Docker run 容器使用-v挂载目录总会启动失败的解决方案

转载 已于 2022-08-04 23:55:14 修改 · 1.9k 阅读 · 1 ·
CC 4.0 BY-SA版权
原文链接:https://blog.youkuaiyun.com/qq_40569835/article/details/112854523
文章标签:

#docker #linux #运维

于 2022-08-04 23:54:20 首次发布

问题:docker run一个容器,并且挂载了目录;但是总是启动失败【docker ps 后发现没有启动】

[root@localhost tomcat]# docker run -d -p 9090:8080 -v /home/dockerfile/tomcat/test:/usr/local/apache-tomcat-8.5.61/webapps/test -v /home/dockerfile/tomcat/logs/:/usr/local/apache-tomcat-8.5.61/logs --name yjytomcat diytomcat
b13fc0b57b9fc17019bc8119cb572677889d663f24813150506f381842066c2d
[root@localhost tomcat]# docker ps
CONTAINER ID        IMAGE                 COMMAND             CREATED             STATUS              PORTS                    NAMES
2c245c597ae4        portainer/portainer   "/portainer"        2 days ago          Up 6 hours          0.0.0.0:8088->9000/tcp   optimistic_lamport

原因: CentOS7中的安全模块selinux把权限禁掉了,无法使用-v命令进行挂载
解决方案: 添加selinux规则,将要挂载的目录添加到白名单

[root@localhost tomcat]# chcon -Rt svirt_sandbox_file_t /home/dockerfile/tomcat/test
[root@localhost tomcat]# chcon -Rt svirt_sandbox_file_t /home/dockerfile/tomcat/logs

