本文共 987 字,大约阅读时间需要 3 分钟。
docker的user namespace功能:
默认情况下:
容器默认是以root账号进入的,即使指定默认账号,用户也可以通过--user 0来切到root账号,容器里的root和宿主机的root是同一性质,-v挂载宿主机任意目录后,可通过容器里的root账号对宿主机数据进行破坏,风险很大user namespace功能可以规避这一问题,user namespace可以让容器有一个“假”的root用户,它在容器内是root,被映射到容器外一个非root用户,也就是说user namespace实现了host users和container users之间的映射(只能同时支持1个账号,无法同时支持多个账号)。
检查linux操作系统是否支持user namespace:
Ubuntu 16.04配置docker使用user namespace:
ExecStart=/usr/bin/dockerd --userns-remap=default -H fd:// --containerd=/run/containerd/containerd.sock
:wq
注:
--userns-remap=可以写default,default就是dockerremap账号,也可以写具体的账号名dockremap:1008:65536
:wq
注:
1008为宿主机执行容器的账号uid,可为本地账号uid,也可为nis账号uid账号启动容器时需使用root账号,可以加--user=0,如果image里没调默认账号也是root,容器里会将宿主机账号的已有数据属主为root,在容器里root生成的数据在宿主机里显示为正常账号权限
转载于:https://blog.51cto.com/yangzhiming/2384688