解决 Docker 持久化数据的权限问题

最新推荐文章于 2025-07-09 17:15:41 发布
原创 最新推荐文章于 2025-07-09 17:15:41 发布 · 3.8k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#docker

本文探讨Docker容器数据持久化的两种方法:修改运行用户和使用UserNamespace。详细解析了每种方法的实现步骤及优缺点,旨在解决容器与宿主机间的数据权限冲突。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Docker的数据持久化即数据不随着 container 的结束而结束, 数据存在于 host 机器上: 存在于 host 的某个指定目录中(使用-v 或者--mount), 或者 docker 自己管理的 volume (Dockerfile 里面设置VOLUME, 目录在/var/lib/docker/volumes).

实际使用的时候, 会碰到文件权限的问题:

容器向挂载的目录写入数据后, host 没有权限访问这些数据, 因为容器默认是使用 root 用户运行的(对应 host 的 root 用户).

下面有2种解决方案.

修改 docker 运行用户

这是以前一直用的方法, 需要修改对应的 docker image:

下载 gosu 放到/bin, 设置一个启动脚本/init.sh:

#!/bin/bash

if [ ! -f "/tmp/first_run" ]; then
	touch /tmp/first_run
	PUID=${PUID:-9999}
	chown -R $PUID /mnt
	useradd -s /bin/bash -u $PUID -o -c "" -m user
	usermod -a -G root user
fi
 
exec /bin/gosu user "$@"

PUID 为 host 用户的 uid , 这样 容器生成的数据的uid就和 host 当前用户 一样了, 没有权限问题.

$ docker run --rm -e PUID=$(id -u) -v $PWD:/mnt debian sh -c "touch /mnt/test.log"
缺点

不能使用原始 docker image, 每次都要自己重新修改, 很麻烦.

使用 User Namespace

docker 在1.10 以后加入了这个功能. 使用方式:

开启User Namespace功能

vim /etc/docker/daemon.json
{
  "userns-remap": "fcying"
}

这里表示要将容器中 root 映射到的宿主机用户和用户组, 如果设为 default, docker 会自动创建并映射为 dockremap 用户和用户组.

修改 /etc/subuid/etc/subgid,建立宿主机用户用户组到容器用户用户组的映射:

vim /etc/subuid
fcying:1000:1
fcying:100001:65536

vim /etc/subgid
fcying:1000:1
fcying:100001:65536

对于subuid, fcying:1000:1 fcying:100001:65536 表示对于用户 fcying, 在当前的 user namespace 有 65536个从属用户, 第一个从属用户的uid设成1000, 这样 容器里面的root用户对应的宿主机uid就是fcying(uid:1000), 容器里面的其他用户对应的宿主机uid就是100001~1655365. 全部用户在容器内部对应的uid就是0~65535.

subgid的含义和subuid相同.

重启 docker sudo service docker restart 后, 会发现 /var/lib/docker下多了个1000:1000目录, 里面的目录结构和/var/lib/docker一样, 镜像需要重新下载, 这是一个全新的环境. 如果想要回到原先的环境, 关掉 User Namespace 重启 docker 就可以了.

临时禁用User Namespace

使用 --userns=host

docker run --rm --userns=host -v $PWD:/mnt debian sh -c "touch /mnt/test.log"
缺点

目前 docker 对它的支持还算不上完美, 下面是已知的几个和现有功能不兼容的问题:

  • 不支持 wsl
  • 共享主机的 PIDNET namespace(--pid=host or --network=host)
  • 外部的存储 数据卷驱动可能不兼容 不支持 user namespace
  • 使用 --privileged 而不指定 --userns=host
参考:

开启 docker 中的 User Namespace 来解决权限问题

隔离 docker 容器中的用户

Docker部署SQLServer教程(配置持久化
猿小白的博客
11-01 400
本章教程,主要介绍如何用Docker部署SQLServer,并配置数据持久化
Docker搭建Davos
LogicLancer的博客
04-12 602
Davos 是一个基于 WebDAV 协议的开源文件管理系统,它允许用户通过网络访问、上传和管理文件。通过 Docker 镜像,可以轻松地部署 Davos,并在服务器上创建自己的私有化在线文件管理系统,用于个人或团队的文件共享和管理。(如果使用默认端口)来访问 Davos 的 Web 界面。(如果使用默认端口)来访问 Davos 的 Web 界面。
docker数据持久化permission denied
叁滴水 的博客
02-06 3880
文章目录 springboot通过docker进行部署,但是里面有一些资源需要持久化,通过服务上传的文件持久化,通过如下命令 docker run -itd -v /usr/local/file:/usr/local/file -p 8080:8080 bffb047b897b 但是文件上传时报permission denied权限不足。因为宿主机的当前运行用户和docker容器里面的运行用户不一致导致访问权限问题。只需要加入 --privileged=true 即可。 docker run
docker 数据卷挂载 权限不对 退出码Exited(253)
qq_38735949的博客
03-03 972
容器卷目录 与宿主机目录的权限账户不同导致容器异常退出
DOCKER】-3 数据持久化
最新发布
Su_Ren的博客
07-09 914
docker数据持久化
docker es持久化_docker卷、持久化和迁移
weixin_30385221的博客
02-06 527
容器中的数据与Host相互独立,随着容器的释放(删除),这些数据也将丢失.为了避免这个问题,Docker提供了数据卷(Volume)这个数据持久化工具.持久化后的数据,不会随着容易删除而丢失.概述试想这样一个场景,几年前我创建了一个mysql5.5的容器,几年后由于业务变动,需要升级到mysql5.6,这个时候需要登陆到容器里面,把mysql的表文件复制下来,再想办法迁移到新的mysql服务中.这...
理解 docker 容器中的 uid 和 gid
weixin_34176694的博客
09-10 1685
默认情况下,容器中的进程以 root 用户权限运行,并且这个 root 用户和宿主机中的 root 是同一个用户。听起来是不是很可怕,因为这就意味着一旦容器中的进程有了适当的机会,它就可以控制宿主机上的一切!本文我们将尝试了解用户名、组名、用户 id(uid)和组 id(gid)如何在容器内的进程和主机系统之间映射,这对于系统的安全来说是非常重要的。说明:本文的演示环境为 ubuntu 16.04...
自用docker
Mac工作室
02-08 386
【代码】自用docker
浅谈Docker数据持久化
09-30
数据卷是Docker中用于持久化数据的一种机制,它是一个独立于Docker容器生命周期的特殊目录。数据卷有以下特点: 1. **共享与重用**:数据卷可以在多个容器间共享,允许数据在不同容器间传递。 2. **即时更新**:对...
Docker数据持久化
Aaron.无剑
06-12 2667
容器的数据持久化主要是指宿主机与容器,以及容器与容器之间进行数据交互;当数据文件一般默认是属于容器的,但是当删除容器的时候会一起将数据一起删除;所以就需要有单独的位置存储数据。 什么是数据卷? 数据卷是经过特殊设计的目录,可以绕过联合文件系统(UFS),为一个或者多个容器提供访问,数据卷 设计的目的,在于数据的永久存储,它完全独立于容器的生存周期,因此,docker 不会在容器删除时删 除其挂载的数据卷,也不会存在类似的垃圾收集机制,对容器引用的数据卷进行处理,同一个数据卷可 以只支持多个容器的访问。 数据
n8n部署docker本地化备份和数据持久化和迁移问题
2301_76541209的博客
04-28 754
在一开始的操作中,你遇到的主要问题Docker 容器内的文件权限导致了文件无法正确写入和修改,尤其是在复制本地备份文件到容器内时。复制文件后,容器内文件权限错误:你使用docker cp将本地的文件复制到容器中,但由于 Docker 默认的文件权限设置,复制到容器中的文件属于root用户,而容器内运行的node用户无法访问或修改这些文件。修改后未生效:虽然文件已成功复制,但由于权限问题,容器内的应用(如 n8n)无法读取或修改文件,导致应用无法正常启动或运行。问题表现当你使用docker cp。
Docker持久化存储方案
长林攻城狮的博客
03-03 2288
目录 一、Docker数据存储简介 二、Bind mounts 三、Volume 四、Tmpfs 一、Docker数据存储简介 我们知道Docker数据可以存在容器的可写层。但是当容器当容器不再运行时,数据不能持久存储,我们无法从容器外部获得这些数据;并且,Docker的可写层与宿主机(Host)在容器运行时紧密耦合,我们不能轻易地把数据移动到别的地方。 Docker提供了三种方式...
