LXC kaplarının içindeki ve dışındaki kullanıcı izinleri?

Sunucumda Docker LXC kapsayıcılarının bazı servislerini çalıştırıyorum ve onlarla gerçekten ciddi şeyler yapmaya başladım.

Anlamadığım bir şey, kullanıcı izinlerinin kabın içinde ve dışında nasıl çalıştığıdır. Örneğin, bir konteynerde MySQL kullanıyorum ve /databir Docker birimi olan veri dizini ayarlanmışsa , konteynerin içindeki ve dışındaki izinler erişim ilkelerini nasıl etkiler?

Açıkçası, fikir MySQL'i kendi kullanıcısı olarak konteynerde (yani mysql:mysql) çalıştırmak ve bu dizine okuma ve yazma hakları vermektir. Bunun sadece chmoddizin vb. İşlerde oldukça basit olacağını varsayıyorum . Fakat bu kabın dışında nasıl çalışıyor ? Artık “veri” adlı Docker paylaşılan birimine sahip olduğum için erişim kontrolünü nasıl yönetirim?

Özellikle , düzenli aralıklarla MySQL paylaşılan birime erişecek ve verileri yedekleyecek Docker kabının dışında ayrıcalıklı bir kullanıcı çalıştırabilmeyi düşünüyorum .

Ana bilgisayardaki belirli bir kullanıcının Docker paylaşılan birimindeki dosyaları ve klasörleri okuyabilmesi / yazabilmesi için izinleri, kullanıcıları ve grupları nasıl ayarlayabilirim?

0.9 Docker piyasaya sürüldüğü için düştü LXCve kendi uygulama ortamını kullandı libcontainer. Sorunuz biraz eski ama cevabım hala kullandığınız sürümü uygular.

Hızlı Cevap: Birimlerin izinlerini anlamak için, benzerliğini alabilirsiniz mount --bind Host-Dir Container-Dir. Bu nedenle gereksinimlerinizi yerine getirmek için izinleri yönetmek için herhangi bir geleneksel yöntemi kullanabilirsiniz. Sanırım ihtiyacın olan şey ACL .

Uzun Cevap: Yani örnekte olduğu gibi bir kap adında var yuvası bir hacme sahip /data.

docker run -tid --name dock -v /usr/container/Databases/:/data \
    centos:latest /bin/bash

Kabın içinde MySQL sunucumuz /dataveri dizini olarak kullanılacak şekilde yapılandırılmıştır . Böylece veritabanımızın /dataiçinde kabın içinde var. Ve Host OS üzerindeki kabın dışına bu /databirimi monte /usr/container/Databases/ettik ve veritabanlarının yedeğini almak için normal bir kullanıcı bob'u atadık . Ana makinede itibaren kullanıcı için ACL yapılandırırız bob .

useradd -u 3000 bob
usermod -R o=--- /usr/container/Databases/
setfacl -R -m u:bob:rwx /usr/container/Databases/
setfacl -R -d -m u:bob:rwx /usr/container/Databases/

Test etmek için kullanıcı bob ile yedekleme yapalım .

su - bob
tar -cvf container-data.tar /usr/container/Databases/

Ve tar listeleyecek ve kullanıcılarımızın tüm dosyalara erişebildiğini göreceksiniz.

Şimdi konteynırın içinden kontrol getfaclederseniz, bob yerine 3000 olduğunu gösterir. Bu, bob'nin UID'sinin 3000 olduğunu ve kapta böyle bir kullanıcı bulunmadığından, yalnızca meta verilerden aldığı UID'yi görüntüler. . Şimdi, kapsayıcınızda bir kullanıcı oluşturursanız useradd -u 3000 bob, şimdi getfaclbunun 3000 yerine bob adını gösterdiğini fark edeceksiniz .

Özet : Dolayısıyla, kabın içinden veya dışından atadığınız kullanıcı izinleri her iki ortama da yansır. Bu nedenle , birimlerin izinlerini yönetmek için, ana makinedeki UID'ler, kaptaki UID'lerden farklı olmalıdır .