我有以下Dockerfile
ARG DEV_USER=dev
# Other stuff ...
USER $DEV_USER
# Other stuff ...
WORKDIR /home/$DEV_USER/Projects
启动容器并执行ls /home/dev
时,Projects
文件夹归root
拥有。 WORKDIR是否忽略USER被更早调用的事实?
答案 0 :(得分:2)
我没有为此找到详细的文档,但是对此我很感兴趣,所以我只看了docker source code,我想我们可以从源代码中得到线索:
moby / builder / dockerfile / dispatcher.go(第299行):
// Set the working directory for future RUN/CMD/etc statements.
//
func dispatchWorkdir(d dispatchRequest, c *instructions.WorkdirCommand) error {
......
if err := d.builder.docker.ContainerCreateWorkdir(containerID); err != nil {
return err
}
return d.builder.commitContainer(d.state, containerID, runConfigWithCommentCmd)
}
上面,我们可以看到它将调用ContainerCreateWorkdir
,接下来是代码:
moby / daemon / workdir.go:
func (daemon *Daemon) ContainerCreateWorkdir(cID string) error {
......
return container.SetupWorkingDirectory(daemon.idMapping.RootPair())
}
上面,我们可以看到它叫做SetupWorkingDirectory
,接下来是代码:
moby / container / container.go(第259行):
func (container *Container) SetupWorkingDirectory(rootIdentity idtools.Identity) error {
......
if err := idtools.MkdirAllAndChownNew(pth, 0755, rootIdentity); err != nil {
pthInfo, err2 := os.Stat(pth)
if err2 == nil && pthInfo != nil && !pthInfo.IsDir() {
return errors.Errorf("Cannot mkdir: %s is not a directory", container.Config.WorkingDir)
}
return err
}
return nil
}
上面,我们可以看到它叫做MkdirAllAndChownNew(pth, 0755, rootIdentity)
,接下来是代码:
moby / pkg / idtools / idtools.go(第54行):
// MkdirAllAndChownNew creates a directory (include any along the path) and then modifies
// ownership ONLY of newly created directories to the requested uid/gid. If the
// directories along the path exist, no change of ownership will be performed
func MkdirAllAndChownNew(path string, mode os.FileMode, owner Identity) error {
return mkdirAs(path, mode, owner, true, false)
}
以上将在中间构建容器中设置文件夹,并使用rootIdentity
更改文件夹的所有权。
最后,这里的rootIdentity
是什么?
它在这里以daemon.idMapping.RootPair()
的形式传递,接下来是声明:
moby / pkg / idtools / idtools.go(第151行):
// RootPair returns a uid and gid pair for the root user. The error is ignored
// because a root user always exists, and the defaults are correct when the uid
// and gid maps are empty.
func (i *IdentityMapping) RootPair() Identity {
uid, gid, _ := GetRootUIDGID(i.uids, i.gids)
return Identity{UID: uid, GID: gid}
}
请参见功能说明:
RootPair返回root用户的uid和gid对
您可以继续查看GetRootUIDGID
是什么,但我认为现在从函数desc中就足够了。最终它将使用将WORKDIR
的所有权更改为root
。
此外,还可以看到USER
做什么?
__moby/builder/dockerfile/dispatcher.go (Line 543):__
// USER foo
//
// Set the user to 'foo' for future commands and when running the
// ENTRYPOINT/CMD at container run time.
//
func dispatchUser(d dispatchRequest, c *instructions.UserCommand) error {
d.state.runConfig.User = c.User
return d.builder.commit(d.state, fmt.Sprintf("USER %v", c.User))
}
上面,仅将用户设置为运行config并直接提交进一步的命令,但与WORKDIR
设置无关。
而且,如果您想更改所有权,我想您将必须自己在chown
或RUN
中使用ENTRYPOINT/CMD
。
答案 1 :(得分:-1)
Docker始终在其环境中以root用户身份运行,因此我们将其指定为使用其他用户。
因此,在运行任何命令之前,我们可以将用户添加到其环境中,然后指定useR在Dockerfile中执行操作。
此示例将用户添加到www-data
ARG USER_ID=1000
ARG GROUP_ID=1000
RUN groupadd -g ${GROUP_ID} www-data &&\
useradd -l -u ${USER_ID} -g www-data www-data &&\