如何在 bluemix 卷上使用 docker 修复权限？

Question

在容器中，我正在尝试启动 mysqld。

我能够创建映像并推送到注册表，但是当我想启动它时，/var/lib/mysql 卷无法初始化，因为我尝试在其上执行 chown mysql 并且不允许这样做。

我检查了 docker 特定的解决方案，但现在我无法进行任何工作。

有没有办法从 bluemix 为绑定安装的文件夹设置正确的权限？ 或者是否支持 --volumes-from 选项，我似乎无法使其工作。

我现在能看到的唯一解决方案是以 root 身份运行 mysqld，但我宁愿不这样做。

试试 mount-bind

1. 使用 cf ic volume create database 在 bluemix 上创建了一个卷

2. 尝试在我的数据库容器上运行mysql_install_db 来初始化它的内容

   docker run --name init_vol -v database:/var/lib/mysql registry.ng.bluemix.net/<namespace>/<image>:<tag> mysql_install_db --user=mysql
   

mysql_install_db 应该填充/var/lib/mysql 并将权限设置为在--user 选项中设置的所有者，但我得到：

chown：更改“/var/lib/mysql”的所有权：权限被拒绝。

我还以不同的方式尝试了上述方法，使用 sudo 或脚本。我尝试使用mysql_install_db --user=root，它确实正确设置了我的文件夹，但它归root用户所有，我宁愿让mysql以mysql用户身份运行。

尝试使用volumes-from数据容器

1. 我创建了一个带有卷 /var/lib/mysql 的数据容器

   docker run --name db_data -v /var/lib/mysql registry.ng.bluemix.net/<namespace>/<image>:<tag> mysql_install_db --user=mysql
   

2. 我使用选项--volumes-from 运行我的数据库容器

   docker run --name db_srv --volumes-from=db_data registry.ng.bluemix.net/<namespace>/<image>:<tag> sh -c 'mysqld_safe & tail -f /var/log/mysql.err'
   

docker inspect db_srv 显示：

[{ "BluemixApp": null, "Config": { ..., "工作目录": "", ... } ... }]

cf ic logs db_srv 显示：

150731 15:25:11 mysqld_safe 使用来自的数据库启动 mysqld 守护进程 /var/lib/mysql 150731 15:25:11 [注意] /usr/sbin/mysqld (mysqld 5.5.44-0ubuntu0.14.04.1-log）从进程 377 开始 .. /usr/sbin/mysqld：找不到文件“./mysql-bin.index”（错误代码：13） 150731 15:25:11 [错误] 中止

这是由于 --volumes-from 不受支持，并且第一次创建的数据没有保留在第二次运行中。

Answer 1

在 IBM Containers 中，为 docker 引擎启用了用户命名空间。 “权限被拒绝”问题似乎是因为 NFS 不允许映射用户从容器执行操作。

在我的本地设置中，在 docker 主机上，安装了一个 NFS（使用 no_root_squash 选项导出）。并使用 -v 选项将卷附加到容器。当容器是 从带有禁用用户命名空间的 docker 生成，我能够更改容器内绑定挂载的所有权。但是随着用户命名空间启用docker，我得到 chown: changing ownership of ‘/mnt/volmnt’: Operation not permitted

cf (cf ic volume create ...) 创建的卷是 NFS，要验证只需从容器中尝试 mount -t nfs4。 何时为 docker 引擎启用用户命名空间。容器内有效的root是容器进程外的non-root用户，NFS不允许映射的非root用户对容器内的卷执行chown操作。

这是解决方法，您可能想尝试

1. 在 Dockerfile 中

   1.1 在安装 MySql 之前，使用 UID 1010 或任何空闲 ID 创建用户 mysql。 其他 Container 或新 Container 可以访问 UID 1010 的 Volume 上的 mysql 数据文件

   RUN groupadd --gid 1010 mysql

   RUN useradd --uid 1010 --gid 1010 -m --shell /bin/bash mysql

   1.2 安装MySqlL但不初始化数据库

   RUN apt-get update && apt-get install -y mysql-server && rm -rf /var/lib/mysql && rm -rf /var/lib/apt/lists/*

2. 在入口点脚本中

   2.1 在bind-mount下以mysql用户创建mysql数据目录，然后链接为/var/lib/mysql

   假设卷安装在容器内的/mnt/db（ice run -v <volume name>:/mnt/db --publish 3306... 或cf ic run --volume <volume name>:/mnt/db ...）。 定义挂载路径环境变量

   MOUNTPATH="/mnt/db"

   将mysql添加到“root”组

   adduser mysql root

   设置挂载卷的权限，以便root 组成员可以创建目录和文件

   chmod 775 $MOUNTPATH

   在Volume下创建mysql目录

   su -c "mkdir -p /mnt/db/mysql" mysql

   su -c "chmod 700 /mnt/db/mysql" mysql

   将目录链接到 /var/lib/mysql

   ln -sf /mnt/db/mysql /var/lib/mysql

   chown -h mysql:mysql /var/lib/mysql

   从组root中删除mysql

   deluser mysql root

   chmod 755 $MOUNTPATH

   2.2 首次初始化数据库为用户mysql

   su -c "mysql_install_db --datadir=/var/lib/mysql" mysql

   2.3 以mysql用户身份启动mysql服务器

   su -c "/usr/bin/mysqld_safe" mysql

Answer 2

您在这里有多个问题。我会尝试解决一些问题。也许这会让你在正确的方向上更进一步。

--volumes-from 在 IBM Containers 中尚不支持。您可以通过在第一个和后续容器上使用相同的 --volume (-v) 选项来解决此问题，而不是在第一个容器创建命令上使用 -v 并在后续容器上使用 --volumes-from。

--user 选项也不被 IBM Containers 支持。

我看到您使用 --user 的语法（我想在 localhost docker 上）不正确。 docker run 命令的所有选项都必须位于映像名称之前。图像名称之后的任何内容都被视为在容器内运行的命令。在这种情况下，“--user=mysql”将被视为系统将尝试运行并失败的命令。

您分享的最后一条错误消息显示在工作目录中找不到某些文件导致应用程序中止。您可以通过使用脚本作为在将 dir 更改为正确位置的容器中运行的命令来解决此问题。