在 docker 中映射用户的交叉 OS 兼容方式
Cross-OS compatible way to map user in docker
简介
我正在建立一个项目,我们尝试对所有内容使用 docker。
它是 php(symfony) + npm 项目。我们已经工作并经过实战测试(我们在多个项目上使用此设置超过一年)docker-compose.yaml。
但是为了让开发者更友好,我想到了设置bin-docker文件夹,也就是使用direnv,放在用户的PATH
前面
/.envrc:
export PATH="$(pwd)/bin-docker:$PATH"
文件夹包含文件,这些文件应该用 docker 中的文件替换 bin 文件
❯ tree bin-docker
bin-docker
├── _tty.sh
├── composer
├── npm
├── php
└── php-xdebug
例如php 文件包含:
#!/usr/bin/env bash
set -euo pipefail
IFS=$'\n\t'
DIR="$( cd "$( dirname "${BASH_SOURCE[0]}" )" && pwd )"
PROJECT_ROOT="$(dirname "$DIR")"
source ${DIR}/_tty.sh
if [ $(docker-compose ps php | grep Up | wc -l) -gt 0 ]; then
docker_compose_exec \
--workdir=/src${PWD:${#PROJECT_ROOT}} \
php php "$@"
else
docker_compose_run \
--entrypoint=/usr/local/bin/php \
--workdir=/src${PWD:${#PROJECT_ROOT}} \
php "$@"
fi
npm:
#!/usr/bin/env bash
set -euo pipefail
IFS=$'\n\t'
DIR="$( cd "$( dirname "${BASH_SOURCE[0]}" )" && pwd )"
PROJECT_ROOT="$(dirname "$DIR")"
source ${DIR}/_tty.sh
docker_run --init \
--entrypoint=npm \
-v "$PROJECT_ROOT":"$PROJECT_ROOT" \
-w "$(pwd)" \
-u "$(id -u "$USER"):$(id -g "$USER")" \
mangoweb/mango-cli:v2.3.2 "$@"
效果很好,你可以简单地使用 symfony 的 bin/console,它会 "magically" 运行 在 docker-container 中。
问题
唯一的问题和我的问题是,如何正确地将主机用户映射到容器的用户。适用于所有主要 OS(macOS、Windows(WSL)、Linux),因为我们的开发人员使用所有这些。我将讨论 npm,因为它使用任何人都可以下载的 public 图像。
当我根本不映射用户时,在 Linux 上,在挂载卷中创建的文件归 root 所有,用户必须事后对这些文件进行 chmod。一点都不理想。
当我使用 -u "$(id -u "$USER"):$(id -g "$USER")" 时,它中断了,因为容器内用户现在无权在容器中创建缓存文件夹,在 mac 上也是如此OS 标准 UID 是 501 , 这打破了一切。
映射用户的正确方法是什么,或者是否有任何其他更好的方法来完成此设置的任何部分?
附件:
docker-compose.yaml:(从敏感或不重要的信息中截取)
version: '2.4'
x-php-service-base: &php-service-base
restart: on-failure
depends_on:
- redis
- elasticsearch
working_dir: /src
volumes:
- .:/src:cached
environment:
APP_ENV: dev
SESSION_STORE_URI: tcp://redis:6379
services:
elasticsearch:
image: docker.elastic.co/elasticsearch/elasticsearch:6.2.3
environment:
discovery.type: single-node
xpack.security.enabled: "false"
kibana:
image: docker.elastic.co/kibana/kibana:6.2.3
environment:
SERVER_NAME: localhost
ELASTICSEARCH_URL: http://elasticsearch:9200
depends_on:
- elasticsearch
redis:
image: redis:4.0.8-alpine
php:
<<: *php-service-base
image: custom-php-image:7.2
php-xdebug:
<<: *php-service-base
image: custom-php-image-with-xdebug:7.2
nginx:
image: custom-nginx-image
restart: on-failure
depends_on:
- php
- php-xdebug
_tty.sh: 只为了正确传递 tty 状态给 docker 运行
if [ -t 1 ]; then
DC_INTERACTIVITY=""
else
DC_INTERACTIVITY="-T"
fi
function docker_run {
if [ -t 1 ]; then
docker run --rm --interactive --tty=true "$@"
else
docker run --rm --interactive --tty=false "$@"
fi
}
function docker_compose_run {
docker-compose run --rm $DC_INTERACTIVITY "$@"
}
function docker_compose_exec {
docker-compose exec $DC_INTERACTIVITY "$@"
}
这可能会解决您的问题。
I came across a tutorial as to how to do setup user namespaces in Ubuntu. 注意教程中的用例是使用 nvidia-docker 和限制权限。特别是 Kinghorn 博士在历史中指出 post:
The main idea of a user-namespace is that a processes UID (user ID) and GID (group ID) can be different inside and outside of a containers namespace. The significant consequence of this is that a container can have it's root process mapped to a non-privileged user ID on the host.