深入理解docker容器中的uid和gid
01-10
默认情况下,容器中的进程以 root 用户权限运行,并且这个 root 用户和宿主机中的 root 是同一个用户。听起来是不是很可怕,因为这就意味着一旦容器中的进程有了适当的机会,它就可以控制宿主机上的一切!本文我们将尝试了解用户名、组名、用户 id(uid)和组 id(gid)如何在容器内的进程和主机系统之间映射,这对于系统的安全来说是非常重要的。说明:本文的演示环境为 ubuntu 16.04(下图来自互联网)。 先来了解下 uid 和 gid uid 和 gid 由 Linux 内核负责管理,并通过内核级别的系统调用来决定是否应该为某个请求授予特权。比如当进程试图写入文件时,内核会检查
docker版 Transmission以及qbittorrent 下载路径没有权限问题
IcarusAegis的博客
09-15 8294
docker版 Transmission以及qbittorrent 下载路径没有权限问题
docker的基本配置和命令
weixin_46487184的博客
08-02 346
up: 用于创建并启动容器。当你执行docker-compose up -d命令时,docker-compose会解析docker-compose.yml文件,并根据文件中定义的服务配置创建并启动容器。docker-compose stop 或 docker stop 容器id ---停止容器命令,dock-compose同样需要进入容器执行,容器id使用docker ps -a 查看。docker ps -a ----查看容器运行情况 -a代表所有的容器,包括运行停止的容器。
docker数据权限管理--理论和验证
jialiu111111的博客
07-11 3499
当"es"用户的进程访问"/docker/elasticsearch-7.4.2/data"目录时,没有root权限,会出现 Permission denied的问题。1.3、如果在容器内对挂载目录下的文件进行了操作,则相应文件的所有者就会升级为root,如果容器中只有非root用户的权限,就无法对这些文件进行操作了。如果在容器内对挂载目录下的文件进行了操作,则相应文件的所有者就会升级为root,如果容器中只有非root用户的权限,就无法对这些文件进行操作了。我们查看挂载数据卷时候的目录权限和当前用户。
linux docker 权限划分介绍 capabilities
whatday的专栏
02-25 2629
验证环境:centos7 x86/64 内核版本4.19.9 在linux 2.2版本之前,当内核对进程进行权限验证的时候,可以将进程划分为两类:privileged(UID=0)和unprivilege(UID!=0)。其中privileged的进程拥有所有内核权限,而unprivileged则根据如可执行文件的权限(effective UID, effective GID,supplemen...
Docker】 privileged: true:允许容器获得比默认更高的权限
hiliang521的博客
01-21 1427
Docker】 privileged: true:允许容器获得比默认更高的权限
解决 Docker 数据卷挂载的文件权限问题
热门推荐
weixin_42445065的博客
06-16 1万+
Docker在启动的时候,会根据Docker File 里的USER运行程序。 如果没有指定,会默认以ROOT进行启动。 注意到,在文件权限层面,docker 的用户、用户组是与宿主机相通的,虽然名字可能不一样,但共用一个userid。 也就是说,docker默认的root,id是1,那么对应的就是宿主机的root(userid 也是 1) 如果 docker的默认用户是 new_user,id是1001,那么对应到的就是宿主机的 1001号用户,是哪位并不知道,不一定叫new_user。 假设是以ROOT
docker loki数据持久化
03-29
<think>嗯,用户想知道如何在Docker中配置Loki的数据持久化。首先,我需要回忆一下Loki的相关知识。Loki是Grafana Labs开发的日志聚合系统,通常和Promtail、Grafana一起使用。持久化的话,主要是要确保数据在容器重启或删除后不会丢失。 根据用户提供的引用内容,尤其是引用[3]和引用[4],里面提到持久化存储通常通过挂载宿主机目录到容器内的特定路径。比如minio的例子是映射到容器内的/data目录,而Loki需要类似的处理。Docker数据管理方式有卷(volume)、绑定挂载(bind mount)和tmpfs。这里应该使用卷或者绑定挂载,因为tmpfs是内存存储,重启会丢失数据。 接下来,我需要查找Loki的官方文档,确认数据存储路径。Loki默认的存储路径可能在/var/lib/loki,但可能因版本或配置而异。用户需要创建一个目录作为持久化存储,比如在宿主机上创建/data/loki,然后挂载到容器的对应目录。 另外,用户提供的引用[4]提到Loki服务升级或重启后历史日志丢失,所以持久化配置是关键。