再重新创建容器即可。

转载:https://blog.youkuaiyun.com/qq_40569835/article/details/112854523

csdn_life18
关注
小贴士:Windows下docker挂载目录填坑记录
weixin_42398461的博客
04-14 2992
为便于代码调试和维护,一般在生成 Docker 容器时,会将宿主机的目录挂载容器里。在macOS里使用终端运行 Shell 脚本,调试一切正常,但是在 Windows 里使用 Git Bash 终端运行同样的脚本时,发现挂载失败
docker run -v挂载不了或者挂载了运行不了
奇点的博客
10-16 1909
docker run -v挂载不了或者挂载了运行不了
如何解决docker容器启动失败
09-29
在本片文章中小编给各位整理的是关于如何解决docker容器启动失败相关内容,有兴趣的朋友们可以参考下。
docker 数据卷 权限
weixin_30273763的博客
09-11 342
1,在运行容器的时候,给容器加特权: 示例:docker run -i -t --privileged=true -v /home/docs:/src waterchestnut/nodejs:0.12.0 2,临时关闭selinux: 示例:su -c "setenforce 0" 之后执行:docker run -i -t -v /home/docs:/src waterchestnu...
docker实践(4) docker资源限制和lxcfs实现对容器资源视图隔离
黄规速博客:学如逆水行舟,不进则退
09-09 1018
docker 是通过 CPU cgroups 来限制容器使用的cpu上限,而和CPU groups有关的三个比较重要的参数是: cpu.cfs_quota_us、cpu.cfs_period_us、cpu.shares.
Docker与Kubernetes实战:MMS-Lite容器化部署与管理
![Docker与Kubernetes实战:MMS-Lite容器化部署与管理](https://cdn.educba.com/academy/wp-content/uploads/2020/05/Dockerfile.jpg) ...Docker是一个开源的应用容器引擎,允许开发者打包他们的应用以及依赖包到一个可
容器Docker)学习文档
weixin_43550014的博客
09-05 453
在面对一个全新的概念之时,我们通常会有这样的几个简单的问题作为先导? 1、我们为什么需要它?它是什么? 2、它怎么样(有什么)?它是怎么来的(怎么做到的)? 3、它现在发展到什么程度了呢? 本学习文档就基于这样的三个视角,给出作者个人在学习过程中的理解、体会以及一些简单的实践过程。 Q1、我们为什么需要它?它是什么? 在接触容器之前,在于云计算相识的过程中,我已然接触了“虚拟机”这一概念以及实际应用,寻找他的一个出发点,某种意义上都是为了对应用程序及运行的环境进行隔离,构建一套能够不依赖于具体环境而运行的方
Kubernetes第二天之部署篇(待完成后公开,未完待续)
企业实战系列集 ●●● https://ximenjianxue.blog.youkuaiyun.com
01-12 386
一、K8s架构回顾 容器是捆绑和运行应用程序的一个好方法。在生产环境中,管理员需要管理运行应用程序的容器并确保不会停机。例如,如果一个容器出现故障,则需要启动另一个容器。 而 Kubernetes 提供了一个框架可以弹性地运行分布式系统。它会自动负责用户的应用程序的扩展和故障转移,提供部署模式等等。例如,Kubernetes 可以轻松地为您的系统管理实现金丝雀部署(金丝雀部署是在将更改推广到整个服务集群并使其对所有人可用之前,将更改推广到一小部分用户进行测试。并在测试过程中持续观测被测试的服务各个维度的状
redis 重新升级后 docker应用服务 restart 会生效么
06-10
参考解决方案里应该强调两种场景的区别:纯粹重启Redis容器vs业务应用容器。前者会加载新配置和新镜像,后者只会重新建立数据库连接。意外发现的配置验证方法(CONFIGGET)对用户应该很有用,毕竟重启后总得确认变更...
docker 挂载目录挂载不上**
weixin_30772105的博客
06-14 1618
最近做项目做一个shared Dynamodb, 使用docker挂载一个image,发现怎么都挂载不上, 使用 $ pwd E:\Work\Aws\git\schema\dynamodb\local $ ls init.sh README.md shared-local-instance.db $ cat README.md docker run -v...
Docker挂载目录失败问题解决
热门推荐
博客主要分享技术教程、工具教程、bug解决、前沿技术动态、编程经验、心得感悟等。 内容同步、干货获取、推广宣发请看侧栏推广信息
07-27 1万+
docker挂载目录失败问题解决
docker挂载目录启动容器报错问题的解决
shenxiaomo1688的博客
06-02 3222
由于config是目录,elasticsearch.yml是文件,它们原先都不存在,直接往一个不存在的目录里的文件写入内容,虽然能创建目录成功并将内容写入文件,但以上面命令启动容器的时候会发现无法正常启动,正确的方式是如果涉及到文件,应该先创建目录,再创建目录里的文件,往文件里写内容,再以上面的命令启动容器就没问题了。出错原因在elasticsearch.yml文件挂载上,根源是这一行代码。启动容器并并建立容器和宿主机目录的关联。
docker中配置挂载目录容器启动不了
Y__J___的博客
08-19 1748
一般都是应为没有权限,很多次了,总结一下 在docker run中加入 --privileged=true 给容器加上特定权限 关闭selinux 在selinux添加规则,修改挂载目录
