在我的团队中,我们在进行开发时使用 Docker 容器在本地运行我们的网站应用程序。
假设我正在开发 Flask 应用程序app.py具有依赖关系requirements.txt,工作流程大致如下:
# I am "robin" and I am in the docker group
$ whoami
robin
$ groups
robin docker
# Install dependencies into a docker volume
$ docker run -ti -v `pwd`:`pwd` -w `pwd` -v pydeps:/usr/local python:3-slim pip install -r requirements.txt
Collecting Flask==0.12.2 (from -r requirements.txt (line 1))
# ... etc.
# Run the app using the same docker volume
$ docker run -ti -v `pwd`:`pwd` -w `pwd` -v pydeps:/usr/local -e FLASK_APP=app.py -e FLASK_DEBUG=true -p 5000:5000 python:3-slim flask run -h 0.0.0.0
* Serving Flask app "app"
* Forcing debug mode on
* Running on http://0.0.0.0:5000/ (Press CTRL+C to quit)
* Restarting with stat
* Debugger is active!
* Debugger PIN: 251-131-649
现在我们有一个本地服务器运行我们的应用程序,我们可以对本地文件进行更改,服务器将根据需要刷新。
在上面的示例中,应用程序最终运行为root用户。除非应用程序将文件写回工作目录,否则这不是问题。如果确实如此,那么我们最终可能会得到文件(例如类似的东西)cache.sqlite or debug.log)在我们的工作目录中拥有root。这给我们团队的用户带来了许多问题。
对于我们的其他应用程序,我们通过使用以下命令运行应用程序解决了这个问题主机用户的UID 和 GID - 例如对于 Django 应用程序:
$ docker run -ti -u `id -u`:`id -g` -v `pwd`:`pwd` -w `pwd` -v pydeps:/usr/local -p 8000:8000 python:3-slim ./manage.py runserver
在这种情况下,应用程序将作为不存在的有ID的用户1000在容器内部,但写入主机目录的任何文件最终都正确地归robin用户。这在 Django 中工作得很好。
然而,Flask 拒绝以不存在的用户身份运行(在调试模式下):
$ docker run -ti -u `id -u`:`id -g` -v `pwd`:`pwd` -w `pwd` -v pydeps:/usr/local -e FLASK_APP=app.py -e FLASK_DEBUG=true -p 5000:5000 python:3-slim flask run -h 0.0.0.0
* Serving Flask app "app"
* Forcing debug mode on
* Running on http://0.0.0.0:5000/ (Press CTRL+C to quit)
* Restarting with stat
* Debugger is active!
Traceback (most recent call last):
...
File "/usr/local/lib/python3.6/getpass.py", line 169, in getuser
return pwd.getpwuid(os.getuid())[0]
KeyError: 'getpwuid(): uid not found: 1000'
有谁知道是否有什么办法我可以:
- 让 Flask 不担心未分配的用户 ID,或者
- 以某种方式在运行时动态地将用户 ID 分配给用户名,或者
- 否则允许 docker 应用程序以主机用户身份在主机上创建文件?
我现在能想到的唯一解决方案(超级黑客)是更改权限/etc/passwd在 docker 映像中设置为全局可写,然后在运行时向该文件添加新行,以将新的 UID/GID 对分配给用户名。
