总结之Docker(四)——镜像修改非ROOT用户权限后生成新镜像并发布

news2024/11/22 13:29:44

Docker拉去目标镜像

docker pull redis:6.2.5
如果出现拉去过程超时,或者连接失败。

添加镜像加速器,以阿里云为例,阿里云目前推广提供镜像加速器,需要登录。
https://cr.console.aliyun.com/cn-hangzhou/instances/mirrors
生成的加速器地址,后面有教学如果使用加速器。

以windows为例

在Docker daemon加入(每个人地址不一样)

"registry-mirrors": [
    "https://jhtiz.mirror.aliyuncs.com"
  ]

在这里插入图片描述

创建Dockerfile

先在本地创建Dockerfile文件
编辑Dockerfile文件

FROM  redis:6.2.5

USER root

RUN groupadd -g 1001 bigdata && useradd -m -u 1001 -g bigdata  bigdata

RUN  chown -R 1001:1001  /opt/* && chown -R 1001:1001 /tmp /mnt

USER 1001

生成新镜像

docker build -t my-redis:0.0.1  d:/mydockerfiles

记得修改目录权限时,不能照抄,如下:
在这里插入图片描述
这里没有 /opt/* 文件或目录

这里要根据具体镜像内容和文件权限来

运行新镜像

查看镜像

docker images

运行新镜像id
-i: 交互式操作。
-t: 终端。

docker run -it 5a6ec30c0ef4

或者

docker run -d 5a6ec30c0ef4
出现无权限
应用生成日志没有权限 permission denied

或者

Unable to create directory required for Rundeck repository. Please ensure the file: /home/rund/repository exists and that Rundeck has write access to the directory. 

需要在Dockerfile中先调整目录权限、先创建目录

...
RUN groupadd -g 1001 bigdata && useradd -m -u 1001 -g bigdata bigdata && 
#创建目录
RUN mkdir -p /home/rund/repository
# 在切换用户之前调整日志目录权限
RUN mkdir -p /app/logs && chown -R bigdata:bigdata /app/logs

...

# 切换到非root用户
USER 1001

如果您希望更通用地解决权限问题,确保用户1001(或任何指定用户)对容器内所有需要访问的目录和文件都有适当的权限,可以采取以下策略:

使用通配符:
如果有多个目录或文件需要赋予权限,可以使用通配符来匹配一系列路径。例如,如果您需要对所有位于/home/rund/下的目录和文件进行权限设置,可以这样做:

Dockerfile

RUN chown -R 1001:1001 /home/rund/*

注意,这种方式不会递归地处理新创建的目录或文件。如果需要递归处理,您可能需要明确列出每个主要目录。

递归赋权:
对于需要递归处理的目录,确保使用-R标志。如果您知道容器启动过程中可能会动态创建某些目录或文件,可以预见到这些位置,并提前设置好权限。例如,如果除了/home/rundeck/外,还有其他几个目录需要赋权,可以逐一处理:

Dockerfile

RUN chown -R 1001:1001 /home/rund \
    && chown -R 1001:1001 /var/log/myapp \
    && chown -R 1001:1001 /etc/myapp/conf.d

创建和赋权结合:
如之前提到的,在创建目录的同时进行权限设置,确保新创建的目录直接归指定用户所有:

Dockerfile

RUN mkdir -p /path/to/new/dir && chown -R 1001:1001 /path/to/new/dir

使用setgid位:
对于某些需要用户组内成员共同协作的目录,可以设置setgid位,这样任何用户在该目录下创建的文件都会继承该目录的组所有权。这可以通过chmod g+s实现:

Dockerfile

RUN chmod -R g+s /home/rund/shared

使用临时的root命令执行脚本:
如果有复杂的权限设置逻辑,可以编写一个脚本,该脚本执行所有的权限设置逻辑,然后在Dockerfile中使用USER root执行这个脚本,最后再切换回非root用户。这样可以保持Dockerfile的清晰度和可维护性。

记住,虽然赋予非root用户足够的权限很重要,但也应当遵循最小权限原则,只给予执行任务所需的最小权限,以增强容器的安全性。

把新镜像推送到阿里云

先登录

docker login --username=153351 registry.cn-hangzhou.aliyuncs.com

推送

docker tag [ImageId] registry.cn-hangzhou.aliyuncs.com/imaniy/bigdata:[镜像版本号]

 docker push registry.cn-hangzhou.aliyuncs.com/imaniy/bigdata:[镜像版本号]

在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1831358.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

有没有和ai聊天的软件?介绍这三款聊天软件

有没有和ai聊天的软件?在科技飞速发展的今天,人工智能(AI)已经渗透到我们生活的方方面面,其中AI聊天软件以其独特的魅力,赢得了越来越多用户的青睐。今天,我们就来一起探索三款智能聊天软件的功…

【Java】已解决:java.lang.NoSuchMethodError异常

文章目录 一、问题背景二、可能出错的原因三、错误代码示例四、正确代码示例 已解决java.lang.NoSuchMethodError异常 一、问题背景 java.lang.NoSuchMethodError异常是Java运行时环境中一个常见的错误,它通常发生在尝试调用一个不存在的方法时。这个异常通常不是…

Unity制作背包的格子

1.新建一个面板 2.点击面板并添加这个组件 3.点击UI创建一个原始图像,这样我们就会发现图像出现在了面板的左上角。 4.多复制几个并改变 Grid Layout Group的参数就可以实现下面的效果了

战略网络优化:网络可观测性的综合方法

在网络成为运营支柱的时代,了解和优化网络性能至关重要。网络可观测性是了解网络性能的关键,它以一种全面、主动的方式超越了传统监控。本文说明了网络可观测性的变革力量,详细介绍了其优势、差异化因素及其在现代网络管理中的关键作用。 什…