这听起来像您要找的东西。希望这有帮助。
简介
我正在建立一个项目,我们尝试对所有内容使用 docker。
它是 php(symfony) + npm 项目。我们已经工作并经过实战测试(我们在多个项目上使用此设置超过一年)docker-compose.yaml。
但是为了让开发者更友好,我想到了设置bin-docker文件夹,也就是使用direnv,放在用户的PATH
/.envrc:
export PATH="$(pwd)/bin-docker:$PATH"
文件夹包含文件,这些文件应该用 docker 中的文件替换 bin 文件
❯ tree bin-docker
bin-docker
├── _tty.sh
├── composer
├── npm
├── php
└── php-xdebug
例如php 文件包含:
#!/usr/bin/env bash
set -euo pipefail
IFS=$'\n\t'
DIR="$( cd "$( dirname "${BASH_SOURCE[0]}" )" && pwd )"
PROJECT_ROOT="$(dirname "$DIR")"
source ${DIR}/_tty.sh
if [ $(docker-compose ps php | grep Up | wc -l) -gt 0 ]; then
docker_compose_exec \
--workdir=/src${PWD:${#PROJECT_ROOT}} \
php php "$@"
else
docker_compose_run \
--entrypoint=/usr/local/bin/php \
--workdir=/src${PWD:${#PROJECT_ROOT}} \
php "$@"
fi
npm:
#!/usr/bin/env bash
set -euo pipefail
IFS=$'\n\t'
DIR="$( cd "$( dirname "${BASH_SOURCE[0]}" )" && pwd )"
PROJECT_ROOT="$(dirname "$DIR")"
source ${DIR}/_tty.sh
docker_run --init \
--entrypoint=npm \
-v "$PROJECT_ROOT":"$PROJECT_ROOT" \
-w "$(pwd)" \
-u "$(id -u "$USER"):$(id -g "$USER")" \
mangoweb/mango-cli:v2.3.2 "$@"
效果很好,你可以简单地使用 symfony 的 bin/console,它会 "magically" 运行 在 docker-container 中。
问题
唯一的问题和我的问题是,如何正确地将主机用户映射到容器的用户。适用于所有主要 OS(macOS、Windows(WSL)、Linux),因为我们的开发人员使用所有这些。我将讨论 npm,因为它使用任何人都可以下载的 public 图像。
当我根本不映射用户时,在 Linux 上,在挂载卷中创建的文件归 root 所有,用户必须事后对这些文件进行 chmod。一点都不理想。
当我使用 -u "$(id -u "$USER"):$(id -g "$USER")" 时,它中断了,因为容器内用户现在无权在容器中创建缓存文件夹,在 mac 上也是如此OS 标准 UID 是 501 , 这打破了一切。
映射用户的正确方法是什么,或者是否有任何其他更好的方法来完成此设置的任何部分?
附件:
docker-compose.yaml:(从敏感或不重要的信息中截取)
version: '2.4'
x-php-service-base: &php-service-base
restart: on-failure
depends_on:
- redis
- elasticsearch
working_dir: /src
volumes:
- .:/src:cached
environment:
APP_ENV: dev
SESSION_STORE_URI: tcp://redis:6379
services:
elasticsearch:
image: docker.elastic.co/elasticsearch/elasticsearch:6.2.3
environment:
discovery.type: single-node
xpack.security.enabled: "false"
kibana:
image: docker.elastic.co/kibana/kibana:6.2.3
environment:
SERVER_NAME: localhost
ELASTICSEARCH_URL: http://elasticsearch:9200
depends_on:
- elasticsearch
redis:
image: redis:4.0.8-alpine
php:
<<: *php-service-base
image: custom-php-image:7.2
php-xdebug:
<<: *php-service-base
image: custom-php-image-with-xdebug:7.2
nginx:
image: custom-nginx-image
restart: on-failure
depends_on:
- php
- php-xdebug
_tty.sh: 只为了正确传递 tty 状态给 docker 运行
if [ -t 1 ]; then
DC_INTERACTIVITY=""
else
DC_INTERACTIVITY="-T"
fi
function docker_run {
if [ -t 1 ]; then
docker run --rm --interactive --tty=true "$@"
else
docker run --rm --interactive --tty=false "$@"
fi
}
function docker_compose_run {
docker-compose run --rm $DC_INTERACTIVITY "$@"
}
function docker_compose_exec {
docker-compose exec $DC_INTERACTIVITY "$@"
}
这可能会解决您的问题。 I came across a tutorial as to how to do setup user namespaces in Ubuntu. 注意教程中的用例是使用 nvidia-docker 和限制权限。特别是 Kinghorn 博士在历史中指出 post:
The main idea of a user-namespace is that a processes UID (user ID) and GID (group ID) can be different inside and outside of a containers namespace. The significant consequence of this is that a container can have it's root process mapped to a non-privileged user ID on the host.
这听起来像您要找的东西。希望这有帮助。