Docker容器訪問(wèn)掛載文件權(quán)限問(wèn)題

問(wèn)題描述

在使用docker-compose部署項(xiàng)目時(shí),yaml文件如下:

version: '3'
services:
  purchasing-contract-consumer:
    image: my-registry.com/consumer:latest
    environment:
      - TZ=Asia/Shanghai
      - app_env=prod
    restart: always
    working_dir: /app
    command: python app.py
    volumes:
      - type: bind
        source: /home/admin/deploy/consumer/application.log
        target: /app/application.log

啟動(dòng)應(yīng)用時(shí),報(bào)錯(cuò):

PermissionError: [Errno 13] Permission denied: '/app/application.log'

原因分析

在我的應(yīng)用中,需要在容器中對(duì)application.log文件進(jìn)行寫(xiě)入,這個(gè)文件被掛載到宿主機(jī)上。因?yàn)槲业乃拗鳈C(jī)系統(tǒng)是CentOS,默認(rèn)啟用了SELinux。在SELinux策略下,容器進(jìn)程的類(lèi)型是container_t類(lèi)型,而宿主機(jī)上的文件默認(rèn)是user_home_t類(lèi)型,二者類(lèi)型不匹配,容器進(jìn)程無(wú)法訪問(wèn)宿主機(jī)上掛載的文件。

解決方案

方案1,禁用SELinux,不推薦。

臨時(shí)禁用SELinux方案如下:

sudo setenforce 0

方案2,在宿主機(jī)上修改application.log文件類(lèi)型為svirt_sandbox_file_t

chcon -t svirt_sandbox_file_t application.log

如果需要永久修改application.log文件類(lèi)型

semanage fcontext -a -t svirt_sandbox_file_t "application.log"
restorecon application.log

將文件類(lèi)型修改成svirt_sandbox_file_t之后,因?yàn)閐ocker容器進(jìn)程是container_t類(lèi)型,SELinux允許container_t類(lèi)型的進(jìn)程訪問(wèn)svirt_sandbox_file_t類(lèi)型的文件。

方案3,掛載時(shí)使用:Z,這將把掛載的文件設(shè)置成container_file_t類(lèi)型,確保容器進(jìn)程可以訪問(wèn)掛載文件。更新后的yaml文件如下。(推薦)

version: '3'
services:
  purchasing-contract-consumer:
    image: my-registry.com/consumer:latest
    environment:
      - TZ=Asia/Shanghai
      - app_env=prod
    restart: always
    working_dir: /app
    command: python app.py
    volumes:
      -  /home/admin/deploy/consumer/application.log:/app/application.log:Z

運(yùn)行后,查看SELinux上下文類(lèi)型

[admin@myhost consumer]$ ls -lZ
-rw-rw-r--. admin admin system_u:object_r:container_file_t:s0:c716,c748 application.log
drwxr-xr-x. root  root  system_u:object_r:container_file_t:s0:c97,c362 config
-rwxr-xr-x. admin admin unconfined_u:object_r:user_home_t:s0 docker-compose.yml
-rw-rw-r--. admin admin unconfined_u:object_r:user_home_t:s0 qtsb-mail.tar
-rwxrwxr-x. admin admin unconfined_u:object_r:user_home_t:s0 start.sh

使用:Z掛載的文件類(lèi)型是container_file_t,可以被容器進(jìn)程訪問(wèn)。默認(rèn)文件類(lèi)型是user_home_t,無(wú)法被容器進(jìn)程訪問(wèn)。

在使用方案3解決問(wèn)題時(shí),不能顯示指定bing mount。如下

    volumes:
      - type: bind
        source: /home/admin/deploy/consumer/application.log
        target: /app/application.log:Z #無(wú)效,容器無(wú)法修改宿主機(jī)上application.log的SELinux類(lèi)型

    volumes:
      -  /home/admin/deploy/consumer/application.log:/app/application.log:Z #有效,容器成功修改宿主機(jī)上application.log的SELinux類(lèi)型

示例代碼在Gitee上同步,你也可以訪問(wèn)曾彪彪的個(gè)人博客點(diǎn)擊查看作者更多文章

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時(shí)請(qǐng)結(jié)合常識(shí)與多方信息審慎甄別。
平臺(tái)聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡(jiǎn)書(shū)系信息發(fā)布平臺(tái),僅提供信息存儲(chǔ)服務(wù)。

相關(guān)閱讀更多精彩內(nèi)容

友情鏈接更多精彩內(nèi)容