特定用户的 Gitlab CI 作业

我正在尝试运行anchore引擎的Gitlab CI作业来扫描docker镜像。 脚本部分中的命令失败，错误为

permission denied

。我发现该命令需要

root

用户权限。 Sudo 未安装在我用作

gitlab runner

的 docker 映像中，并且 docker 容器中只有非 sudo 用户

anchore

。

以下是用于容器扫描的 CI 作业。

container_scan:
   stage: scan
   image:
    name: anchore/anchore-engine:latest
    entrypoint: ['']
   services:
    - name: anchore/engine-db-preload:latest
      alias: anchore-db

   variables:
    GIT_STRATEGY: none
    ANCHORE_HOST_ID: "localhost"
    ANCHORE_ENDPOINT_HOSTNAME: "localhost"
    ANCHORE_CLI_USER: "admin"
    ANCHORE_CLI_PASS: "foobar"
    ANCHORE_CLI_SSL_VERIFY: "n"
    ANCHORE_FAIL_ON_POLICY: "true"
    ANCHORE_TIMEOUT: "500"

   script:
    - |
        curl -o /tmp/anchore_ci_tools.py https://raw.githubusercontent.com/anchore/ci-tools/master/scripts/anchore_ci_tools.py
        chmod +x /tmp/anchore_ci_tools.py
        ln -s /tmp/anchore_ci_tools.py /usr/local/bin/anchore_ci_tools
    - anchore_ci_tools --setup
    - anchore-cli registry add "$CI_REGISTRY" gitlab-ci-token "$CI_JOB_TOKEN" --skip-validate
    - anchore_ci_tools --analyze --report --image "$IMAGE_NAME" --timeout "$ANCHORE_TIMEOUT"
    - |
        if ; then
         anchore-cli evaluate check "$IMAGE_NAME"
        else
         set +o pipefail
         anchore-cli evaluate check "$IMAGE_NAME" | tee /dev/null
        fi

   artifacts:
    name: ${CI_JOB_NAME}-${CI_COMMIT_REF_NAME}
    paths:
    - image-*-report.json

CI 作业在脚本部分的

ln -s /tmp/anchore_ci_tools.py /usr/local/bin/anchore_ci_tools

处失败。 我尝试在

entrypoint

部分添加用户

  name: anchore/anchore-engine:latest
  entrypoint: ['bash', '-c', 'useradd myuser && exec su myuser -c bash']

但它不允许创建用户。我尝试使用

docker run -it --user=root anchore/anchore-engine:latest /bin/bash

在 Linux 中运行 docker 容器，它运行没有任何问题。我如何在 gitlab-ci 作业中模拟相同的功能？

user

platform

job-name:
  image:
    name: image-name
    docker:
      platform: platform-name
      user: user-name

container_scan:
   stage: scan
   image:
    name: anchore/anchore-engine:latest
    entrypoint: ['']
    docker:
      user: anchore