我正在建立一个项目,我们尝试在其中使用docker进行所有操作。
这是php(symfony)+ npm项目。我们已经进行了工作并经过了实战测试(我们在多个项目上使用了此设置已经超过一年了)docker-compose.yaml。
但是为了使开发人员更友好,我想出了设置bin-docker文件夹的方法,即使用direnv将其放置在用户PATH的首位
/.envrc:
export PATH="$(pwd)/bin-docker:$PATH"
文件夹中包含一些文件,这些文件应该用docker中的bin文件替换
❯ tree bin-docker
bin-docker
├── _tty.sh
├── composer
├── npm
├── php
└── php-xdebug
例如php文件包含:
#!/usr/bin/env bash
set -euo pipefail
IFS=$'\n\t'
DIR="$( cd "$( dirname "${BASH_SOURCE[0]}" )" && pwd )"
PROJECT_ROOT="$(dirname "$DIR")"
source ${DIR}/_tty.sh
if [ $(docker-compose ps php | grep Up | wc -l) -gt 0 ]; then
docker_compose_exec \
--workdir=/src${PWD:${#PROJECT_ROOT}} \
php php "$@"
else
docker_compose_run \
--entrypoint=/usr/local/bin/php \
--workdir=/src${PWD:${#PROJECT_ROOT}} \
php "$@"
fi
npm:
#!/usr/bin/env bash
set -euo pipefail
IFS=$'\n\t'
DIR="$( cd "$( dirname "${BASH_SOURCE[0]}" )" && pwd )"
PROJECT_ROOT="$(dirname "$DIR")"
source ${DIR}/_tty.sh
docker_run --init \
--entrypoint=npm \
-v "$PROJECT_ROOT":"$PROJECT_ROOT" \
-w "$(pwd)" \
-u "$(id -u "$USER"):$(id -g "$USER")" \
mangoweb/mango-cli:v2.3.2 "$@"
它很好用,您可以简单地使用symfony的bin/console,它将“神奇地”运行在docker-container中。
唯一的问题和我的问题是,如何正确地将主机用户映射到容器的用户。适用于所有主要操作系统(macOS,Windows(WSL),Linux),因为我们的开发人员都使用了它们。我将讨论npm,因为它使用任何人都可以下载的公共图像。
当我完全不映射用户时,在Linux上,在挂载卷中创建的文件是root拥有的,然后用户必须chmod这些文件。一点都不理想。
当我使用-u "$(id -u "$USER"):$(id -g "$USER")"时出现问题是因为容器内用户现在无权在容器中创建缓存文件夹,而在macOS标准UID上也是501,这会破坏所有内容。
映射用户的正确方法是什么,或者还有其他更好的方法来完成此设置的任何部分?
docker-compose.yaml :(从敏感或不重要的信息中缩短)
version: '2.4'
x-php-service-base: &php-service-base
restart: on-failure
depends_on:
- redis
- elasticsearch
working_dir: /src
volumes:
- .:/src:cached
environment:
APP_ENV: dev
SESSION_STORE_URI: tcp://redis:6379
services:
elasticsearch:
image: docker.elastic.co/elasticsearch/elasticsearch:6.2.3
environment:
discovery.type: single-node
xpack.security.enabled: "false"
kibana:
image: docker.elastic.co/kibana/kibana:6.2.3
environment:
SERVER_NAME: localhost
ELASTICSEARCH_URL: http://elasticsearch:9200
depends_on:
- elasticsearch
redis:
image: redis:4.0.8-alpine
php:
<<: *php-service-base
image: custom-php-image:7.2
php-xdebug:
<<: *php-service-base
image: custom-php-image-with-xdebug:7.2
nginx:
image: custom-nginx-image
restart: on-failure
depends_on:
- php
- php-xdebug
_tty.sh:仅用于将tty状态正确传递给docker run
if [ -t 1 ]; then
DC_INTERACTIVITY=""
else
DC_INTERACTIVITY="-T"
fi
function docker_run {
if [ -t 1 ]; then
docker run --rm --interactive --tty=true "$@"
else
docker run --rm --interactive --tty=false "$@"
fi
}
function docker_compose_run {
docker-compose run --rm $DC_INTERACTIVITY "$@"
}
function docker_compose_exec {
docker-compose exec $DC_INTERACTIVITY "$@"
}
答案 0 :(得分:2)
这可能会回答您的问题。 I came across a tutorial as to how to do setup user namespaces in Ubuntu.请注意,本教程中的用例用于使用nvidia-docker并限制权限。特别是金霍恩博士在历史文章中指出:
用户命名空间的主要思想是,在容器命名空间的内部和外部,进程UID(用户ID)和GID(组ID)可以不同。这样做的重要后果是,容器可以将其根进程映射到主机上的非特权用户ID。
听起来像您要找的东西。希望这会有所帮助。