Docker踩坑,又漲知識了
?背景
新上線一個批處理功能,基于Docker發布的。上線之后出現一個問題,Docker批處理生成的文件目錄,別的應用程序無法訪問。
之前也在使用Docker,但并未涉及到文件共享的問題,還真沒留意到。經過一系列排查,終于找到原因。這篇文章就記錄一下排查過程中使用到的技術點,也幫大家重溫一下。
涉及的知識點:Docker help命令、Linux用戶/組id查看、Docker用戶指定、Docker啟動失敗日志查看等
現象分析
Docker運行的項目定時創建文件目錄并進行文件生成等操作,但當其他應用程序來操作Docker應用生成的目錄時,會提示“Permission denied”錯誤。
查看Docker生成的文件夾權限,竟然是以root用戶創建的。執行Docker的啟動腳本明明是普通用戶,生成的文件怎么就變成了root用戶了?
這里就涉及到通過Docker執行執行時所使用的用戶了。如果在執行Docker執行命令時,未指定所使用的用戶,默認以root用戶執行。在這生產環境下當然是不允許的了。
問題解決
既然找到問題的原因解決起來就比較容易了,下面記錄一下解決問題及涉及到的一些Docker命令和Linux操作。
查詢幫助文檔
先來通過help命令查看一下Docker的命令參數,如何來指定執行命令的用戶。
先嘗試了docker --help命令,結果并未找到指定用戶的命令參數:
后來才意識到,查找的應該是docker的run命令的幫助文檔:
其中便有指定run命令操作的所屬用戶參數,通過-u可指定執行命令的用戶和組。
docker指定用戶
參照幫助手冊,整理了docker的運行命令(偽代碼):
上述指令中通過-u username指定了執行命令的用戶,按理說可以正常執行的,但執行時拋出了以下異常信息:
雖然當前用戶是testuser,但docker貌似并未在passwd文件中找到它,此時直接通過用戶的UID來替換Username。
獲得Linux用戶UID
獲得Linux用戶的UID有兩種方法。
方法一:執行命令。
獲得UID命令:
當前用戶的UID便是1002。
獲得組ID命令:
當前用戶所屬組ID便是1002。
方法二:查看/etc/passwd獲取UID和組ID。
執行cat /etc/passwd命令,顯示/etc/passwd中的內容。
圖片來源于網絡
在/etc/passwd中找到當前用戶后面對應的UID和組ID。
調整Docker命令
獲得了當前用戶的UID和組ID之后,Docker運行命令修改如下:
正常來說,問題到此便解決了,可正常啟動應用程序。
Docker日志查看
但筆者又遇到另外一個問題,就是Docker中應用的日志,由于之前的失誤默認通過root用戶創建的,此時使用了testuser來啟動應用程序,發現Docker無法啟動,原因很簡單testuser啟動的應用無法向root創建的日志文件寫日志。
排查啟動失敗時用到了查看Docker失敗日志的命令:
此時,或將原來的日志備份,讓系統重新生成日志文件,或直接修改日志文件權限為testuser即可。
至此,關于Docker生成目錄權限問題解決完畢。
小結
其實,導致上面問題的原因很小,就是漏了一個參數的事。但不經一事,不長一智。可能很多朋友在使用Docker的過程中可能都沒留意到這一問題。
而問題的排查過程也很有意思,不僅涉及到了Docker的操作命令,也涉及到了Linux的一些基礎知識,知識和技能就是在出現問題、解決問題的過程中增長的。
