如果以非root用户身份运行,Docker容器将立即退出
的原因是Docker默认情况下需要root权限来管理容器的运行。这是因为Docker在容器内部使用了一些特权操作,例如创建命名空间、挂载文件系统等,这些操作需要root权限才能执行。
然而,为了提高容器的安全性,Docker引入了用户命名空间(User Namespace)的概念。用户命名空间允许将容器内部的用户映射到宿主机上的非特权用户,从而避免了容器内部的进程拥有root权限。
当以非root用户身份运行Docker容器时,如果容器内部的进程尝试执行需要root权限的操作,例如创建网络接口、修改文件权限等,就会导致操作失败,从而使容器立即退出。
为了解决这个问题,可以通过以下几种方式来运行非root用户的Docker容器:
- 使用特权模式(Privileged Mode):在运行容器时加上
--privileged参数,这样容器内的进程将拥有与宿主机相同的权限。但是这种方式会降低容器的安全性,不推荐在生产环境中使用。 - 使用用户命名空间(User Namespace):通过配置用户命名空间,将容器内部的用户映射到宿主机上的非特权用户。这样容器内的进程就可以以非root用户身份运行,而不会导致容器退出。具体的配置方法可以参考Docker官方文档中关于用户命名空间的说明。
- 修改容器内部的权限要求:如果容器内部的进程没有必要执行需要root权限的操作,可以通过修改容器内部的配置或代码,将这些操作改为使用非特权权限执行。这样即使以非root用户身份运行容器,也不会导致容器退出。
总结起来,以非root用户身份运行Docker容器时,容器会立即退出是因为默认情况下Docker需要root权限来管理容器的运行。为了解决这个问题,可以使用特权模式、用户命名空间或修改容器内部的权限要求。具体选择哪种方式取决于实际需求和安全性考虑。
相关·内容
我按照这个guide以非根用户的身份运行容器。在镜像中已经创建了用户gpadmin。但是,如果我运行以下命令,容器会立即退出: root@dev01:~# docker run -i -d -v /tmp/$(mktemp -d):/run -p 5432:5432 -p 28080:,容器不会<e
浏览 33提问于2019-01-03得票数 0
回答已采纳
我正以非根用户的身份在Docker容器中运行我的应用程序。我这么做是因为这是最佳实践之一。但是,在运行容器时,我将一个主机卷挂载到它的-v /some/folder:/some/folder上。之所以这样做,是因为我的应用程序运行在docker容器中,需要将文件写入已挂载的主机文件夹。但是,由于我是以非<e
浏览 3提问于2016-09-08得票数 68
回答已采纳
最近,我一直试图以非根用户的身份运行我的Docker应用程序。我看到我有几种选择:
安装无根码头:显然这是一个“非根”版本的Docker,它以用户身份运行容器,而不是root用户。使用普通(rootful) Docker,但使用带有docker run标志的--user运行容器</em
浏览 0提问于2022-09-27得票数 3
回答已采纳
在生产环境中以root用户身份运行docker container有多安全?这是标准做法,还是建议以非root用户身份运行docker container?编辑:
我的问题假设以root身份运行docker守护进程、docker客户端和docker<
浏览 5提问于2015-02-12得票数 6
对于“以非根用户的身份运行docker相对于根用户”感到困惑。
第一个问题(以非根用户的身份运行):基于,要将docker作为非根用户运行,我们创建停靠组并将用户添加到其中。然而,本文声称“docker组授予等同于root用户的特权”。所以
浏览 0提问于2018-06-12得票数 4
回答已采纳
1回答
我已经创建了一个笔记本Docker文件,如下所示来运行JupyterHub和JupyterLabRUN apt-get updateEXPOSE 8000 2222当我以root用户身份运行此容器时,它可以正常工作,但当我以admin(sud
浏览 2提问于2020-07-18得票数 0
当作为组'usergroup1‘中名为'username1’的用户启动停靠容器时。这些文件是以root用户身份创建的。我需要在Dockerfile或启动选项中做什么,以确保输出文件夹中的文件权限与l
浏览 4提问于2016-01-05得票数 6
openshift 文档是这样的:
