Задать вопрос
@izac
docker

Docker grpc клиент работает только через root пользователя, как запустить скрипт с non-root пользователя?

Добрый день, столкнулся с такой проблемой есть простой docker образ для php проекта
FROM ubuntu:22.04

ARG WWWGROUP
ARG WWWUSER
ARG NODE_VERSION=10.16.3

ENV NVM_DIR=/usr/local/nvm

WORKDIR /var/www/html

ENV DEBIAN_FRONTEND noninteractive
ENV TZ=UTC

RUN ln -snf /usr/share/zoneinfo/$TZ /etc/localtime && echo $TZ > /etc/timezone

RUN apt-get update \
    && apt-get install -y gnupg gosu curl ca-certificates zip unzip git supervisor sqlite3 libcap2-bin libpng-dev python2 \
    && mkdir -p ~/.gnupg \
    && chmod 600 ~/.gnupg \
    && echo "disable-ipv6" >> ~/.gnupg/dirmngr.conf \
    && echo "keyserver hkp://keyserver.ubuntu.com:80" >> ~/.gnupg/dirmngr.conf \
    && gpg --recv-key 0x14aa40ec0831756756d7f66c4f4ea0aae5267a6c \
    && gpg --export 0x14aa40ec0831756756d7f66c4f4ea0aae5267a6c > /usr/share/keyrings/ppa_ondrej_php.gpg \
    && echo "deb [signed-by=/usr/share/keyrings/ppa_ondrej_php.gpg] https://ppa.launchpadcontent.net/ondrej/php/ubuntu jammy main" > /etc/apt/sources.list.d/ppa_ondrej_php.list \
    && apt-get update \
    && apt-get install -y php8.1-cli php8.1-dev \
       php8.1-pgsql php8.1-sqlite3 php8.1-gd \
       php8.1-curl \
       php8.1-imap php8.1-mysql php8.1-mbstring \
       php8.1-xml php8.1-zip php8.1-bcmath php8.1-soap \
       php8.1-intl php8.1-readline \
       php8.1-ldap \
       php8.1-msgpack php8.1-igbinary php8.1-redis php8.1-swoole \
       php8.1-memcached php8.1-pcov php8.1-xdebug \
       php8.1-grpc php8.1-imagick php8.1-protobuf \
    && php -r "readfile('https://getcomposer.org/installer');" | php -- --install-dir=/usr/bin/ --filename=composer \
    && curl -sS https://dl.yarnpkg.com/debian/pubkey.gpg | apt-key add - \
    && echo "deb https://dl.yarnpkg.com/debian/ stable main" > /etc/apt/sources.list.d/yarn.list \
    && apt-get update \
    && apt-get install -y yarn \
    && apt-get install -y mysql-client \
    && apt-get -y autoremove \
    && apt-get clean \
    && rm -rf /var/lib/apt/lists/* /tmp/* /var/tmp/*

RUN setcap "cap_net_bind_service=+ep" /usr/bin/php8.1

RUN mkdir $NVM_DIR && chmod -R ugo+rw $NVM_DIR
RUN curl https://raw.githubusercontent.com/nvm-sh/nvm/v0.38.0/install.sh | bash \
    && . $NVM_DIR/nvm.sh \
    && nvm install $NODE_VERSION \
    && nvm alias default $NODE_VERSION \
    && nvm use default

ENV NODE_PATH $NVM_DIR/versions/node/v$NODE_VERSION/lib/node_modules
ENV PATH      $NVM_DIR/versions/node/v$NODE_VERSION/bin:$PATH

RUN groupadd --force -g $WWWGROUP sail
RUN useradd -ms /bin/bash --no-user-group -g $WWWGROUP -u $WWWUSER sail

COPY start-container /usr/local/bin/start-container
COPY supervisord.conf /etc/supervisor/conf.d/supervisord.conf
COPY php.ini /etc/php/8.1/cli/conf.d/99-sail.ini
RUN chmod +x /usr/local/bin/start-container

EXPOSE 8000

ENTRYPOINT ["start-container"]


start-container скрипт
#!/usr/bin/env bash

if [ ! -z "$WWWUSER" ]; then
    usermod -u $WWWUSER sail
fi

if [ ! -d /.composer ]; then
    mkdir /.composer
fi

chmod -R ugo+rw /.composer

if [ $# -gt 0 ];then
    exec gosu $WWWUSER "$@"
else
    /usr/bin/supervisord -c /etc/supervisor/conf.d/supervisord.conf
fi


Работаю с google ads api через grpc с параметром proxy который стоит за VPN

(new GoogleAdsClientBuilder())
            ->withOAuth2Credential($oAuth2Credential)
            ->withDeveloperToken('xxxx')
            ->withLoginCustomerId('xxxx')
            ->withProxy('http://proxy:80/')
            ->build();


Так же в php.ini добавил параметры для вывода дебага

grpc.grpc_verbosity=debug
grpc.grpc_trace=dns_resolver,handshaker
grpc.log_filename=/var/www/html/storage/logs/grpc.log


На хост машине в /etc/hosts добавил запись для блокировки прямого доступа к API endpoint что бы убедиться что все запросы идут через proxy

127.0.0.1 googleads.googleapis.com


При попытке сделать запрос через docker exec -u sail -it php /bin/bash получаю ошибку

development.ERROR: { "message": "failed to connect to all addresses; last error: UNKNOWN: ipv4:127.0.0.1:443: Failed to connect to remote host: Connection refused", "code": 14, "status": "UNAVAILABLE", "details": [] }


что как мне кажется grpc экстеншен пропускает proxy и пытается подключиться на прямую

но если мы меняем пользователя на root

docker exec -it php /bin/bash


то запрос проходит через proxy и доходит то конечной точки При дебаге библиотеки google ads видно что параметр http_proxy для grpc экстеншина ставиться в обеих случаях. При установки всего этого локально так же работает не с под non-root пользователя.
  • Вопрос задан
  • 99 просмотров
Комментировать
Подписаться 1 Сложный Комментировать
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
Backend разработчик - авто-тесты, gitlab-ci, docker
Korvax
от 250 000 ₽
Middle Backend разработчик (PHP 8, Symfony 6, PostgreSQL)
TextMagic
от 4 000 $
Инженер сопровождения (офис/гибрид)
Outlines Tech Москва
До 280 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Оказать консультационную помощь со сборкой проекта на Андроид
27 июн. 2024, в 23:13
3000 руб./в час
Скрипт для сети Солана
27 июн. 2024, в 21:48
20000 руб./за проект
Дизайн лендинга
27 июн. 2024, в 21:15
3500 руб./за проект
Ещё заказы