Estou tentando iniciar um contêiner no Centos 8/RH 8 como um usuário não root e, ao mesmo tempo, quero criar um usuário dinamicamente para o contêiner.
Estou usando o script de ponto de entrada para fazer o exemplo abaixo:
$ cat docker-entrypoint.sh
#!/bin/bash
set -e
if [[ "$(id -u)" -eq "0" ]] && [[ -n "${UID_ENV}" ]] && [[ -n "${USERNAME_ENV}" ]]
then
if [[ -z "$(getent passwd ${UID_ENV})" ]] && [[ -z "$(getent passwd ${USERNAME_ENV})" ]] && [[ -z "$(getent group ${UID_ENV})" ]]
then
groupadd -g ${GID_ENV} -r ${USERNAME_ENV} && \
useradd -rm -u ${UID_ENV} -g ${GID_ENV} ${USERNAME_ENV}
else
echo "User: $(getent passwd "${UID_ENV}" | cut -d: -f1) with uid: ${UID_ENV} already exists"
fi
if [[ -n "${VOLUMES_ENV})" ]]
then
for vol in ${VOLUMES_ENV}
do
echo "Chown Directory: ${vol} with parameters: ${UID_ENV}:${GID_ENV}"
chown -R ${UID_ENV}:${GID_ENV} ${vol}
done
fi
exec su-exec "${USERNAME_ENV}" "$@"
else
if ! [[ `whoami 2>/dev/null` ]]
then
echo "Do not use the 'docker run -u ...' on this image!"
exit 1
fi
exec "$@"
fi
No Dockerfile você pode definir os parâmetros, por exemplo:
ENV FROM centos:7
ENV=${UID_ENV:-"12345"}
ENV GID_ENV=${GID_ENV:-"12345"}
ENV VOLUMES_ENV=""
ENV USERNAME_ENV=${USERNAME_ENV:-"test-user"}
COPY ["docker-entrypoint.sh", "/usr/local/bin/"]
ENTRYPOINT ["docker-entrypoint.sh"]
CMD ["/bin/bash"]
Então, como segunda etapa, você pode construir o contêiner com podman (não há necessidade de passar parâmetros, ele usará os padrão):
podman build --rm -t local/c7-ssample . && podman run --name centos-test --rm -it local/c7-ssample
Isso funciona perfeitamente para Centos 7/RH 7 porque o docker daemon está rodando sob root.
O problema ocorre quando no novo OS Centos 8/RH 8 o usuário deseja usar o podman que roda como usuário não root.
O erro (que faz sentido) que recebo ao executar a imagem:
groupadd: /etc/group.11: lock file already used
groupadd: cannot lock /etc/group; try again later.
Alguma idéia de como dar autorização ao usuário para poder adicionar usuários como usuários não root?
Atualizar:
A solução alternativa possível (não desejada) é passar the --build-argcomo parâmetro durante o tempo de construção. Amostra de código/configurações:
ENV FROM centos:7
ARG ARG_UID=${ARG_UID:-"12345"}
ARG ARG_GID=${ARG_GID:-$ARG_UID}
ARG ARG_VOLUMES=""
ARG ARG_USERNAME=${ARG_USERNAME:-"test-user"}
ENV UID_ENV=${ARG_UID}
ENV GID_ENV=${ARG_GID}
ENV VOLUMES_ENV=${ARG_VOLUMES}
ENV USERNAME_ENV=${ARG_USERNAME}
COPY ["docker-entrypoint.sh", "/usr/local/bin/"]
ENTRYPOINT ["docker-entrypoint.sh"]
CMD ["/bin/bash"]
Então, durante o tempo de construção, você precisará passar o(s) parâmetro(s) se decidir substituir:
podman build --rm --build-arg ARG_UID=54321 -t local/c7-ssample . && podman run --name centos-test --rm -it local/c7-ssample
Mas possivelmente a solução está incluída no RH 8.2 comoABapontou.
Preciso fazer o teste e atualizarei mais tarde.