我在 Fedora 计算机上使用官方 ISC Bind9 容器映像(似乎基于 Debian Linux),但我在权限方面遇到问题。
我按如下方式启动容器:
podman run --name bind9 \
-p 11153:53/udp \
-p 11153:53/tcp \
-v /home/devops/work/dns/primary/etc:/etc/bind/:rw,Z,U \
-v /home/devops/work/dns/primary/cache:/var/cache/bind:rw,Z,U \
-v /home/devops/work/dns/primary/lib:/var/lib/bind:rw,Z,U \
-v /home/devops/work/dns/primary/log:/var/log:rw,Z,U \
internetsystemsconsortium/bind9:9.20 -4 -g -c /etc/bind/named.conf
没有 podman 日志可供参考,因此我在
named09-Nov-2024 21:26:44.329 the working directory is not writable
09-Nov-2024 21:26:44.330 loading configuration: permission denied
09-Nov-2024 21:26:44.330 exiting (due to fatal error)
深入研究容器层,我发现在容器中,
bindnamed...
23 VOLUME [/etc/bind /var/cache/bind /var/lib/bind /var/log] 0 B
24 EXPOSE map[443/tcp:{} 53/tcp:{} 53/udp:{} 853/tcp:{} 0 B
25 ENTRYPOINT ["/usr/sbin/named" "-u" "bind"] 0 B
26 CMD ["-f" "-c" "/etc/bind/named.conf" "-L" 0 B
...
我知道我可以覆盖
CMDENTRYPOINTbindroot此外,我可以做些什么来处理容器中不在容器主机上的用户帐户吗? 我猜这更像是 podman 的事情,它只能与 Docker 一起使用...但是对于 podman,我真的必须在主机上创建一个具有与容器中相同的 UID:GID 的
bind注意:我在 Fedora 机器上由
devops编辑:
我在故障排除方面取得了一些进展。 如果确实是 UID 权限类型问题...我确实发现了容器中
bindpodman run -d --name=bind9 -p 11153:53/udp -p 11153:53/tcp internetsystemsconsortium/bind9:9.20
podman exec -it bind9 /bin/sh
/ # cat /etc/passwd...
bind:x:100:101:Linux User,,,:/var/cache/bind:/sbin/nologin
编辑:
我尝试将
--userns=keep-id:uid=100,gid=101您遇到的所有问题在无根运行容器中都是众所周知的。从根本上来说,这是因为无根运行只是 Docker 设计时的事后想法,因此整个容器镜像生态系统都需要 root 权限。因此,Podman 必须使用用户命名空间来解决这个问题。
我将向您推荐这两篇优秀的 RedHat 文章,解释无根容器背后的技巧以及您可能遇到的麻烦:
请阅读这两篇文章,但总而言之,您在主机上看到
nobody100500,000+/etc/subuid我真的必须在主机上创建一个与容器中具有相同 UID:GID 的绑定用户才能使其正常工作吗??
不要这样做。永远不要这样做。这将你的可移植性降低到基本为零,更不用说它将容器的实现细节暴露给主机,这很容易引起冲突。
所有这些都是为什么建议使用卷挂载来满足几乎所有无根容器的持久存储需求的部分原因。您只需在命名空间内正确设置权限,然后让 Podman 处理所有 UID 和 GID 映射。本文展示了如何做到这一点:
在实践中,我建议创建两个卷:一个安装在
/etc/bind//var/...
-v bind-etc:/etc/bind/:rw,Z \
-v bind-var:/var/:rw,Z \
...
理想情况下,我会使用一个卷并在不同的子路径上安装
/etc/bind//var/