可能需要修改Loki的配置文件,指定存储路径为持久化的目录。比如在loki-config.yaml中设置chunk_store和ingester的路径到挂载的卷。 还要考虑Docker命令的写法,使用-v或者--mount参数来挂载卷。比如docker run的时候,-v /data/loki:/loki这样的参数。同时,确保容器内的Loki进程有权限写入该目录,可能需要处理文件权限问题。 可能还需要涉及到docker-compose的配置,如果用户使用docker-compose的话,需要在services下定义volumes。例如,在docker-compose.yml中指定volumes部分,将宿主机的目录映射到容器内的路径。 另外,用户的问题是关于教程的,所以步骤需要详细,分点说明。比如第一步创建目录,第二步编写配置文件,第三步运行容器并挂载卷。还要注意是否需要修改Loki的配置文件中的storage部分,指向持久化路径。 可能遇到的问题包括权限不足,导致Loki无法写入宿主机目录,这时候可能需要chmod或者设置用户组。另外,如果使用SELinux,可能需要额外的安全上下文配置。 还要参考用户提供的引用[1]中的内容,关于Docker数据卷的最佳实践,推荐使用卷(volume)而不是绑定挂载,因为卷由Docker管理,更安全可靠。但用户引用[3]中minio的例子用了绑定挂载,所以两种方式都要说明,或者根据Loki的需求选择合适的方式。 最后,生成相关问题时要考虑用户可能进一步的问题,比如如何验证持久化是否成功,如何备份数据,或者如何处理多节点部署的持久化等。</think>### Docker中Loki数据持久化配置教程 --- #### 一、Loki持久化核心原理 Loki的持久化需通过**将容器内存储目录映射到宿主机**实现。关键数据包括: 1. **索引数据**(存储日志标签与时间戳关系) 2. **日志块数据**(原始日志内容) 通过挂载宿主机目录或使用Docker卷,可避免容器销毁时数据丢失[^3][^4]。 --- #### 二、具体配置步骤 ##### 1. 创建持久化目录(宿主机) ```bash # 创建存储目录 sudo mkdir -p /docker/loki/{data,config} sudo chmod 777 -R /docker/loki # 确保容器有写入权限 ``` ##### 2. 准备配置文件(loki-config.yaml) ```yaml auth_enabled: false server: http_listen_port: 3100 ingester: lifecycler: address: 127.0.0.1 ring: kvstore: store: inmemory replication_factor: 1 final_sleep: 0s chunk_idle_period: 1h max_chunk_age: 1h schema_config: configs: - from: 2020-10-24 store: boltdb-shipper object_store: filesystem schema: v11 index: prefix: index_ period: 24h storage_config: boltdb_shipper: active_index_directory: /loki/index # 持久化路径 shared_store: filesystem filesystem: directory: /loki/chunks # 持久化路径 ``` ##### 3. 启动容器(单节点模式) ```bash docker run -d --name=loki \ -v /docker/loki/data:/loki \ -v /docker/loki/config/loki-config.yaml:/etc/loki/local-config.yaml \ -p 3100:3100 \ grafana/loki:2.6.1 ``` ##### 4. 验证持久化 ```bash # 查看宿主机目录是否生成文件 ls /docker/loki/data # 应出现 index 和 chunks 子目录 ``` --- #### 三、生产环境建议 1. **使用Docker卷**替代路径挂载(更安全): ```bash docker volume create loki_volume docker run -v loki_volume:/loki ... ``` 2. **分布式部署**需配合对象存储(如S3/MinIO) 3. **权限控制**建议使用非root用户运行容器 --- #### 四、配置示意图 ``` 宿主机文件系统 ├── /docker │ └── loki │ ├── data │ │ ├── index # 索引数据 │ │ └── chunks # 日志块 │ └── config │ └── loki-config.yaml └── Docker容器 └── /loki -> 挂载点 ``` ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值