我在使用Python中的docker-py从客户端访问docker守护程序时遇到问题。我通过命令启动了一个docker守护进程
sudo docker -d &,输出为[1] 4894。然后我尝试使用我从here以root身份获得的代码从python访问守护进程
from docker import Client
cli = Client(base_url='unix://var/run/docker.sock')
cli.containers()
这给了我错误:
requests.exceptions.ConnectionError: ('Connection aborted.', error(111, 'Connection refused'))
我也试过
cli = Client(base_url='tcp://127.0.0.1:4894')
但它给了我同样的错误。
答案 0 :(得分:10)
这似乎是/var/run/docker.sock文件具有不正确的权限。由于docker守护程序以root身份启动,因此权限可能具有限制性。
如果您更改权限以允许其他用户访问它,您应该获得更多成功(例如o = rwx)。
答案 1 :(得分:0)
问题确实是 /var/run/docker.sock 的权限不正确。
要修复它,您需要授予当前用户访问此文件的权限。
但是,在 Linux 上,将 o=rwx 权限授予 /var/run/docker.sock 是非常危险的,因为它允许系统上的任何用户和服务以 root 身份运行命令。实际上,对 /var/run/docker.sock 的访问意味着对机器的完全根访问权限。见https://docs.docker.com/engine/security/#docker-daemon-attack-surface
一种不太危险的方法是创建组 docker 并将当前用户添加到该组。见https://docs.docker.com/engine/install/linux-postinstall/#manage-docker-as-a-non-root-user
然而,这种方法仍然存在潜在危险,因为它在没有 sudo 提供的保护(即不时询问用户密码并记录 sudo 调用)的情况下为当前用户提供了完全的 root 访问权限。
另见What is the Docker security risk of /var/run/docker.sock?
(不幸的是,我无法发表评论,因此我写下我的评论作为答案。)