容器工具提示与技巧
本文涵盖了 Visual Studio Code 容器工具 扩展的故障排除提示和技巧。有关设置和使用容器的详细信息,请参阅概述以及针对 Node.js、Python 或 ASP.NET 的快速入门文章。
以非 root 用户运行
出于安全原因,我们建议在执行 容器: 将 Docker 文件添加到工作区... 命令时选择默认端口,或者在可能的情况下选择 大于 1023 的端口。这将允许 VS Code 配置 Dockerfile 以实现非 root 访问,并防止恶意用户在容器中提升权限。在某些情况下,没有端口选择,因此容器工具扩展默认配置非 root 访问。在所有情况下,您都必须确保应用程序修改或使用的每个资源(例如端口和文件)都可以由容器中的非 root 用户访问。
如果在将 Dockerfile 添加到工作区时选择小于 1024 的端口,容器工具扩展无法创建以非 root 用户身份运行容器的 Dockerfile。这是因为此范围内的端口被称为知名端口或系统端口,并且必须以 root 权限执行才能将网络套接字绑定到 IP 地址。
如果您选择非系统端口,容器: 将 Docker 文件添加到工作区... 命令会设置非 root 权限。如果当前的 Dockerfile 和 tasks.json
未设置为非 root 用户使用,请尝试运行命令 容器: 将 Docker 文件添加到工作区...,并选择一个大于 1023 的端口。此命令将覆盖您当前的 Dockerfile 和 tasks.json
。对于某些项目类型,例如 Python: General,您可能仍需要修改 Dockerfile 和 tasks.json
。在 Dockerfile 中,您必须暴露一个非系统端口,为您的应用程序代码创建一个工作目录,然后添加一个可以访问应用程序目录的非 root 用户。确保您的暴露端口在所有引用它的地方都已更新。在下面的示例中,Gunicorn 端口必须更新以匹配暴露的端口
# 1024 or higher
EXPOSE 1024
# ... other directives such as installing requirements.txt file
# Creates /app in container if it does not already exist
# Ports code into /app
WORKDIR /app
ADD . /app
# Creates a non-root user and adds permission to access the /app folder
RUN adduser -u 5678 --disabled-password --gecos "" appuser && chown -R appuser /app
USER appuser
CMD ["gunicorn", "--bind", "0.0.0.0:1024", "pythonPath.to.wsgi"]
接下来,确保 tasks.json
中的 docker run
任务也使用相同的端口。您通常可以在 tasks.json
中搜索旧端口号的所有出现处,并将其替换为新端口号。以下示例显示了 Python Django 应用程序所需的更改
{
"type": "docker-run",
"label": "docker-run: debug",
"dependsOn": ["docker-build"],
"python": {
"args": [
"runserver",
"0.0.0.0:1024", //<- Change the number after the colon
"--nothreading",
"--noreload"
],
"file": "manage.py"
}
}
Linux 上出现“connect EACCES /var/run/docker.sock”错误
由于 VS Code 以非 root 用户运行,您需要按照Linux 安装后步骤中“将 Docker 作为非 root 用户管理”中的步骤操作,以便从扩展访问 Docker。
容器和镜像从容器浏览器中消失
这很可能是由于与另一个名为 Docker Explorer
的扩展(非 Microsoft 编写)发生冲突造成的。要解决此问题,请使用 vscode-docker 问题 #1609 中描述的解决方法。
扩展无法在远程机器上找到 Docker
错误消息:“连接失败。Docker 是否已安装并正在运行?”
- 请确保 Docker 引擎已在远程机器上安装,并且 Docker CLI 正常工作(从终端运行
docker ps
并确保它不返回任何错误)。 - 如果您正在使用远程开发环境(通过 SSH 连接的远程机器、WSL 子系统、GitHub Codespace),请确保容器工具扩展已在远程和本地安装。
无效 URL 错误
如果您需要连接到远程 Docker 守护进程,我们建议使用 Docker 上下文,而不是设置中的 containers.environment
属性。请查阅此指南,了解如何创建和使用上下文来与远程 Docker 守护进程通信。
如果您仍然需要覆盖当前使用的 Docker 上下文,请确保您的 DOCKER_HOST
环境变量或 containers.environment.DOCKER_HOST
属性在 URL 中包含协议(例如,ssh://myuser@mymachine
或 tcp://1.2.3.4
)。
注意:请记住,您的
containers.environment.DOCKER_HOST
属性将覆盖您的 Docker 上下文,而DOCKER_HOST
环境变量将同时覆盖containers.environment.DOCKER_HOST
属性和您的 Docker 上下文。
提示:在 Powershell 中,您可以使用
$ENV:DOCKER_HOST = 'ssh://username@1.2.3.4'
更改您的 Docker 环境变量。
问题与反馈
我们期待您的反馈!如果您有任何想法或建议,请报告问题。