docker挂载文件有时候不生效解决方案
machangfengjia的专栏
01-12 1506
1、修改宿主系统文件权限/所属用户(如果不启作用可能要重启宿主系统)可以用使用chmod/chown更改文件文件权或用户组。2、使用--privileged参数挂载
docker run 失败
jiaoyongqing134的专栏
02-05 3978
先描述下问题吧: % docker run --rm -c 1 ubuntu echo hi Error response from daemon: Cannot start container c44478***1: [8] System error: open /sys/fs/cgroup/cpu,cpuacct/init.scope/system.slice/docker-c44478b
Docker run 启动容器报错
赱向远方
08-01 1728
windows下Docker无法挂载目录
qq_50477101的博客
06-28 623
记录一个小问题,在windows下使用docker无法挂载目录
docker 部署 redis,挂载的配置文件不生效
weixin_43866043的博客
06-07 3200
docker 部署redis
使用普通用户操作docker run, 通过-v 挂载目录,但是挂载出来的目录没有权限访问,都是root的
最新发布
06-12
<think>我们在处理用户问题时,首先明确用户需求:普通用户运行Docker容器时,使用`-v`挂载主机目录,导致挂载出来的目录在主机上属于root用户,普通用户无法访问。引用中提供了部分信息:引用[1]提到使用非root用户操作docker,可以通过sudo方式操作docker,但用户可能不希望使用sudo,因为使用sudo仍然会以root权限操作,挂载目录可能还是root权限。引用[2]提到设置root用户和密码的环境变量,但这不是当前问题。引用[3]提到权限错误问题,并建议确保媒体库的根文件夹及其所有文件和子文件夹对其他用户可读和可搜索,即通过`chmod`改变权限。引用[4]是拉取和启动alpine镜像的示例。用户的问题核心在于:容器内进程以什么用户运行,会影响到挂载卷的文件权限。容器内默认以root用户运行,所以挂载到主机上的文件目录会属于root用户,导致普通用户无法访问。解决方案通常有以下几种:1.在容器使用与主机普通用户相同的UID和GID运行进程,这样挂载出来的文件权限就与主机普通用户一致。2.在容器启动后,通过`chmod`或`chown`更改挂载目录的权限(但注意,这可能会改变主机上的文件权限,需要谨慎)。3.使用Docker的“用户命名空间”功能(usernamespaces),将容器内的root用户映射到主机上的普通用户。根据问题,我们推荐第一种方法,即指定容器内运行进程的用户UID和GID。具体步骤:1.获取主机普通用户的UID和GID(假设用户名为`appman`):`id-u`获取UID,`id-g`获取GID。2.在运行容器时,通过`-u`选项指定用户,例如:`dockerrun-u$(id-u):$(id-g)...`3.但注意,容器内的用户可能不存在于容器的/etc/passwd中,这可能导致一些权限问题,比如运行某些命令时显示“Ihavenoname!”等。为了避免这种情况,我们可以:-挂载主机的/etc/passwd和/etc/group文件(但要注意这可能会带来安全问题,因为容器内的用户将拥有主机上相同UID用户的权限):`-v/etc/passwd:/etc/passwd:ro-v/etc/group:/etc/group:ro`-或者,在容器内创建相应的用户(需要构建自定义镜像)。4.另外,对于挂载目录,如果容器内需要写入,则主机上该目录需要提前设置好权限,使得该UID和GID的用户有权限写入。如果目录已经存在并且属于root,可以先通过`chown`改变所有权,或者在运行容器前先创建好目录并设置合适的权限。5.如果用户希望在容器使用特定用户(如appman),可以在Dockerfile中创建该用户(指定UID和GID),然后在运行容器使用该用户。6.如果用户不想使用`-u`指定用户,也可以使用sudo来挂载,但这会导致挂载目录权限为root,所以还是推荐使用`-u`。举例:假设主机普通用户的UID为1000,GID为1000,我们要运行一个alpine容器,并挂载当前目录下的`data`目录容器的`/data`:```bashdockerrun-it--rm\-u1000:1000\-v"$(pwd)"/data:/data\alpine:3.16\/bin/sh```这样,在容器内创建的文件在主机上就会属于UID为1000的用户。但是,如果主机上被挂载目录(比如`data`)原本属于root,那么容器启动后,容器内的进程虽然以UID1000运行,但可能没有权限写入该目录(如果主机目录权限不允许其他用户写入)。因此,在运行容器之前,需要确保主机上被挂载目录对UID1000的用户有写入权限。可以使用:```bashmkdirdatachown1000:1000data#或者设置权限为777(不推荐,因为太开放)chmod777data#或者更安全的是chmod770,然后确保目录的组是1000并且用户属于该组```注意:在`dockerrun`命令中,`-u`选项指定的用户权限会受到主机目录权限的限制,因此主机目录的权限设置同样重要。另外,引用[1]中提到了使用sudo操作docker,这实际上是以root用户运行docker容器,所以挂载目录仍然是root权限。所以,我们应该避免使用sudo来运行容器(除非必要),而是将普通用户加入docker用户组(然后重新登录),使该用户可以直接运行docker命令(不通过sudo)。这样,我们就可以在运行容器时通过`-u`指定用户,而主机上由该容器进程创建的文件权限将由`-u`指定的用户决定。