在應(yīng)用docker容器的時候，更多的時候我們會把宿主機(jī)的目錄掛載到docker容器中。

在宿主機(jī)的文件夾權(quán)限隸屬于root時，我們需要將文件夾的權(quán)限用戶進(jìn)行 chown 設(shè)置，才能保證目錄的內(nèi)容的正常寫入，

使用的是docker版本的jenkins，運(yùn)行后，出現(xiàn)如下錯誤：

[root@localhost CICD]# docker logs -f jenkins touch: cannot touch ’/var/jenkins_home/copy_reference_file.log’: Permission deniedCan not write to /var/jenkins_home/copy_reference_file.log. Wrong volume permissions?

我jenkins掛載的目錄是 /opt/jenkins/xxxxx，root 用戶創(chuàng)建，而 jenkins user的uid為1000

所以需要進(jìn)行 chown 設(shè)置，如下：

sudo chown -R 1000:1000 /opt/jenkins

然后重啟容器，錯誤就沒有了。

補(bǔ)充：介紹兩種從 Docker 容器寫入卷時的文件權(quán)限處理方式

容器常常用作原生安裝工具的替代品。在主機(jī)上使用具有所需版本的容器要比使用過時的工具好的多。但是，只要容器與主機(jī)系統(tǒng)進(jìn)行交互，文件會留下錯誤或損壞的權(quán)限。

幸運(yùn)的是，解決該問題的方法并不需要使用腳本。

當(dāng)容器掛載一個本地目錄并將文件寫入其中時，其所有權(quán)由容器內(nèi)的用戶決定：

nicholas@host:~/source$ mkdir sourcenicholas@host:~/source$ docker run -it --rm --volume $(pwd):/source --workdir /source ubunturoot@a031d11c9515:/source# mkdir subdirroot@a031d11c9515:/source# touch subdir/newfileroot@a031d11c9515:/source# exitexitnicholas@host:~/source$ ls -lR.:total 4drwxr-xr-x 2 root root 4096 Jul 16 19:35 subdir ./subdir:total 0-rw-r--r-- 1 root root 0 Jul 16 19:35 newfilenicholas@host:~/source$ rm -rf subdir/rm: cannot remove ’subdir/newfile’: Permission denied

另外，您還可能無法刪除這些目錄和擁有錯誤所有權(quán)的文件。

一個非常常見的解決方案是從容器內(nèi)部更改文件和目錄的所有權(quán)：

nicholas@host:~/source$ docker run -it --rm --volume $(pwd):/source --workdir /source ubunturoot@d1c3bee8bb2b:/source# ls -altotal 12drwxrwxr-x 3 1000 1004 4096 Jul 16 19:35 .drwxr-xr-x 1 root root 4096 Jul 16 19:39 ..drwxr-xr-x 2 root root 4096 Jul 16 19:35 subdirroot@d1c3bee8bb2b:/source# chown 1000:1000 subdir/ -Rroot@d1c3bee8bb2b:/source# ls -ltotal 4drwxr-xr-x 2 1000 1000 4096 Jul 16 19:35 subdirroot@d1c3bee8bb2b:/source# exitexitnicholas@host:~/source$ ls -ltotal 4drwxr-xr-x 2 nicholas lpadmin 4096 Jul 16 19:35 subdirnicholas@host:~/source$

這種方法的缺點(diǎn)是需要添加額外的邏輯，以及您需要知道運(yùn)行該容器用戶的用戶 ID 和組 ID。

第二種解決方案更簡潔，它將使用容器內(nèi)的正確所有權(quán)創(chuàng)建文件和目錄。Docker 提供了一個參數(shù)來設(shè)置容器內(nèi)用戶的用戶 ID 和組 ID：

nicholas@host:~/source$ docker run -it --rm --volume $(pwd):/source --workdir /source --user $(id -u):$(id -g) ubuntugroups: cannot find name for group ID 1004I have no name!@bf7f355f3b65:/source$ touch newfileI have no name!@bf7f355f3b65:/source$ exitexitnicholas@host:~/source$ ls -ltotal 4-rw-r--r-- 1 nicholas nicholas 0 Jul 16 19:42 newfiledrwxr-xr-x 2 nicholas lpadmin 4096 Jul 16 19:35 subdirnicholas@host:~/source$

這種方法可以很好的幫您解決用戶 ID 和組 ID 的錯誤。

請注意，出于安全目的，在容器內(nèi)以 root 身份運(yùn)行是最糟糕的做法。Dockerfile 應(yīng)始終使用 USER 指令從而避免直接使用 root 權(quán)限。

以上為個人經(jīng)驗(yàn)，希望能給大家一個參考，也希望大家多多支持好吧啦網(wǎng)。如有錯誤或未考慮完全的地方，望不吝賜教。