Как правильно запустить контейнер от имени другого пользователя?

Question

[BoyFromDubai]

Есть файл docker-compose.yml

version: '2.4'

services:
  filebeat:
    image: docker.elastic.co/beats/filebeat:7.7.0
    container_name: filebeat
    restart: always
    entrypoint: bash -c 'export PATH=$PATH:/usr/share/filebeat && /usr/local/bin/docker-entrypoint -e'
    environment:
      LOGSTASH_HOST: "logstash:9600"
    volumes:
      - '/home/elkf_adm/files/test.log:/logs_to_parse/test.log'
      - '/var/run/docker.sock:/var/run/docker.sock:ro'
      - '/var/lib/docker/containers:/var/lib/docker/containers:ro'
      
      - '/home/elkf_adm/configs/filebeat.yml:/usr/share/filebeat/filebeat.yml:ro'
    ports:
      - '5044:5044'
    networks:
      - elk

volumes:
  elastic_data: {}

networks:
  elk:

Его надо запускать от имени elkf_adm (uid=1002, gid=1002)
Когда пытаюсь запустить от этого пользователя, то выводится Exiting: error loading config file: config file ("filebeat.yml") must be owned by the user identifier (uid=1000) or root, поскольку на хосте изменил владельца и группу с vagrant (uid=1000) на elkf_adm
Видел, что можно добавить user: "1002:1002". Временно удалил лишнее и запускаю файл:

version: '2.4'
services:
  filebeat:
    image: docker.elastic.co/beats/filebeat:7.7.0
    container_name: filebeat
    restart: always
    user: "1002:1002"

В результате выводится ошибка "filebeat | /usr/local/bin/docker-entrypoint: line 8: exec: filebeat: not found"
Как только я удаляю user: "1002:1002"

docker-compose.yml

version: '2.4'
services:
  filebeat:
    image: docker.elastic.co/beats/filebeat:7.7.0
    container_name: filebeat
    restart: always

То все запускается
Но если подключить вольюмы, то опять будет требовать смены владельца
Как более правильно решить эту проблему?

Comments

[Alexey Dmitriev]

пользователь находится в группе docker?

[BoyFromDubai]

Alexey Dmitriev, да
uid=1002(elkf_adm) gid=1002(elkf_adm) groups=1002(elkf_adm),998(docker)

Answer 1

[mureevms]

Его надо запускать от имени elkf_adm (uid=1002, gid=1002)

Его не надо запускать от этого имени. Системный пользователь не при чем. Все дело в правах на файлы в файловой системе.

Смотря на сборку этого имаджа видно, что в 11 и 13 строках создается группа filebeat с GID 1000 и пользователь filebeat с UID 1000. Еще раз обращаю внимание, это не относится к системному пользователю, которй запускает контейнер, это пользователь внутри контейнера. В 12-й строке создаются каталоги и назначается владельцем root:filebeat, т.е. пользователь root и группа filebeat. Ранее при создани пользователя уже видели, что пользователь filebeat добавляется в группу filebeat. И в 14 строке указывается пользователь от которого будет запускаться сам демон. А раз демон работает от него, то и права на файлы у него должны быть.

Добавление user: "1002:1002" не поможет, потому что внутри контейнера нет пользователя с такими ID.

Решить можно рекурсивной сменой владельца chown 0:1000 /path/ -R по каталогам, которые биндятся к контейнеру

Comments

[BoyFromDubai]

А если мне требуется доступ в контейнере к /var/lib/docker/containers, который настроен как root:root?
Под юзером находится vagrant 1000:1000
Я могу настроить /var/lib/docker/containers так, что папка будет 0:1000 и тогда все будет работать
Но условно если потребуется такое, что директория будет подключаться к нескольким разным контейнерам, которые должны что-то там делать, но у пользователей внутри них разные uid (1000 и 1010 например), то как быть?
Или обычно так не делают?

[mureevms]

А если мне требуется доступ в контейнере к /var/lib/docker/containers, который настроен как root:root?
Под юзером находится vagrant 1000:1000

Нет разницы какому пользователю понадобится доступ, его не будет, поскольку на этот каталог права только у рута и чтобы там что-то делать - нужен рут. В этом и смысл ограничений.

Но условно если потребуется такое, что директория будет подключаться к нескольким разным контейнерам, которые должны что-то там делать, но у пользователей внутри них разные uid (1000 и 1010 например), то как быть?

1. Лучше не шарить каталог между контейнерами, но если только на чтение у всех, то в принципе можно
2. Нет разницы какие uid. В очень редких случаях внутри контейнеров нужны права рута для пользователя, поскольку по дефолту все и так запускается от рута и просто нет других пользователей, filebeat тут скорее исключение и они заботятся о безопасности



В доке написано, что если хотите монтировать /var/lib/docker/containers, то надо запускать с ключем --user=root

В общем, просто изучите документацию

[mureevms]

И вообще, зачем filebeat доступ до /var/lib/docker/containers и /var/run/docker.sock в материнской системе?

[mureevms]

Тут не монируют /var/lib/docker/containers и /var/run/docker.sock и проблемы не знают )

[mureevms]

BoyFromDubai, мне конечно приятно, но не могли бы вы объяснить причины отметки ответа решением?

Answer 2

[Drno]

Пользователя в группу докер засунуть
Дать права на папки которые в volume монтируешь
Дать права на каталог с yml и сам файл

Comments

[BoyFromDubai]

1) uid=1002(elkf_adm) gid=1002(elkf_adm) groups=1002(elkf_adm),998(docker)
2,3)

vagrant@vm1:/home/elkf_adm$ ls -l
total 12
drwxr-xr-x 2 elkf_adm elkf_adm 4096 May  3 18:29 configs
-rw-r--r-- 1 elkf_adm elkf_adm  686 May  3 23:39 docker-compose.yml
drwxr-xr-x 2 elkf_adm elkf_adm 4096 May  3 18:24 files
vagrant@vm1:/home/elkf_adm$ ls -l configs/
total 4
-rw-rw-r-- 1 elkf_adm elkf_adm 1088 May  3 18:24 filebeat.yml
vagrant@vm1:/home/elkf_adm$ ls -l files/
total 4
-rw-rw-r-- 1 elkf_adm elkf_adm 1709 May  3 18:24 test.log

Так и изначально было, но все равно не работает
В исходном образе создается пользователь с uid=1000, vagrant uid=1000 тоже. Насколько знаю, пользователь с хоста маппится к пользователю в контейнере, если их uid совпадают. А так как у меня создается новый пользователь с другим uid, то в контейнере нет доступа к файлам с uid=1002

[BoyFromDubai]

То есть, я себе все представляю таким образом, что на машине будут разные ответственные за разные наборы контейнеров. То есть elkf_adm ответственный за ELKF набор контейнеров. Пользователь XXX отвественный за проект XXX, в котором будут другие контейнеры. Руководствовался этой логикой, что надо разделять ответственность, а не запускать все с одного пользователя.
Если как-то иначе делают подобные вещи, то очень прошу рассказать

[Drno]

BoyFromDubai, поднимите LXD контейнеры, раздайте к ним разные SSH доступы.
а внутри них уже разворачивайте докер...

я если честно хз как это решается, т.к. не занимался подобным