我正在运行 dockerd 19.03.1,版本 74b1e89,并在专用 ID 范围上启用了用户命名空间
cat > /etc/sub{uid,gid}
dockeruser:120000:10000
我需要将容器从 root 切换到我创建的专用用户
ARG USERID=26551
ENV runUID=${USERID}
ARG GROUPID=26551
ENV runGID=${GROUPID}
ARG USERNAME='testuser'
ENV runUSER=${USERNAME}
ARG groupNAME='testgroup'
ENV runGROUP=${groupNAME}
RUN groupadd -g ${runGID} ${runGROUP} && useradd -u ${runUID} -g ${runGID} -r ${runUSER}
但是,我无法将容器上下文切换到用户。 su 以及 gosu 的替换失败类似于
[root@1d5594cd99a0 /]# su - testuser ls
su: cannot set groups: Invalid argument
根据有关用户命名空间映射的文档,这可能是一个警告,并且会影响所有依赖于setuid或/和例如su检查实际二进制文件所有者的二进制文件。
可以在容器上下文中的另一个用户下运行 Docker 容器中的命令/二进制文件,并为 dockerd 启用用户命名空间?
回答我的问题
我没有为用户命名空间定义足够的 subuid/subgids。
之前
/etc/subuid
/etc/subgid
dockeruser:120000:10000
我在容器中创建了一个 UID=26551 的用户 - 其中 26551 不在 [120000,120000+10000] 范围内,因此切换到该用户失败。
修复
将 subuid 和 subgid 范围扩展到 [200000,200000+100000] 并实际包含 UID
/etc/subuid
/etc/subgid
dockeruser:200000:100000
我不明白... UID=26551 不在 [200000,200000+100000=300000] 范围内...