探索智能体开发 -

容器工具提示与技巧

本文涵盖了 Visual Studio Code 容器工具 (Container Tools) 扩展的故障排除提示与技巧。有关设置和使用容器的详细信息,请参阅概览以及 Node.jsPythonASP.NET 的快速入门文章。

以非 root 用户身份运行

出于安全考虑,我们建议在执行 Containers: Add Docker Files to Workspace...(容器:将 Docker 文件添加到工作区...)命令时选择默认端口,或尽可能选择 大于 1023 的端口。这将允许 VS Code 配置具有非 root 访问权限的 Dockerfile,并防止恶意用户在容器中提升权限。在某些情况下,没有端口选择,因此容器工具扩展默认配置非 root 访问权限。在任何情况下,您都必须确保您的应用程序修改或使用的每个资源(例如端口和文件)都可以由容器中的非 root 用户访问。

如果您在向工作区添加 Dockerfile 时选择了小于 1024 的端口,则容器工具扩展无法创建以非 root 用户身份运行容器的 Dockerfile。这是因为此范围内的端口被称为知名端口 (well-known)系统端口,必须以 root 权限执行才能将网络套接字绑定到 IP 地址。

如果您选择了非系统端口,Containers: Add Docker Files to Workspace... 命令将设置非 root 权限。如果当前的 Dockerfile 和 tasks.json 未针对非 root 使用进行设置,请尝试运行 Containers: Add Docker Files to Workspace... 命令,并选择一个大于 1023 的端口。此命令会覆盖您当前的 Dockerfile 和 tasks.json。对于某些项目类型(例如 Python: General),您可能仍需要修改 Dockerfile 和 tasks.json。在 Dockerfile 中,必须公开一个非系统端口,为应用代码创建工作目录,然后添加一个拥有该应用目录访问权限的非 root 用户。确保无论在何处引用,所公开的端口均已更新。在下方的示例中,必须更新 Gunicorn 端口以匹配公开的端口

# 1024 or higher
EXPOSE 1024

# ... other directives such as installing requirements.txt file

# Creates /app in container if it does not already exist
# Ports code into /app
WORKDIR /app
ADD . /app

# Creates a non-root user and adds permission to access the /app folder
RUN adduser -u 5678 --disabled-password --gecos "" appuser && chown -R appuser /app
USER appuser

CMD ["gunicorn", "--bind", "0.0.0.0:1024", "pythonPath.to.wsgi"]

接下来,确保 tasks.json 中的 docker run 任务也指向同一个端口。通常,您可以在 tasks.json 中搜索旧端口号的所有出现位置,并将其替换为新端口号。以下示例展示了在 Python Django 应用的情况下所需的更改

{
  "type": "docker-run",
  "label": "docker-run: debug",
  "dependsOn": ["docker-build"],
  "python": {
    "args": [
      "runserver",
      "0.0.0.0:1024", //<- Change the number after the colon
      "--nothreading",
      "--noreload"
    ],
    "file": "manage.py"
  }
}

Linux 上出现“connect EACCES /var/run/docker.sock”错误

由于 VS Code 以非 root 用户身份运行,您需要按照 Linux 安装后步骤 中的“以非 root 用户身份管理 Docker”步骤进行操作,以便从扩展程序访问 Docker。

容器和镜像从“容器资源管理器”中消失

这很可能是由名为 Docker Explorer(非微软开发)的另一个扩展程序冲突引起的。要解决此问题,请使用 vscode-docker issue #1609 中描述的权宜之计。

扩展程序未在远程机器上找到 Docker

错误消息“连接失败。Docker 是否已安装并正在运行?”

  1. 确保远程机器上已安装 Docker 引擎,并且 Docker CLI 可以正常工作(从终端运行 docker ps 并确保它不会返回任何错误)。
  2. 如果您正在使用远程开发环境(通过 SSH 的远程机器、WSL 子系统、GitHub Codespace),请确保容器工具扩展已在远程和本地均完成安装。

无效 URL 错误

如果您需要连接到远程 Docker 守护进程,我们建议使用 Docker 上下文 (contexts),而不是设置中的 containers.environment 属性。查看本指南以了解如何创建和使用上下文来与远程 Docker 守护进程通信。

如果您仍然需要覆盖当前使用的 Docker 上下文,请确保您的 DOCKER_HOST 环境变量或 containers.environment.DOCKER_HOST 属性在 URL 中包含协议(例如 ssh://myuser@mymachinetcp://1.2.3.4)。

注意:请记住,您的 containers.environment.DOCKER_HOST 属性将覆盖 Docker 上下文,而 DOCKER_HOST 环境变量将同时覆盖 containers.environment.DOCKER_HOST 属性和 Docker 上下文。

提示:在 PowerShell 中,您可以使用 $ENV:DOCKER_HOST = 'ssh://username@1.2.3.4' 来更改 Docker 环境变量

问题和反馈

我们非常期待您的反馈!如果您有任何想法或建议,请报告问题

12/21/2022
English 한국어 中文(简体) 中文(繁體)
© . This site is unofficial and not affiliated with Microsoft.