容器工具提示与技巧
本文介绍了 Visual Studio Code 容器工具扩展的故障排除提示和技巧。有关设置和使用容器的详细信息,请参阅 Node.js、Python 或 ASP.NET 的概述和快速入门文章。
以非 root 用户运行
出于安全原因,我们建议在执行“**容器: 将 Docker 文件添加到工作区…**”命令时选择默认端口,或者在可能的情况下选择**大于** 1023 的端口。这将允许 VS Code 配置 Dockerfile,使其具有非 root 访问权限,并防止恶意用户在容器中提升权限。在某些情况下,没有端口选择,因此容器工具扩展默认配置为非 root 访问。在所有情况下,您都必须确保您的应用程序修改或使用的每个资源(例如端口和文件)都可以由容器中的非 root 用户访问。
如果在将 Dockerfile 添加到工作区时选择小于 1024 的端口,容器工具扩展**无法**创建以非 root 用户运行容器的 Dockerfile。这是因为此范围内的端口称为**熟知端口**或**系统端口**,并且必须以 root 权限执行才能将网络套接字绑定到 IP 地址。
如果您选择非系统端口,“**容器: 将 Docker 文件添加到工作区…**”命令会设置非 root 权限。如果当前的 Dockerfile 和 `tasks.json` 未设置为非 root 使用,请尝试运行命令“**容器: 将 Docker 文件添加到工作区…**”,并选择一个**大于** 1023 的端口。此命令将覆盖您当前的 Dockerfile 和 `tasks.json`。对于某些项目类型,例如“**Python: General**”,您可能仍需要修改 Dockerfile 和 `tasks.json`。在 Dockerfile 中,您必须公开一个**非系统端口**,为您的应用程序代码创建工作目录,然后添加一个有权访问应用程序目录的非 root 用户。确保公开的端口在所有引用它的地方都已更新。在下面的示例中,Gunicorn 端口必须更新以匹配公开的端口
# 1024 or higher
EXPOSE 1024
# ... other directives such as installing requirements.txt file
# Creates /app in container if it does not already exist
# Ports code into /app
WORKDIR /app
ADD . /app
# Creates a non-root user and adds permission to access the /app folder
RUN adduser -u 5678 --disabled-password --gecos "" appuser && chown -R appuser /app
USER appuser
CMD ["gunicorn", "--bind", "0.0.0.0:1024", "pythonPath.to.wsgi"]
接下来,确保 `tasks.json` 中的 `docker run` 任务也预期相同的端口。您通常可以在 `tasks.json` 中搜索旧端口号的所有出现处,并将其替换为新端口号。以下示例显示了 Python Django 应用程序所需的更改
{
"type": "docker-run",
"label": "docker-run: debug",
"dependsOn": ["docker-build"],
"python": {
"args": [
"runserver",
"0.0.0.0:1024", //<- Change the number after the colon
"--nothreading",
"--noreload"
],
"file": "manage.py"
}
}
Linux 上出现错误“connect EACCES /var/run/docker.sock”
由于 VS Code 以非 root 用户身份运行,您需要按照 Linux 安装后步骤中的“将 Docker 作为非 root 用户管理”中的步骤操作,以便从扩展访问 Docker。
容器和镜像从容器资源管理器中消失了
这很可能是由与另一个名为 `Docker Explorer`(非 Microsoft 编写)的扩展冲突引起的。要解决此问题,请使用 vscode-docker issue #1609 中描述的解决方法。
扩展无法在远程机器上找到 Docker
错误消息:“连接失败。Docker 是否已安装并正在运行?”
- 确保 Docker 引擎已安装在远程机器上,并且 Docker CLI 正常工作(从终端运行 `docker ps` 并确保它没有返回任何错误)。
- 如果您正在使用远程开发环境(通过 SSH 的远程机器、WSL 子系统、GitHub Codespace),请确保容器工具扩展在远程和本地都已安装。
无效 URL 错误
如果您需要连接到远程 Docker 守护进程,我们建议使用 Docker 上下文,而不是设置中的 `containers.environment` 属性。查看此指南,了解如何创建和使用上下文来与远程 Docker 守护进程通信。
如果您仍然需要覆盖当前正在使用的 Docker 上下文,请确保您的 `DOCKER_HOST` 环境变量或 `containers.environment.DOCKER_HOST` 属性在 URL 中包含协议(例如,`ssh://myuser@mymachine` 或 `tcp://1.2.3.4`)。
**注意:**请记住,您的 `containers.environment.DOCKER_HOST` 属性将覆盖您的 Docker 上下文,而 `DOCKER_HOST` 环境变量将覆盖 `containers.environment.DOCKER_HOST` 属性和您的 Docker 上下文。
**提示**:在 PowerShell 中,您可以使用 `$ENV:DOCKER_HOST = 'ssh://username@1.2.3.4'` 更改 Docker 环境变量。
问题和反馈
我们期待您的反馈!如果您有任何想法或建议,请报告问题。