Q&A
docker のバージョンの問題というより、UID の設定の仕方だと思いますが、そもそも apache を root 以外で動かす必要あるんですか?
構築中のdockerの環境を、サービスイン前にupdateすることを検討しています。
環境は以下の通りです。
・DockerホストOS:RHEL 7.7
・現行Docker version:1.13.1-108(rhel-7-server-extras-rpms)
・Update予定のDocker version:1.13.1-161(rhel-7-server-extras-rpms上の最新)
・カーネル:3.10.0-1062.9.1.el7.x86_64
・dockerhub上のzabbix関連のコンテナをfromとして、簡単な変更を加えたイメージを利用
・docker-composeで停止・起動させるように構成
updateを検討とはじめに記載しましたが、VM環境上に立てているサーバーのため、事前にスナップショットを取得した上で、実際にupdateを行いコンテナの起動を試したのですが、フロントのコンテナ(Apache)の起動に失敗していまいます。
ログの確認の結果
・dockerhubから落としてきたコンテナのイメージを、ホストOSからのユーザー識別を一致させるために、コンテナ上のユーザーIDのUIDを変更した
・セキュリティの観点から、起動ユーザーをrootからapacheに変更
→起動時に、複数ファイルへのアクセス権がない(ベースイメージに含まれている各ファイルの所有が変更前のUIDのままになってしまっているため、起動ユーザーapacheが権限がないためアクセス不可)ため起動に失敗しているようです。
ただ、原因がそうであるならこの問題は現行のバージョンで発生しない方が不思議な事象であると思うので、dockerのリリースノートを確認してみたのですが、そこまでの細かいバージョンの更新については触れられていませんでした。
もし、細かいバージョンの更新情報等記載されているページをご存知の方がいらっしゃいましたら、ご教示いただきたく。
また、合わせて根本的な問題の解決方法も質問させて下さい。
この問題は、ベースイメージに含まれているユーザーIDのUIDを、もともと作成したいUID指定で作成すれば、発生しない問題だと思っています。そのため、dockerhubで公開されているイメージをビルドするためのDockerfileをUIDが指定のものでユーザーIDを作成するようにすれば良い理解です。これを試してみたのですが、Dockerfileに含まれる--from=builderが、今使っているdockerのバージョンで対応していないようで失敗しました。
こちらについても、根本的にパーミッションの問題を回避する方法(ファイルの所有を変えてしまう、など別の切り口でも問題ありません)をご存知でしたら、教えて下さい。
質問の意図としては、バージョン間の変更を確認できれば、回避策?か何かがわかるかもしれないというところで、修正内容を知りたいと思っています。
root以外で実行したいのは、セキュリティ対応のためで、なるべくコンテナ上のプロセスがrootで起動される(=ホストOS上でもrootのプロセス )ことを避けたいためです。
rootlessはよくある要望と思います。
--from=builderが使えないということは、Docker multi stage buildが使えるdockerのバージョン(17.05)にする必要がありますね。docker-ceもしくはdocker-eeのバージョンをご確認ください。
※リンクのあるDockerfileに--from=builderが含まれていないようなのでこれ以上調査できないです。
リンクのDockerfileはUSER指定しているのでrootではないように読めます。
回答1件
0
環境の差異については、Docker Hub 上の Docker イメージも、双方の環境で同じかどうかが確認箇所の1つになります。Docker イメージのタグが同じだとしても、内容が同じとは限らないためです。。
もしかすると、同じ Docker イメージ(タグ)に見えたとしても、その挙動が変わっている可能性があります。そのため、権限関係でエラーが出ているのではないでしょうか。
実際にお使いの Docker イメージ名とタグ、Dockerfile をお知らせいただければ、もう少し詳しくわかるかもしれません。
残念ながら現状では、そういうことも有り得ますねという回答しかできず心苦しいのですが、これ以上の原因確認やアドバイスは難しいです。
投稿2021/04/10 22:55
総合スコア1584
あなたの回答
tips
プレビュー
