快捷導航

Docker容器訪問掛載文件權(quán)限問題小結(jié)

更新時間：2025年02月18日 08:45:51 作者：曾彪彪

在使用docker-compose部署項目時,因為SELinux策略導致容器無法訪問宿主機上掛載的文件,解決方案包括禁用SELinux、修改文件類型為svirt_sandbox_file_t或使用:Z選項掛載文件,本文介紹Docker容器訪問掛載文件權(quán)限問題,感興趣的朋友一起看看吧

問題描述

在使用docker-compose部署項目時，yaml文件如下：

version: '3'
services:
  purchasing-contract-consumer:
    image: my-registry.com/consumer:latest
    environment:
      - TZ=Asia/Shanghai
      - app_env=prod
    restart: always
    working_dir: /app
    command: python app.py
    volumes:
      - type: bind
        source: /home/admin/deploy/consumer/application.log
        target: /app/application.log

啟動應(yīng)用時，報錯：

PermissionError: [Errno 13] Permission denied: '/app/application.log'

原因分析

在我的應(yīng)用中，需要在容器中對application.log文件進行寫入，這個文件被掛載到宿主機上。因為我的宿主機系統(tǒng)是CentOS，默認啟用了SELinux。在SELinux策略下，容器進程的類型是container_t類型，而宿主機上的文件默認是user_home_t類型，二者類型不匹配，容器進程無法訪問宿主機上掛載的文件。

解決方案

方案1，禁用SELinux，不推薦。

臨時禁用SELinux方案如下：

sudo setenforce 0

方案2，在宿主機上修改application.log文件類型為svirt_sandbox_file_t

chcon -t svirt_sandbox_file_t application.log

如果需要永久修改application.log文件類型

semanage fcontext -a -t svirt_sandbox_file_t "application.log"
restorecon application.log

將文件類型修改成svirt_sandbox_file_t之后，因為docker容器進程是container_t類型，SELinux允許container_t類型的進程訪問svirt_sandbox_file_t類型的文件。

方案3，掛載時使用:Z，這將把掛載的文件設(shè)置成container_file_t類型，確保容器進程可以訪問掛載文件。更新后的yaml文件如下。(推薦)

version: '3'
services:
  purchasing-contract-consumer:
    image: my-registry.com/consumer:latest
    environment:
      - TZ=Asia/Shanghai
      - app_env=prod
    restart: always
    working_dir: /app
    command: python app.py
    volumes:
      -  /home/admin/deploy/consumer/application.log:/app/application.log:Z

運行后，查看SELinux上下文類型

[admin@myhost consumer]$ ls -lZ
-rw-rw-r--. admin admin system_u:object_r:container_file_t:s0:c716,c748 application.log
drwxr-xr-x. root  root  system_u:object_r:container_file_t:s0:c97,c362 config
-rwxr-xr-x. admin admin unconfined_u:object_r:user_home_t:s0 docker-compose.yml
-rw-rw-r--. admin admin unconfined_u:object_r:user_home_t:s0 qtsb-mail.tar
-rwxrwxr-x. admin admin unconfined_u:object_r:user_home_t:s0 start.sh

使用:Z掛載的文件類型是container_file_t，可以被容器進程訪問。默認文件類型是user_home_t，無法被容器進程訪問。

在使用方案3解決問題時，不能顯示指定bing mount。如下

    volumes:
      - type: bind
        source: /home/admin/deploy/consumer/application.log
        target: /app/application.log:Z #無效，容器無法修改宿主機上application.log的SELinux類型
    volumes:
      -  /home/admin/deploy/consumer/application.log:/app/application.log:Z #有效，容器成功修改宿主機上application.log的SELinux類型

示例代碼在Gitee上同步

到此這篇關(guān)于Docker容器訪問掛載文件權(quán)限問題的文章就介紹到這了,更多相關(guān)Docker容器訪問掛載文件權(quán)限問題內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

您可能感興趣的文章: