Как задать пользователя для volume в docker-compose.yml?

Question

[vldud]

Есть docker-compose.yml:

version: '3'
services:
    php:
        volumes:
            - "./web:/var/www/html"

Chown для ./web - root:root, пользователь www-data внутри контейнера не имеет прав на эту папку. Вероятно, нужно создать специального пользователя/группу с правами на эту папку и как-то передать его внутрь контейнера, но я не вижу в описании ключей для docker-compose.yml подходящего.

Comments

[Александр]

Если монтируешь из под windows, проверь отключен ли флаг "Только для чтения" у папки ./web

[mureevms]

Почему бы просто не создать Dockerfile и в нем прописать команду RUN?

[vldud]

Александр, не под windows. Откуда root:root под windows)

[vldud]

mureevms, команду RUN на что конкретно?

Answer 1

[rustler2000]

Это не вольюм это маунт и права на нем тежи, что и на ./web.
Поставь локально chmod 777 или монтируй /etc/passwd /etc/shadow и кастомайз контейнер, чтоб uid gid с хостом совпадали.

Comments

[vldud]

Все понятно, что ничего не понятно

[rustler2000]

vldud, давай ещё раз. Ты монтируешь директорию хоста в контейнер. В контейнере она будет видна с user id/group id хоста. Ты хочешь, чтобы пользователь www-data контейнера мог иметь доступ. Но пользователь www-data контейнера может иметь иной user id, чем пользователь www-data на хосте.
Потому два способа: расширять права на хосте - chmod 777 web даст права всем на все;
Либо так или иначе совмещать user id/group id хоста и контейнера - тут вариантов много - посмотри к примеру user у docker-compose

[vldud]

rustler2000, chmod 777 меня несколько напрягает.

Либо так или иначе совмещать user id/group id хоста и контейнера - тут вариантов много - посмотри к примеру user у docker-compose

вот, я как раз и спрашиваю про варианты. Хоть убейте, не вижу в официальной документации ключ user. Смотрю вот здесь https://docs.docker.com/compose/compose-file/

[rustler2000]

vldud, вот пример

version: '2'
services:
    bash1:
        image: "ubuntu"
        user: "1000:2000"
        entrypoint: "id -u"
    bash2:
        image: "ubuntu"
        user: "3000:4000"
        entrypoint: "id -g"

[vldud]

rustler2000, не срабатывает. Правда у меня конфиг 3 версии. Вот такой код (nginx+php из https://github.com/nanoninja/php-fpm ):

version: '3'
services:
    web:
        image: nginx:alpine
        volumes:
            - "./etc/nginx/default.conf:/etc/nginx/conf.d/default.conf"
            - "./etc/ssl:/etc/ssl"
            - "./web:/var/www/html"
            - "./etc/nginx/default.template.conf:/etc/nginx/conf.d/default.template"
        ports:
            - "80:80"
            - "3000:443"
        environment:
            - NGINX_HOST=${NGINX_HOST}
        command: /bin/sh -c "envsubst '$$NGINX_HOST' < /etc/nginx/conf.d/default.template > /etc/nginx/conf.d/default.conf && nginx -g 'daemon off;'"
        restart: always
        user: "1001:1001"
        depends_on:
            - php
            - mysqldb
    php:
        build:
            context: .
            dockerfile: DockerfilePhpWithGit
        restart: always
        user: "1001:1001"
        volumes:
            - "./etc/php/php.ini:/usr/local/etc/php/conf.d/php.ini"
            - "./web:/var/www/html"

1001:1001 - пользователь www-data:www-data, пользователь с таким же именем и группой создается в сервисе php

[rustler2000]

vldud, Епрст - uid gid должен быть как на директории к которой нет доступа из контейнера.
Параметр user указывает какие uid gid будут у процесса в контейнере. То что ты туда 1001:1001 вписал ничего не поменяло, т.к. процесс итак с такими uid gid запускался

[vldud]

rustler2000, да, я прописывал chown для папки, забыл это упомянуть

[rustler2000]

vldud, для какой папки? у тебя больще 4х папок (включая вложенные) и в них файлы.

ты не должен хост под контейнер адаптировать, но правильно запустить контейнер (ну и на край тюнить контейнер)

[vldud]

rustler2000, для папки ./web. Все остальные папки, которые прокидываются в контейнер - конфиги ssl.

"ты не должен хост под контейнер адаптировать, но правильно запустить контейнер" - тык я только за, вопрос только как.

[mureevms]

vldud, что мешает в команду добавить назначение прав?

command: /bin/sh -c "chown www-data:www-data /var/www/ -R; envsubst '$$NGINX_HOST' < /etc/nginx/conf.d/default.template > /etc/nginx/conf.d/default.conf && nginx -g 'daemon off;'"

[rustler2000]

vldud, ```
#sudo rm -rf web <-- "прошлые эксперименты в трэш"
#mkdir web <-- "все по новой. никаких chown не делать"
#id -u <-- "результат - это первый аргумент для user в docker-compose.yml"
#id -g <-- "результат - это второй аргумент для user в docker-compose.yml"
```

если не поможет - то пиши что в DockerfilePhpWithGit - может там чего косячного. но это скорее чтото типа php-fpm и все должно быть ОК

Answer 2

[Макс]

я в похожем случае в контейнер прокидывал /etc/passwd и /etc/groups
после этого связка имя-uid группа-gid работает.

Answer 3

[vldud]

Макс, не получается. После прописывания группы и пользователя сервер вообще перестает отвечать. С дописками по Вашей схеме (если, конечно, я ее верно понял) выходит вот так:

version: '3'
services:
    web:
        image: nginx:alpine
        volumes:
            - "./etc/nginx/default.conf:/etc/nginx/conf.d/default.conf"
            - "./etc/ssl:/etc/ssl"
            - "./web:/var/www/html"
            - "./etc/nginx/default.template.conf:/etc/nginx/conf.d/default.template"
            - "/etc/passwd:/etc/passwd"
            - "/etc/groups:/etc/groups"
        ports:
            - "80:80"
            - "3000:443"
        environment:
            - NGINX_HOST=${NGINX_HOST}
        command: /bin/sh -c "envsubst '$$NGINX_HOST' < /etc/nginx/conf.d/default.template > /etc/nginx/conf.d/default.conf && nginx -g 'daemon off;'"
        restart: always
        user: "1001:1001"
        depends_on:
            - php
            - mysqldb
    php:
        build:
            context: .
            dockerfile: DockerfilePhpWithGit
        restart: always
        user: "1001:1001"
        volumes:
            - "./etc/php/php.ini:/usr/local/etc/php/conf.d/php.ini"
            - "./web:/var/www/html"
            - "/etc/passwd:/etc/passwd"
            - "/etc/groups:/etc/groups"

где 1001:1001 - пользователь www-data:www-data. Пользователь с таким же именем и группой создается в сервисе php

Answer 4

[allter]

Я в такой ситуации в entrypoint.sh контейнера модифицировал локальных пользователей, получая uid из прав смонтированного каталога:

SRC_DIR=/path/to/mounted/volume
DIR=/path/to/dir
USER=www-data
GROU=www-data

$uid=$(stat -c '%u' $SRC_DIR)                                                                                                                    
$gid=$(stat -c '%g' $SRC_DIR)                                                                                                                    
echo $uid > /root/uid                                                                                                                          
echo $gid > /root/gid                                                                                                                          
usermod -u $uid $USER                                                                                                                                   
groupmod -g $gid $GROUP                                                                                                                                  
mkdir -p $DIR                                                                                                                                            
chown -R $USER:$GROUP $DIR