Docker 卷 - 需要权限才能写入数据库

Question

我正在开发一个烧瓶服务器（在带有 python 3.5 的 virtualenv 中），它用作 REST API（仅用于烧瓶建议的开发）。一开始它连接到本地 sqlite 数据库，它会尽快提交任何数据库更改。现在我想在 docker 容器中运行所有内容，我想知道如何访问数据库，因为 sqlite 文件位于容器中。

所以我在 docker-compose 文件中创建了一个卷，它指向构建应用程序的 dockerfile。

Dockerfile：

FROM python:latest
ENV HOME /home/parkrep
WORKDIR $HOME
ADD requirements.txt $HOME/requirements.txt
RUN pip install -r requirements.txt
ADD . $HOME
EXPOSE 80
CMD ["python", "server.py"]

.dockerignore

__pycache__
venv
.gitignore
.dockerignore
README.md
Dockerfile
docker-compose.yml

docker-compose.yml

version: '2'
services:
  parkrep:
    build:
      context: ./
      dockerfile: Dockerfile
    volumes:
      - ./output:/home/parkrep/output
    command: ["python", "server.py"]
    ports:
      - "80:80"

如果我运行docker-compose up，我会得到以下信息

parkrep_1  |   File "/home/parkrep/db_connector.py", line 45, in _connect_db
parkrep_1  |     self._connection = sqlite3.connect(path, check_same_thread=False)
parkrep_1  | sqlite3.OperationalError: unable to open database file
parkrep_parkrep_1 exited with code 1

如果我在 output/reports.db 中创建数据库并再次启动 docker-compose，它会返回以下错误：

parkrep_1  | sqlite3.OperationalError: attempt to write a readonly database

显然我没有写入文件的权限。我通过写入一个像这样安装的测试文件来测试这种行为：

...
volumes:
  - ./output:/home/parkrep/output
  - ./test.txt:/home/parkrep/text.txt
command: bash -c "echo 'hallo' > test.txt"

错误信息：

parkrep_1  | bash: text.txt: Permission denied

让我们看看谁拥有这个文件：

parkrep_1  | drwxr-xr-x 7 root root 4.0K Dec 19 10:45 .
parkrep_1  | -rw-rw-r-- 1 root root  143 Dec 12 15:08 config.yaml
parkrep_1  | -rw-rw-r-- 1 root root 7.9K Dec 12 14:37 db_connector.py
parkrep_1  | drwxrwxr-x 2 4262 4262 4.0K Dec 19 11:10 output
parkrep_1  | -rw-rw-r-- 1 root root  144 Dec 12 13:20 requirements.txt
parkrep_1  | -rw-rw-r-- 1 root root 2.7K Dec 19 10:14 server.py
parkrep_1  | -rw-rw-r-- 1 4262 4262 2.7K Dec 19 10:14 test.txt

原来容器中没有用户 4262，但在主机上我的用户帐户有这个 id。所以我想我知道现在的问题是什么，但我不知道如何访问这些文件。我尝试在卷定义中添加“:rw”，但我仍然没有写权限。如果定义了卷，我如何告诉 docker 不要更改文件/目录所有者。

我正在考虑我的本地卷驱动程序的问题，但也许其他人已经遇到了这个问题并且可以告诉我如何配置我的图像以获得所需的权限。

您好， 托马斯

docker info

     Containers: 1
 Running: 0
 Paused: 0
 Stopped: 1
Images: 19
Server Version: 1.12.5
Storage Driver: aufs
 Root Dir: /var/lib/docker/aufs
 Backing Filesystem: extfs
 Dirs: 19
 Dirperm1 Supported: true
Logging Driver: json-file
Cgroup Driver: cgroupfs
Plugins:
 Volume: local
 Network: host bridge null overlay
Swarm: inactive
Runtimes: runc
Default Runtime: runc
Security Options: apparmor seccomp
Kernel Version: 4.4.0-53-generic
Operating System: Ubuntu 16.04.1 LTS
OSType: linux
Architecture: x86_64
CPUs: 8
Total Memory: 15.56 GiB
Name: de3lxd-107769
ID: PU5F:LZ55:EEK7:W3R7:SYR3:336J:2VRH:35H2:MTLY:6Q6L:BWBP:EM5R
Docker Root Dir: /var/lib/docker
Debug Mode (client): false
Debug Mode (server): false
Registry: https://index.docker.io/v1/
WARNING: No swap limit support
Insecure Registries:
 127.0.0.0/8

docker-compose -v

docker-compose version 1.9.0, build 2585387

lsb_release -a

No LSB modules are available.
Distributor ID: Ubuntu
Description:    Ubuntu 16.04.1 LTS
Release:    16.04
Codename:   xenial

Answer 1

热修复

我通过向所有人授予作者权限来解决问题。

mkdir output
touch output/reports.db output/database.log
chmod a+rw output output/*

这将赋予主机上的用户和 docker 机器上的 root 用户权限，无论谁拥有这些文件。这只是一个肮脏的修复，因为我不得不快点。任何进程都可以访问和编辑/删除文件。如果只有docker用户获得写权限会更好，但我不能给主机上的root用户写权限。

更好的方法

在这个post 中，他们在容器中使用另一个用户（www-data）。构建图像后，他们获取用户的 id 并用此 id 替换当前文件所有者。如果你以这个用户（www-data）启动容器，挂载会复制带有权限和所有者信息的文件，以便用户可以读取和写入这些文件。

这将是一种更安全的方式，因为您确保只有 docker 用户可以更改数据库/文件。因为我无法为我完成这项工作（似乎不适用于 id=0 的 root 用户），但我想指出，有更好的解决方案。

如果你只需要docker停止后最后的数据，你可以看看docker cp。