容器工具提示和技巧
本文介绍了 Visual Studio Code 容器工具扩展的故障排除提示和技巧。有关设置和使用容器的详细信息,请参阅概述以及针对 Node.js、Python 或 ASP.NET 的快速入门文章。
以非 root 用户身份运行
出于安全原因,我们建议在执行 容器:将 Docker 文件添加到工作区... 命令时选择默认端口,或者尽可能选择一个大于 1023 的端口。这将允许 VS Code 使用非 root 访问权限来配置 Dockerfile,并防止恶意用户在容器中提升权限。在某些情况下,没有端口选择,因此容器工具扩展默认配置非 root 访问。在所有情况下,您都必须确保应用程序修改或使用的每个资源(例如端口和文件)都能被容器中的非 root 用户访问。
如果您在向工作区添加 Dockerfile 时选择了小于 1024 的端口,容器工具扩展将无法创建一个以非 root 用户身份运行容器的 Dockerfile。这是因为此范围内的端口被称为知名或系统端口,必须以 root 权限执行才能将网络套接字绑定到 IP 地址。
如果您选择一个非系统端口,容器:将 Docker 文件添加到工作区... 命令会设置非 root 权限。如果您当前的 Dockerfile 和 tasks.json
未设置为非 root 用户使用,请尝试运行容器:将 Docker 文件添加到工作区... 命令,并选择一个大于 1023 的端口。此命令将覆盖您当前的 Dockerfile 和 tasks.json
。对于某些项目类型,例如Python: General,您可能仍需要修改 Dockerfile 和 tasks.json
。在 Dockerfile 中,您必须公开一个非系统端口,为您的应用代码创建一个工作目录,然后添加一个有权访问该应用目录的非 root 用户。请确保在所有引用它的地方都更新您公开的端口。在下面的示例中,必须更新 Gunicorn 端口以匹配公开的端口。
# 1024 or higher
EXPOSE 1024
# ... other directives such as installing requirements.txt file
# Creates /app in container if it does not already exist
# Ports code into /app
WORKDIR /app
ADD . /app
# Creates a non-root user and adds permission to access the /app folder
RUN adduser -u 5678 --disabled-password --gecos "" appuser && chown -R appuser /app
USER appuser
CMD ["gunicorn", "--bind", "0.0.0.0:1024", "pythonPath.to.wsgi"]
接下来,确保 tasks.json
中的 docker run
任务也使用相同的端口。您通常可以在 tasks.json
中搜索旧端口号的所有出现之处,并将其替换为新端口号。以下示例显示了 Python Django 应用程序中所需的更改。
{
"type": "docker-run",
"label": "docker-run: debug",
"dependsOn": ["docker-build"],
"python": {
"args": [
"runserver",
"0.0.0.0:1024", //<- Change the number after the colon
"--nothreading",
"--noreload"
],
"file": "manage.py"
}
}
在 Linux 上出现“connect EACCES /var/run/docker.sock”错误
由于 VS Code 以非 root 用户身份运行,您需要按照 Linux 的安装后步骤中的“以非 root 用户身份管理 Docker”的步骤来从扩展访问 Docker。
容器和镜像从容器资源管理器中消失
这很可能是由另一个名为 Docker Explorer
(非微软编写)的扩展冲突引起的。要解决此问题,请使用 vscode-docker issue #1609 中描述的解决方法。
扩展在远程计算机上找不到 Docker
错误消息:“连接失败。Docker 是否已安装并正在运行?”
- 请确保 Docker 引擎已在远程计算机上安装,并且 Docker CLI 可以正常工作(从终端运行
docker ps
并确保它不会返回任何错误)。 - 如果您正在使用远程开发环境(通过 SSH 连接的远程计算机、WSL 子系统、GitHub Codespace),请确保容器工具扩展在本地和远程都已安装。
无效的 URL 错误
如果您需要连接到远程 Docker 守护进程,我们建议使用 Docker 上下文(contexts)而不是在设置中使用 containers.environment
属性。请查看此指南,了解如何创建和使用上下文与远程 Docker 守护进程通信。
如果您仍需要覆盖当前使用的 Docker 上下文,请确保您的 DOCKER_HOST
环境变量或 containers.environment.DOCKER_HOST
属性在 URL 中包含协议(例如,ssh://myuser@mymachine
或 tcp://1.2.3.4
)。
注意:请记住,您的
containers.environment.DOCKER_HOST
属性将覆盖您的 Docker 上下文,而DOCKER_HOST
环境变量将同时覆盖containers.environment.DOCKER_HOST
属性和您的 Docker 上下文。
提示:在 Powershell 中,您可以使用
$ENV:DOCKER_HOST = 'ssh://username@1.2.3.4'
来更改您的 Docker 环境变量。
问题和反馈
我们期待您的反馈!如果您有任何想法或建议,请报告问题。