向容器添加非 root 用户
许多 Docker 镜像使用 root 作为默认用户,但在某些情况下,您可能更喜欢使用非 root 用户。如果您这样做,您应该了解本地文件系统(绑定)挂载的一些怪癖。具体来说:
-
Docker Desktop for Mac:在容器内部,任何挂载的文件/文件夹都将表现得好像它们归您指定的容器用户所有。在本地,所有文件系统操作都将使用您本地用户的权限。
-
Docker Desktop for Windows:在容器内部,任何挂载的文件/文件夹都将显示为好像它们归
root
所有,但您指定的用户仍然能够读取/写入它们,并且所有文件都将是可执行的。在本地,所有文件系统操作都将使用您本地用户的权限。这是因为从根本上没有办法直接将 Windows 风格的文件权限映射到 Linux。 -
Docker CE/EE on Linux:在容器内部,任何挂载的文件/文件夹都将具有与容器外部完全相同的权限 - 包括所有者用户 ID (UID) 和组 ID (GID)。因此,您的容器用户要么需要具有相同的 UID,要么需要在具有相同 GID 的组中。用户/组的实际名称无关紧要。机器上的第一个用户通常获得 UID 1000,因此大多数容器使用此 ID 作为用户,以尝试避免此问题。
为 VS Code 指定用户
如果您使用的镜像或 Dockerfile 已经提供了一个可选的非 root 用户(例如 node
镜像),但仍然默认为 root,您可以通过在 devcontainer.json
中指定 remoteUser
属性,选择让 Visual Studio Code (server) 和任何子进程(终端、任务、调试)使用它
"remoteUser": "user-name-goes-here"
在 Linux 上,如果您在 devcontainer.json
中引用 Dockerfile、镜像或 Docker Compose,这将还会自动更新容器用户的 UID/GID 以匹配您的本地用户,从而避免此环境中存在的绑定挂载权限问题(除非您设置 "updateRemoteUserUID": false
)。
由于此设置仅影响 VS Code 和相关的子进程,因此需要重启 VS Code(或重新加载窗口)才能生效。但是,UID/GID 更新仅在创建容器时应用,并且需要重建才能更改。
指定默认容器用户
在某些情况下,您可能需要容器中的所有进程以不同的用户身份运行(例如,由于启动要求),而不仅仅是 VS Code。具体操作方法略有不同,具体取决于您是否使用 Docker Compose。
-
Dockerfile 和镜像:将
containerUser
属性添加到同一文件中。"containerUser": "user-name-goes-here"
在 Linux 上,与
remoteUser
类似,这也会自动更新容器用户的 UID/GID 以匹配您的本地用户,从而避免此环境中存在的绑定挂载权限问题(除非您设置"updateRemoteUserUID": false
)。 -
Docker Compose:使用以下内容更新(或 扩展)您的
docker-compose.yml
,以用于相应的服务user: user-name-or-UID-goes-here
创建非 root 用户
虽然来自 Dev Containers 扩展的任何镜像或 Dockerfile 都将包含 UID/GID 为 1000 的非 root 用户(通常称为 vscode
或 node
),但许多基础镜像和 Dockerfile 并非如此。幸运的是,您可以更新或创建一个 Dockerfile,将非 root 用户添加到您的容器中。
即使在生产环境中,也建议以非 root 用户身份运行您的应用程序(因为它更安全),因此即使您正在重用现有的 Dockerfile,这也是一个好主意。例如,以下 Debian/Ubuntu 容器的代码片段将创建一个名为 user-name-goes-here
的用户,使其能够使用 sudo
,并将其设置为默认用户
ARG USERNAME=user-name-goes-here
ARG USER_UID=1000
ARG USER_GID=$USER_UID
# Create the user
RUN groupadd --gid $USER_GID $USERNAME \
&& useradd --uid $USER_UID --gid $USER_GID -m $USERNAME \
#
# [Optional] Add sudo support. Omit if you don't need to install software after connecting.
&& apt-get update \
&& apt-get install -y sudo \
&& echo $USERNAME ALL=\(root\) NOPASSWD:ALL > /etc/sudoers.d/$USERNAME \
&& chmod 0440 /etc/sudoers.d/$USERNAME
# ********************************************************
# * Anything else you want to do like clean up goes here *
# ********************************************************
# [Optional] Set the default user. Omit if you want to keep the default as root.
USER $USERNAME
提示: 如果您在构建时遇到关于 GID 或 UID 已存在的错误,则您选择的镜像可能已经有一个非 root 用户,您可以直接利用它。
在任何一种情况下,如果您已经构建了容器并连接到它,请从命令面板 (F1) 运行“Dev Containers: Rebuild Container”以应用更改。否则,运行“Dev Containers: Open Folder in Container...”以连接到容器。
更改现有容器用户的 UID/GID
虽然在使用 Dockerfile 或镜像时,remoteUser
属性尝试在 Linux 上自动更新 UID/GID(如果适用),但您可以在 Dockerfile 中使用此代码片段来手动更改用户的 UID/GID。根据需要更新 ARG
值。
ARG USERNAME=user-name-goes-here
ARG USER_UID=1000
ARG USER_GID=$USER_UID
RUN groupmod --gid $USER_GID $USERNAME \
&& usermod --uid $USER_UID --gid $USER_GID $USERNAME \
&& chown -R $USER_UID:$USER_GID /home/$USERNAME
请注意,在 Alpine Linux 上,您需要先安装 shadow
包。
RUN apk add --no-cache shadow