快捷導(dǎo)航

Docker容器訪問掛載文件權(quán)限問題小結(jié)

更新時(shí)間：2025年02月18日 08:45:51 作者：曾彪彪

在使用docker-compose部署項(xiàng)目時(shí),因?yàn)镾ELinux策略導(dǎo)致容器無(wú)法訪問宿主機(jī)上掛載的文件,解決方案包括禁用SELinux、修改文件類型為svirt_sandbox_file_t或使用:Z選項(xiàng)掛載文件,本文介紹Docker容器訪問掛載文件權(quán)限問題,感興趣的朋友一起看看吧

問題描述

在使用docker-compose部署項(xiàng)目時(shí)，yaml文件如下：

version: '3'
services:
  purchasing-contract-consumer:
    image: my-registry.com/consumer:latest
    environment:
      - TZ=Asia/Shanghai
      - app_env=prod
    restart: always
    working_dir: /app
    command: python app.py
    volumes:
      - type: bind
        source: /home/admin/deploy/consumer/application.log
        target: /app/application.log

啟動(dòng)應(yīng)用時(shí)，報(bào)錯(cuò)：

PermissionError: [Errno 13] Permission denied: '/app/application.log'

原因分析

在我的應(yīng)用中，需要在容器中對(duì)application.log文件進(jìn)行寫入，這個(gè)文件被掛載到宿主機(jī)上。因?yàn)槲业乃拗鳈C(jī)系統(tǒng)是CentOS，默認(rèn)啟用了SELinux。在SELinux策略下，容器進(jìn)程的類型是container_t類型，而宿主機(jī)上的文件默認(rèn)是user_home_t類型，二者類型不匹配，容器進(jìn)程無(wú)法訪問宿主機(jī)上掛載的文件。

解決方案

方案1，禁用SELinux，不推薦。

臨時(shí)禁用SELinux方案如下：

sudo setenforce 0

方案2，在宿主機(jī)上修改application.log文件類型為svirt_sandbox_file_t

chcon -t svirt_sandbox_file_t application.log

如果需要永久修改application.log文件類型

semanage fcontext -a -t svirt_sandbox_file_t "application.log"
restorecon application.log

將文件類型修改成svirt_sandbox_file_t之后，因?yàn)閐ocker容器進(jìn)程是container_t類型，SELinux允許container_t類型的進(jìn)程訪問svirt_sandbox_file_t類型的文件。

方案3，掛載時(shí)使用:Z，這將把掛載的文件設(shè)置成container_file_t類型，確保容器進(jìn)程可以訪問掛載文件。更新后的yaml文件如下。(推薦)

version: '3'
services:
  purchasing-contract-consumer:
    image: my-registry.com/consumer:latest
    environment:
      - TZ=Asia/Shanghai
      - app_env=prod
    restart: always
    working_dir: /app
    command: python app.py
    volumes:
      -  /home/admin/deploy/consumer/application.log:/app/application.log:Z

運(yùn)行后，查看SELinux上下文類型

[admin@myhost consumer]$ ls -lZ
-rw-rw-r--. admin admin system_u:object_r:container_file_t:s0:c716,c748 application.log
drwxr-xr-x. root  root  system_u:object_r:container_file_t:s0:c97,c362 config
-rwxr-xr-x. admin admin unconfined_u:object_r:user_home_t:s0 docker-compose.yml
-rw-rw-r--. admin admin unconfined_u:object_r:user_home_t:s0 qtsb-mail.tar
-rwxrwxr-x. admin admin unconfined_u:object_r:user_home_t:s0 start.sh

使用:Z掛載的文件類型是container_file_t，可以被容器進(jìn)程訪問。默認(rèn)文件類型是user_home_t，無(wú)法被容器進(jìn)程訪問。

在使用方案3解決問題時(shí)，不能顯示指定bing mount。如下

    volumes:
      - type: bind
        source: /home/admin/deploy/consumer/application.log
        target: /app/application.log:Z #無(wú)效，容器無(wú)法修改宿主機(jī)上application.log的SELinux類型
    volumes:
      -  /home/admin/deploy/consumer/application.log:/app/application.log:Z #有效，容器成功修改宿主機(jī)上application.log的SELinux類型

示例代碼在Gitee上同步

到此這篇關(guān)于Docker容器訪問掛載文件權(quán)限問題的文章就介紹到這了,更多相關(guān)Docker容器訪問掛載文件權(quán)限問題內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

您可能感興趣的文章: