Почему docker-compose игнорирует директиву user?

Question

[spaceatmoon]

Данный конфиг нормально работает под vagrant, но там какая-то проблема с установкой модулей через npm. Решил перепроверить на нормальном хостинге и на нормальном хостинге npm устанавливается как надо. Однако docker-composer игнорирует директиву user в docker-compose.yml и просто пробрасывает права как есть во внутрь контейнера не изменяя их. Версии композера и докера одинаковые с виртуальной и настоящей vps.

Каждый раз делать chown на хосте под вымышленного пользователя как-то странно. Это похоже на баг.

Dockerfile

FROM php:8.0.12-fpm

# Arguments defined in docker-compose.yml
ARG user
ARG uid

# Install system dependencies
RUN apt-get update && apt-get install -y \
    git \
    curl \
    libcurl4-openssl-dev \
    libpng-dev \
    libpq-dev \
    libonig-dev \
    libxml2-dev \
    libzip-dev \
    zip \
    unzip

# Clear cache
RUN apt-get clean && rm -rf /var/lib/apt/lists/*

# Install PHP extensions
RUN docker-php-ext-install curl zip pdo pgsql pdo_pgsql mbstring exif pcntl bcmath gd intl opcache xml

# Get latest Composer
COPY --from=composer:latest /usr/bin/composer /usr/bin/composer

# nvm environment variables
ENV NVM_DIR /usr/local/nvm
ENV NODE_VERSION 14.16.0
ENV NPM_VERSION 7.6.3

SHELL ["/bin/bash", "--login", "-c"]
RUN mkdir -p $NVM_DIR

# Install nvm with node and npm
RUN curl -o- https://raw.githubusercontent.com/nvm-sh/nvm/v0.35.3/install.sh | bash \
    && . $NVM_DIR/nvm.sh \
    && nvm install $NODE_VERSION \
    && nvm alias default $NODE_VERSION \
    && nvm use default \
    && npm install npm@$NPM_VERSION -g

ENV NODE_PATH $NVM_DIR/versions/node/v$NODE_VERSION/lib/node_modules
ENV PATH      $NVM_DIR/versions/node/v$NODE_VERSION/bin:$PATH
#ENV PATH      $NVM_DIR:$PATH
# Create system user to run Composer and Artisan Commands
RUN useradd -G www-data,root -u $uid -d /home/$user $user
RUN mkdir -p /home/$user/.composer && \
    chown -R $user:$user /home/$user

WORKDIR /var/www

USER $user

docker-compose.yml

version: "3.7"
services:
    app:
        build:
            args:
                user: momo
                uid: 1000
            context: ./dockerfiles
            dockerfile: Dockerfile
        image: appmail
        container_name: appmail-app
        restart: unless-stopped
        working_dir: /var/www/
        volumes:
            - ./:/var/www
        networks:
            - appmail

    db:
        container_name: appmail-db-pgsql
        image: postgres:14
        env_file: ./.env
        environment:
            POSTGRES_DB: ${DB_DATABASE}
            POSTGRES_USER: ${DB_USERNAME}
            POSTGRES_PASSWORD: ${DB_PASSWORD}
            PGDATA: /data/postgres14
        volumes:
            - appmail-db-pgsql14:/data/postgres14
        ports:
            - ${DB_PORT}:5432
        networks:
            - appmail
        restart: unless-stopped

    admin:
        image: adminer
        restart: always
        depends_on:
            - db
        ports:
            - 8082:8080
        networks:
            - appmail

    nginx:
        image: nginx:alpine
        container_name: appmail-nginx
        restart: unless-stopped
        ports:
            - ${APPLICATION_PORT}:80
            #- 433:433
        volumes:
            - ./:/var/www
            - ./docker-compose/nginx:/etc/nginx/conf.d/
        networks:
            - appmail

networks:
    appmail:
        driver: bridge

volumes:
    appmail-db-pgsql14:

-rwxrwxr-x 1 1002 1002   4051 Nov 18 07:20 README.md
Должно быть так:
-rwxrwxr-x 1 momo momo   4051 Nov 18 07:20 README.md

Answer 1

[mureevms]

Как именно проверяете?
Какой UID имеет пользователь momo в контейнере? Вангую, что первый вывод без пользователя у вас в хост системе, поскольку в ней нет пользователя с таким UIDом. А UID пользователя momo в контейнере == 1002

Каждый раз делать chown на хосте под вымышленного пользователя как-то странно. Это похоже на баг.

Все имена пользователей сделаны для удобства человека, система оперирует UIDом. Chown тоже умеет указывать UID, а не username: chown -R 1002:1002 /target

Comments

[spaceatmoon]

Имеет почему-то как вы говорите 1002, хотя задано 1000.

Проверял в такой последовательности на чистой тачке где только докер и git.
1. Пользователь root. docker-compose build app и up -d. Захожу во внутрь и вижу права root, chmod проставлен автоматически гитом.
2. Отредактировал dockerfile выставив перед workdir chown -R $user:www-data - эффекта нет после билда
3. Ставлю chown -R $user:$user после workdir - эффекта нет
4. Создал нового пользователя chuvak и дал права usermod -aG docker chuvak, под этим пользователем перебилдил и запустил - как эффект, теперь 1002 на правах.
5. Ради интереса запуская под root и вижу root root.
6. Сделал chown -R momo momo . на несуществующего пользователя и запустил под рутом. Права пробросились ровно так, как в директории /var/www/test/ без изменений. Запустил npm install и прошло без ошибок как прошлый раз с permission denied.

[spaceatmoon]

Добавлю что uid в контейнере сейчас именно 1000. Ставился 1002 когда я запускал docker-compose up -d именно под chuvak.

[mureevms]

spaceatmoon, Пока дописывал обновление, вы ответить успели) Прочтите ответ снова

[spaceatmoon]

mureevms, Проблема в том, что он пробрасывает права файлов как есть из хоста в контейнер. Сам пользователь контейнера работает под тем UID как указано, но я не знаю точно, правильно ли что мне на хосте надо под пользователя делать chown.

-rwxrwxr-x   1 root root    487 Nov 18 07:20 webpack.mix.js
root@yellow:/var/www/mail-test.ru# docker-compose exec app id
uid=1000(momo) gid=1000(momo) groups=1000(momo),0(root),33(www-data)

[mureevms]

spaceatmoon, Да, это логичное поведение. Если хотите изменить, делайте chmod каждый раз когда меняете права на файлы из хост системы. Можно запускать процесс внутри контейнера от рута, но это потенциальная дыра в безопасности. В этом случае UIDы будут совпадать в хост системе и контейнере.
Мне не до конца понятно, под каким UIDом контейнер работает. Допустим, под 1005 и не важно какое имя у этого пользователя. При каждом изменении файлов от другого пользователя, когда меняется их владелец, меняйте его следующей командой на 1005. Вам надо самому понять какой это UID, похоже вы тоже не совсем понимаете )

[mureevms]

Собрал контейнер, все нормально.

docker exec -it appmail-app bash
momo@ccdc17d4fc08:/var/www$ ls -l /var/www/
-rw-rw-r-- 1 momo momo 1432 Nov 18 12:57 Dockerfile
-rw-rw-r-- 1 momo momo  430 Nov 18 12:51 docker-compose.yml

momo@ccdc17d4fc08:/var/www$ cat /etc/passwd | grep momo
momo:x:1000:1000::/home/momo:/bin/sh

При каком действии меняются права на файлы? При их замене из хост системы?

[spaceatmoon]

mureevms, да, они меняются из хоста, они просто прокидываются во внутрь как есть.
При этом внутри контейнера я не могу поменять для файлов права, т.к. они рутованые, а пользователь внутри momo, только извне.

Я решил свою проблему так. Единоразово делаю chmod 1000 1000 на файлы проекта и запускаю docker-compose up. Это полностью решает проблему, т.к. внутри пользователь momo и создаёт он дальше свои файлы под правами momo.

Понаблюдаю в общем. Возможно это только на vscale(хостер) такое происходит.