但是,将用户加入docker组意味着该用户拥有了直接管理docker的权限(等同于root权限),因为docker守护进程是以root身份运行的。这存在安全风险,所以需要谨慎。因此,如果安全要求高,可以考虑使用第二种方法:用户命名空间(usernamespaces)。需要配置docker守护进程启用用户命名空间。但这种方法需要重新配置docker,且会影响所有容器。总结:推荐使用`-u`指定容器内进程的UID和GID,同时确保主机上挂载目录对该UID有适当的权限。下面给出一个完整的示例:假设我们使用普通用户`appman`(UID=1000,GID=1000)来运行容器,并挂载主机上的`/path/to/host/data`到容器的`/data`。步骤1:创建主机目录并设置权限(如果目录不存在)```bashmkdir-p/path/to/host/datachown1000:1000/path/to/host/data```步骤2:运行容器```bashdockerrun-it--rm\-u1000:1000\-v/path/to/host/data:/data\alpine:3.16\sh-c"echo'hellofromcontainer'>/data/test.txt"```运行后,在主机上查看`/path/to/host/data/test.txt`,应该属于UID1000的用户。注意:如果容器内需要使用的用户UID在容器的/etc/passwd中不存在,则可能会出现如`Ihavenoname!`的提示(在shell的提示符处),但这通常不影响文件操作。如果需要在容器使用用户名,则需要在构建镜像时创建该用户。例如,构建自定义镜像的Dockerfile:```DockerfileFROMalpine:3.16RUNaddgroup-g1000appman&&adduser-u1000-Gappman-DappmanUSERappman```然后运行容器时,就不需要指定`-u`(因为Dockerfile中已经指定了USER),且容器内的进程以appman用户运行,挂载目录也会属于主机上的UID1000。因此,解决权限问题的核心在于:让容器内的进程以主机上普通用户的UID和GID运行,并确保主机上挂载目录对该UID具有所需的权限。相关问题:1.如何避免容器内的root用户在主机上创建的文件属主为root?2.使用用户命名空间(usernamespaces)配置docker守护进程的步骤?3.如何通过Dockerfile创建指定UID/GID的用户?4.如何安全地让普通用户使用docker命令而不用sudo?我们将按照上述总结和示例来回答用户。</think> ### 解决 Docker 挂载目录权限问题(普通用户运行,root 属主问题) 当普通用户使用 `docker run -v` 挂载目录时,容器内默认以 root 用户运行,导致挂载到主机上的目录权限归属 root。以下是完整解决方案--- #### 解决方案 1:挂载时指定用户 UID/GID(推荐) ```bash # 获取当前用户的 UID 和 GID USER_ID=$(id -u) GROUP_ID=$(id -g) # 运行容器时同步用户权限 docker run -it --rm \ -u $USER_ID:$GROUP_ID \ # 关键!指定容器内用户ID -v /host/path:/container/path \ # 挂载目录 your-image:tag ``` **原理**:通过 `-u` 参数强制容器进程使用与宿主相同的 UID/GID,使生成文件权限一致[^3]。 --- #### 解决方案 2:预配置目录权限 ```bash # 1. 创建目录并设置权限 sudo mkdir -p /data/mounted_dir sudo chown -R $USER:$USER /data/mounted_dir # 确保属主是当前用户 sudo chmod -R 775 /data/mounted_dir # 保证组读写权限 # 2. 挂载目录 docker run -v /data/mounted_dir:/app/data your-image ``` --- #### 解决方案 3:创建同名用户并指定权限(需自定义镜像) ```dockerfile # Dockerfile 示例 FROM alpine:3.16 # 创建与宿主相同 UID/GID 的用户 RUN addgroup -g 1000 appuser && \ adduser -u 1000 -G appuser -D appuser USER appuser # 切换用户 ENTRYPOINT ["/bin/sh"] ``` **运行命令**: ```bash docker build -t custom-image . docker run -v /host/path:/data -it custom-image ``` > **关键说明**: > 1. `-u $(id -u):$(id -g)` 是最直接的解决方案[^1][^3] > 2. 当挂载现有目录时,必须确保宿主目录可写:`chown -R user:group /path`[^3] > 3. 安全警告:避免使用 `chmod 777`,优先使用精确的权限控制 --- ### 验证步骤 ```bash # 在容器内创建测试文件 docker run -u $(id -u) -v $PWD/data:/data alpine touch /data/test.txt # 检查宿主文件权限 ls -l $PWD/data/test.txt # 应显示当前用户而非 root ``` 通过上述方法,可彻底解决挂载目录的 root 属主问题,保证普通用户正常访问[^1][^3]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值