2024年下一个风口是什么?萤领优选 轻资产创业项目全国诚招合伙人

2024年,全球经济与科技发展的步伐不断加快,各行各业都在探寻新的增长点与风口。在这样的时代背景下,萤领优选作为一个轻资产创业项目,正以其独特的商业模式和前瞻的市场洞察力,吸引着众多创业者的目光。(领取&#xff…

专业酒窖的布局与设计:为红酒提供理想保存条件

对于云仓酒庄雷盛红酒的爱好者而言,拥有一个专业的酒窖是保存和欣赏这些珍贵佳酿的方式。一个布局合理、设计精良的专业酒窖不仅能提供稳定的保存条件,还能确保红酒在理想状态下陈年,释放其深邃的香气和口感。 首先,酒窖的位置选择…

40、基于深度学习的线性预测设计(matlab)

1、原理及流程 深度学习的线性预测是一种利用深度神经网络模型进行线性回归预测的方法。其设计原理主要基于神经网络的层次化特性,利用多层感知器(MLP)等模型进行特征学习和非线性变换,从而提高线性预测的准确性。 设计流程如下…

HTTP/2 协议学习

HTTP/2 协议介绍 ​ HTTP/2 (原名HTTP/2.0)即超文本传输协议 2.0,是下一代HTTP协议。是由互联网工程任务组(IETF)的Hypertext Transfer Protocol Bis (httpbis)工作小组进行开发。是自1999年http1.1发布后的首个更新。…

第04章:IDEA的安装与使用

第04章:随堂复习与企业真题(IDEA安装与使用) 一、随堂复习 1. IDEA的认识 IDEA(集成功能强大、符合人体工程学(设置人性化))Eclipse 2. IDEA的下载、安装、卸载 卸载:使用控制面板进行卸载,…

Vue 使用setInterval定时器导致前端页面卡死(解决方法)

Vue 使用setInterval定时器导致前端页面卡死 原因 setinterval不会清除定时器队列,每重复执行1次都会导致定时器叠加,最终卡死你的网页。 其原因与JS引擎线程有关(需深入研究JS引擎线程) ,但是setTimeout是自带清除定…

深度学习网络结构之---Inception

目录 一、Inception名称的由来 二、Inception结构 三、Inception v2 四、Inception v3 1、深度网络的通用设计原则 2.卷积分解(Factorizing Convolutions) 3.对称卷积分解 3.非对称卷积分解 五、Inception v4 一、Inception名称的由来 Inception网…

Python MongoDB 基本操作

本文内容主要为使用Python 对Mongodb数据库的一些基本操作整理。 目录 安装类库 操作实例 引用类库 连接服务器 连接数据库 添加文档 添加单条 批量添加 查询文档 查询所有文档 查询部分文档 使用id查询 统计查询 排序 分页查询 更新文档 update_one方法 upd…

Spring IoC【控制反转】DI【依赖注入】

文章目录 控制反转(IoC)依赖注入(DI)IoC原理及解耦IoC 容器的两种实现BeanFactoryApplicationContext IoC 是 Inversion of Control 的简写,译为“控制反转”,它不是一门技术,而是一种设计思想&…

碉堡了!云原生大佬撰写的K8s学习指南,有点炸裂,建议运维都收藏!

在这个数字化转型的时代,容器化和云原生技术已成为软件开发的重要趋势。【Kubernetes】作为云原生领域的旗舰项目,不仅是一种容器编排工具,更是构建现代、弹性和可扩展应用程序的基础平台。 因此,对于运维人员来说,学…

裁剪图片的最简单方法?这四种裁剪方法真的超级简单!

裁剪图片的最简单方法?在丰富多彩的现代生活中,图片成为了我们表达、沟通甚至展示身份的重要媒介,然而,无论是出于个人审美还是专业需求,图片的格式和尺寸往往成为了我们不得不面对的问题,特别是那些未经雕…

Spring IOC 控制反转(注解版)

Spring IOC 控制反转 文章目录 Spring IOC 控制反转一、前言什么是控制反转(IOC)什么是依赖注入(DI) 二、介绍 IOC2.1 传统思想代码2.2 解决方案2.3 IOC思想代码2.4 IOC 使用(Autowired依赖注入)2.5 IOC 优…

一五三、MAC 安装MongoDB可视化工具连接

若没有安装brew包管理工具,在命令行输入安装命令 /bin/bash -c “$(curl -fsSL https://gitee.com/cunkai/HomebrewCN/raw/master/Homebrew.sh)”上面步骤安装完成后,开始安装MongoDB,输入安装命令: brew tap mongodb/brewbrew u…

LogicFlow 学习笔记——8. LogicFlow 基础 事件 Event

事件 Event 当我们使用鼠标或其他方式与画布交互时,会触发对应的事件。通过监听这些事件,可以获取其在触发时所产生的数据,根据这些数据来实现需要的功能。详细可监听事件见事件API。 监听事件 lf实例上提供on方法支持监听事件。 lf.on(&…

本地数据如何正确的导入SOLIDWORKS PDM系统

SOLIDWORKS 产品数据管理 (PDM) 解决方案可帮助您控制设计数据,并且从本质上改进您的团队就产品开发进行管理和协作的方式。使用 SOLIDWORKS PDM Professional,您的团队能够:1. 安全地存储和索引设计数据以实现快速检索;2. 打消关…

一键掌控,4G红外插座引领智能生活新潮流!

随着科技的进步,市场上出现大量带语音、手机APP可控制的智能插座产品,由此可看出客户对产品的功能要求也越来越高,追求舒适的体验感,特别是对操控性的要求越来越高。但是目前大部分红外遥控插座均为WiFi插座类型,WiFi红…