户帐户有这个id。所以我想我知道现在的问题是什么,但我不知道如何访问这些文件。我尝试将“:rw”添加到卷定义中,但我仍然没有写权限。如果定义了卷,我如何告诉 docker 不要更改 file/directory 所有者。
我在想我的本地卷驱动程序有问题,但也许其他人已经遇到了这个问题并且可以告诉我如何配置我的映像以获得所需的权限。
您好, 托马斯
docker info
Containers: 1
Running: 0
Paused: 0
Stopped: 1
Images: 19
Server Version: 1.12.5
Storage Driver: aufs
Root Dir: /var/lib/docker/aufs
Backing Filesystem: extfs
Dirs: 19
Dirperm1 Supported: true
Logging Driver: json-file
Cgroup Driver: cgroupfs
Plugins:
Volume: local
Network: host bridge null overlay
Swarm: inactive
Runtimes: runc
Default Runtime: runc
Security Options: apparmor seccomp
Kernel Version: 4.4.0-53-generic
Operating System: Ubuntu 16.04.1 LTS
OSType: linux
Architecture: x86_64
CPUs: 8
Total Memory: 15.56 GiB
Name: de3lxd-107769
ID: PU5F:LZ55:EEK7:W3R7:SYR3:336J:2VRH:35H2:MTLY:6Q6L:BWBP:EM5R
Docker Root Dir: /var/lib/docker
Debug Mode (client): false
Debug Mode (server): false
Registry: https://index.docker.io/v1/
WARNING: No swap limit support
Insecure Registries:
127.0.0.0/8
docker-compose -v
docker-compose version 1.9.0, build 2585387
lsb_release -a
No LSB modules are available.
Distributor ID: Ubuntu
Description: Ubuntu 16.04.1 LTS
Release: 16.04
Codename: xenial
热修复
我通过向所有人授予作者权限解决了这个问题。
mkdir output
touch output/reports.db output/database.log
chmod a+rw output output/*
这将授予主机上的用户和 docker 机器上的 root 用户权限,无论谁拥有这些文件。这只是一个肮脏的修复,因为我必须快点。任何进程都可以访问和 edit/delete 文件。如果只有 docker 用户获得写入权限会更好,但我无法将写入权限授予主机上的 root 用户。
更好的方法
在此 post 中,他们在容器中使用另一个用户 (www-data)。构建图像后,他们获得用户的 ID 并用此 ID 替换当前文件所有者。如果您以该用户(www-data)启动容器,挂载将复制具有权限和所有者信息的文件,因此该用户可以读写这些文件。
这将是一种更安全的方式,因为您确保只有 docker 用户可以更改 database/files。因为我无法让这个对我有用(似乎对 id=0 的 root 用户不起作用),但我想指出,有一个更好的解决方案。
如果您只需要 docker 停止后的最后数据,您可以查看 docker cp。