Я пытаюсь запустить контейнер на Centos 8 / RH 8 как пользователь без прав root и одновременно хочу динамически создавать пользователя для контейнера «на лету».
Для этого я использую скрипт точки входа, показанный ниже:
$ cat docker-entrypoint.sh
#!/bin/bash
set -e
if [[ "$(id -u)" -eq "0" ]] && [[ -n "${UID_ENV}" ]] && [[ -n "${USERNAME_ENV}" ]]
then
if [[ -z "$(getent passwd ${UID_ENV})" ]] && [[ -z "$(getent passwd ${USERNAME_ENV})" ]] && [[ -z "$(getent group ${UID_ENV})" ]]
then
groupadd -g ${GID_ENV} -r ${USERNAME_ENV} && \
useradd -rm -u ${UID_ENV} -g ${GID_ENV} ${USERNAME_ENV}
else
echo "User: $(getent passwd "${UID_ENV}" | cut -d: -f1) with uid: ${UID_ENV} already exists"
fi
if [[ -n "${VOLUMES_ENV})" ]]
then
for vol in ${VOLUMES_ENV}
do
echo "Chown Directory: ${vol} with parameters: ${UID_ENV}:${GID_ENV}"
chown -R ${UID_ENV}:${GID_ENV} ${vol}
done
fi
exec su-exec "${USERNAME_ENV}" "$@"
else
if ! [[ `whoami 2>/dev/null` ]]
then
echo "Do not use the 'docker run -u ...' on this image!"
exit 1
fi
exec "$@"
fi
В Dockerfile вы можете определить параметры, например:
ENV FROM centos:7
ENV=${UID_ENV:-"12345"}
ENV GID_ENV=${GID_ENV:-"12345"}
ENV VOLUMES_ENV=""
ENV USERNAME_ENV=${USERNAME_ENV:-"test-user"}
COPY ["docker-entrypoint.sh", "/usr/local/bin/"]
ENTRYPOINT ["docker-entrypoint.sh"]
CMD ["/bin/bash"]
Затем в качестве второго шага вы можете создать контейнер с помощью Podman (не нужно передавать параметры, будут использоваться параметры по умолчанию):
podman build --rm -t local/c7-ssample . && podman run --name centos-test --rm -it local/c7-ssample
Это отлично работает для Centos 7 / RH 7, поскольку демон Docker работает под учетной записью root.
Проблема возникает, когда в новой ОС Centos 8 / RH 8 пользователь хочет использовать Podman, который работает от имени пользователя, не являющегося пользователем root.
Ошибка (которая имеет смысл), которую я получаю при запуске образа:
groupadd: /etc/group.11: lock file already used
groupadd: cannot lock /etc/group; try again later.
Есть идеи, как предоставить пользователю разрешение добавлять пользователей как не-root пользователю?
Обновлять:
Возможный обходной путь (нежелательный) — передать --build-argкак параметр во время сборки. Пример кода / конфигурации:
ENV FROM centos:7
ARG ARG_UID=${ARG_UID:-"12345"}
ARG ARG_GID=${ARG_GID:-$ARG_UID}
ARG ARG_VOLUMES=""
ARG ARG_USERNAME=${ARG_USERNAME:-"test-user"}
ENV UID_ENV=${ARG_UID}
ENV GID_ENV=${ARG_GID}
ENV VOLUMES_ENV=${ARG_VOLUMES}
ENV USERNAME_ENV=${ARG_USERNAME}
COPY ["docker-entrypoint.sh", "/usr/local/bin/"]
ENTRYPOINT ["docker-entrypoint.sh"]
CMD ["/bin/bash"]
Затем во время сборки вам необходимо передать параметр(ы), если вы решили переопределить:
podman build --rm --build-arg ARG_UID=54321 -t local/c7-ssample . && podman run --name centos-test --rm -it local/c7-ssample
Но, возможно, решение включено в RH 8.2 какАБуказал.
Мне нужно провести тестовое тестирование, и я обновлю информацию позже.