为了进一步保护OpenShift容器平台集群中的RHCOS系统,除管理或监视主机系统本身的容器外,大多数容器都应该以非根用户的身份运行。为了保护您自己的OpenShift容器平台集群,建议删除特权级别或以尽可能少的权限创建容器。所讨论的容器将在cri-o运行时以只读、非特权的形式运行,其中包括UID重映射、selinux和sec
浏览 0提问于2021-05-17得票数 2
回答已采纳
1回答
我有一个容器,它需要在启动时执行一些初始化,这些初始化只能以root用户身份完成,但遵循良好的做法,我不希望容器以root用户身份运行。我认为我应该能够在容器中创建一个脚本,该脚本由root拥有,并设置了setuid位。然后,可以使用非root用户启动容器,通过执行脚本完成初始化,然后容器执行
浏览 36提问于2020-07-08得票数 2
在第一个POD中,我必须运行Zookeeper。所以我创建了POD,我的来自docker镜像的Zookeeper将会运行,但是POD的状态是:崩溃循环返回关闭。我创建了新项目我创建了新的应用程序来从docker部署我的zookeeper输出消息是:
--> Found Docker image 5
浏览 2提问于2016-12-15得票数 1
如果有什么问题,请纠正我
使用rootless,守护程序和容器可以作为非root用户运行,以减轻潜在的漏洞,例如,如果有人要获得以root用户身份运行的容器的访问权限,那么如果他离开容器(进入主机系统),他也可以拥有root用户权限。因此,如果有人要访问一个无根容器<
浏览 4提问于2021-03-27得票数 1
3回答
作为根用户还是非根用户?
、、、
在阅读了一些文章之后,我仍然不确定我应该使用哪个用户来运行docker容器。在以root用户身份运行码头容器时,是否存在安全问题?作为根用户运行码头容器可以吗?还是我应该使用我的普通用户,将他添加到“码头”组中,然后运行我的容器,还是应该创建一个额外的用户来管理/创建码头容器
浏览 0提问于2019-05-16得票数 12
1回答
当我运行docker-compose命令时,我在我的ubuntu系统上发现了一个错误。 ? 我的docker-compose文件 ? 告诉我如何解决这个错误,如果有任何建议给出。
浏览 172提问于2021-09-22得票数 1
“错误:无法删除特权作为非根用户”,当我创建一个新的虚拟机。nodaemon=truelogfile_maxbytes=0us
浏览 0提问于2021-05-01得票数 3
1回答
场景我想按照在Docker中使用Docker
关键是您需要将Docker套接字从主机绑定到容器内的Docker套接字,以便在容器内使用Docker。发出主机上的Docker套接字总是绑定到root:root下的Docker容器中。当我以非根用户的身份执行容器时,执行Docker</em
浏览 3提问于2019-09-17得票数 7
我将/var/ run /docker.sock挂载到容器中,在容器中插入一个ubuntu二进制文件,它就能够执行--但是当我运行"docker ps“时,从容器内部以"jenkins”的身份运行
在尝试连接到,如果我以根用户身份连接到容器(docker -u
浏览 2提问于2017-07-09得票数 13
回答已采纳
我在我的docker容器中运行Ubuntu (这是一个运行在我的OS主机中的容器)。当您运行创建我的容器的docker命令时,它会将您作为root登录。因此,当我尝试安装Linuxbrew之后,在我的容器中通过app-gret安装curl和ruby之后,当我尝试安装Linuxbrew时,我会得到错误don't run this as root!如果docker</
浏览 0提问于2016-01-02得票数 3
回答已采纳
如果有人解决了这个问题,请告诉我。让我知道 ? 我的ubuntu数据: ? 我已经使用了这个教程进行安装,之前我也使用过官方教程,但它给我带来了同样的问题: https://linuxize.com/post/how-to-install-and-use-docker-on-ubuntu
浏览 39提问于2019-10-10得票数 0
根据最佳实践和建议,出于安全考虑,我们应该始终以非根用户的身份运行docker容器。在这样做的时候,我面临一个问题,就是我必须用域名覆盖/etc/ doing文件。如果我以根用户的身份运行docker容器,那么没有问题,因为resolv.conf将被更新为适当的域名映射(基于环境配置文件),但是如果我添加<e
浏览 1提问于2019-08-19得票数 0
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
云直播
对象存储活动推荐
腾讯云开发者
