为什么由WORKDIR创建的文件夹由root而不是USER拥有

时间:2019-07-11 01:45:29

标签: docker dockerfile

我有以下Dockerfile

ARG DEV_USER=dev
# Other stuff ...
USER $DEV_USER
# Other stuff ...
WORKDIR /home/$DEV_USER/Projects

启动容器并执行ls /home/dev时,Projects文件夹归root拥有。 WORKDIR是否忽略USER被更早调用的事实?

2 个答案:

答案 0 :(得分:2)

我没有为此找到详细的文档,但是对此我很感兴趣,所以我只看了docker source code,我想我们可以从源代码中得到线索:

moby / builder / dockerfile / dispatcher.go(第299行):

// Set the working directory for future RUN/CMD/etc statements.
//
func dispatchWorkdir(d dispatchRequest, c *instructions.WorkdirCommand) error {
    ......
    if err := d.builder.docker.ContainerCreateWorkdir(containerID); err != nil {
        return err
    }

    return d.builder.commitContainer(d.state, containerID, runConfigWithCommentCmd)
}

上面,我们可以看到它将调用ContainerCreateWorkdir,接下来是代码:

moby / daemon / workdir.go:

func (daemon *Daemon) ContainerCreateWorkdir(cID string) error {
    ......
    return container.SetupWorkingDirectory(daemon.idMapping.RootPair())
}

上面,我们可以看到它叫做SetupWorkingDirectory,接下来是代码:

moby / container / container.go(第259行):

func (container *Container) SetupWorkingDirectory(rootIdentity idtools.Identity) error {
    ......
    if err := idtools.MkdirAllAndChownNew(pth, 0755, rootIdentity); err != nil {
        pthInfo, err2 := os.Stat(pth)
        if err2 == nil && pthInfo != nil && !pthInfo.IsDir() {
            return errors.Errorf("Cannot mkdir: %s is not a directory", container.Config.WorkingDir)
        }

        return err
    }

    return nil
}

上面,我们可以看到它叫做MkdirAllAndChownNew(pth, 0755, rootIdentity),接下来是代码:

moby / pkg / idtools / idtools.go(第54行):

// MkdirAllAndChownNew creates a directory (include any along the path) and then modifies
// ownership ONLY of newly created directories to the requested uid/gid. If the
// directories along the path exist, no change of ownership will be performed
func MkdirAllAndChownNew(path string, mode os.FileMode, owner Identity) error {
    return mkdirAs(path, mode, owner, true, false)
}

以上将在中间构建容器中设置文件夹,并使用rootIdentity更改文件夹的所有权。

最后,这里的rootIdentity是什么?

它在这里以daemon.idMapping.RootPair()的形式传递,接下来是声明:

moby / pkg / idtools / idtools.go(第151行):

// RootPair returns a uid and gid pair for the root user. The error is ignored
// because a root user always exists, and the defaults are correct when the uid
// and gid maps are empty.
func (i *IdentityMapping) RootPair() Identity {
    uid, gid, _ := GetRootUIDGID(i.uids, i.gids)
    return Identity{UID: uid, GID: gid}
}

请参见功能说明:

  

RootPair返回root用户的uid和gid对

您可以继续查看GetRootUIDGID是什么,但我认为现在从函数desc中就足够了。最终它将使用将WORKDIR的所有权更改为root

此外,还可以看到USER做什么?

__moby/builder/dockerfile/dispatcher.go (Line 543):__

// USER foo
//
// Set the user to 'foo' for future commands and when running the
// ENTRYPOINT/CMD at container run time.
//
func dispatchUser(d dispatchRequest, c *instructions.UserCommand) error {
    d.state.runConfig.User = c.User
    return d.builder.commit(d.state, fmt.Sprintf("USER %v", c.User))
}

上面,仅将用户设置为运行config并直接提交进一步的命令,但与WORKDIR设置无关。

而且,如果您想更改所有权,我想您将必须自己在chownRUN中使用ENTRYPOINT/CMD

答案 1 :(得分:-1)

Docker始终在其环境中以root用户身份运行,因此我们将其指定为使用其他用户。

因此,在运行任何命令之前,我们可以将用户添加到其环境中,然后指定useR在Dockerfile中执行操作。

此示例将用户添加到www-data

ARG USER_ID=1000
ARG GROUP_ID=1000

RUN groupadd -g ${GROUP_ID} www-data &&\
    useradd -l -u ${USER_ID} -g www-data www-data &&\