Docker — как запустить Apache от имени пользователя?

Question

[symnoob]

Всем привет,
как только добовляю эту строку, Apache не стартует...
USER www-data

docker-compose ps -> state restarting

Dockerfile:

FROM httpd:2.4
RUN apt-get update && apt-get upgrade -y
RUN apt-get install nano -y
set default user and working directory
USER www-data
EXPOSE 80

docker-compose.yaml:

version: '3.7'

services:

  db:
    image: mariadb
    restart: always
    environment:
      MYSQL_ROOT_PASSWORD: example

  adminer:
    image: adminer
    restart: always
    ports:
      - 8080:8080

  web:
    image: apache
    build: ./apache
    depends_on:
      - db
    restart: always
    ports:
      - 80:80
    volumes:
      - //c/Docker/sf4/project:/usr/local/apache2/htdocs

Использую Docker Toolbox
Хост-Система: Win10Home 64Bit
Пожалуйста, кто что знает, помогите

Comments

[Sanes]

Для чего апач в докере не подскажете?

[symnoob]

Добрый день,
я знаю что Apache можно и локально за инсталить, но мне нужны разные версии и причендалы для разных проэктов. Ну а Докер для этого и создан.

Answer 1

[metajiji]

Вот если совсем в лоб, то:

docker run --help
docker run --user XXX

В принципе вы это сделали в Dockerfile, но подумайте головой... Вы взяли образ httpd, внутри огромный debian https://github.com/docker-library/httpd/blob/75e85...
Лучше для такой задачи взять alpine FROM httpd:alpine-2.4
Дальше httpd скорее всего запускается от рута, причем не просто так! Ему просто необходимо это сделать, потому, что существует такая вещь как не привилегированные порты https://ru.wikipedia.org/wiki/%D0%A1%D0%BF%D0%B8%D...

У вас 100500% в конфиге httpd указан порт 80, что меньше 1024, следовательно httpd не в силах запуститься!
httpd запускается от рута, биндится на 80/443 порт, после чего делает suid на uid/gid, указанного в кофниге https://httpd.apache.org/docs/2.4/mod/mod_unixd.ht...

Теперь зная это, становится понятно, почему в docker logs (имя_контейнера) мы видим ошибки.

Что делать? Ну например запускать апач от пользователя www-data, как и собирались, но на портах выше, чем 1024, а если хочется, чтобы он отвечал на 80 порту на хосте, то не вопрос, порт-маппинг сделает для вас это, потому, что на хосте dockerd запустит docker-proxy процесс, который будет работать от рута и будет слушать 80 порт, проксируя траффик в контейнер на указанный вами порт, например 8080.
Получаем, что внутри контейнера апач живет на 8080, снаружи на 80.

version: '3.7'

services:

  db:
    image: mariadb
    restart: always
    environment:
      MYSQL_ROOT_PASSWORD: example

  adminer:
    image: adminer
    restart: always
    ports:
      - 8080:8080

  web:
    image: httpd:alpine-2.4  # поверьте, вам не нужен nano внутри контейнера! просто подключите все необходимые конфиги с хоста как volume, это правда удобно.
    depends_on:
      - db
    restart: always
    ports:
      - 80:8080  #HOST:CONTAINER
    volumes:
      - //c/Docker/sf4/project:/usr/local/apache2/htdocs
#      - скопируйте необходимые конфиги себе примерно так: "docker cp /etc/httpd/httpd.conf ." и подключите как volume
      - "./httpd/httpd.conf:/etc/httpd/httpd.conf"  # пример подключения конфига, где ./httpd/httpd.conf файл рядом с вашим docker-compose.yml

Comments

[symnoob]

спасибо за помощь, не понятно почему но у меня какой-то заколдованный докер. Опять ошибка:

ERROR: for sf4_web_1  Cannot start service web: OCI runtime create failed: container_linux.go:345: starting container process caused "exec: \"/usr/local/apache2/htdocs\": permission denied": unknown

ERROR: for web  Cannot start service web: OCI runtime create failed: container_linux.go:345: starting container process caused "exec: \"/usr/local/apache2/htdocs\": permission denied": unknown
ERROR: Encountered errors while bringing up the project.

можешь плиз глянуть?

[metajiji]

symnoob, на хосте какая ос? Тут одно из 2, либо действительно проблема с правами chown/chmod, либо selinux/apparmor.
Не помешает compose файл, в нем 90% ответа :)

[symnoob]

windows 10 Home, работаю через ToolBox

docker-compose:

version: '3.7'

services:

  db:
    image: mariadb
    restart: always
    environment:
      MYSQL_ROOT_PASSWORD: example
    volumes:
      - /DATA/sulu/mysql:/var/lib/mysql

  adminer:
    image: adminer
    restart: always
    ports:
      - 8080:8080


  web:
    image: alpine:latest
    build: ./apache
    depends_on:
      - db
    restart: always
    ports:
      - 80:8080  #HOST:CONTAINER
    volumes:
      - /DATA/sulu/data:/var/www/localhost/htdocs

[metajiji]

Мдя, все, что писал видимо не мимо :)

Конфигурацию httpd вам точно нужно принести себе в проект и таки что-то там поделать это прям best-practice. А вот собирать образ с apache внутри, в нет никакой необходимости. Чтобы было меньше буковок, вот сразу готовый блок кода с необходимым минимумом:

web:
    image: httpd:2.4-alpine  # Oficial image: https://hub.docker.com/_/httpd
    restart: always
    ports:
      - 8080:80  # HOST:CONTAINER

Это запустить httpd в контейнере на 80 порту, а docker пробросит 80 порт контейнера на хост на порт 8080.

Что делать с конфигом? Вместо 1000 слов я просто оставлю пошагово действия, которые покажут, как искать и читать конфиги, внутри образов. Проделал это даже на винде, как бы этого не хотелось :)))

::  Первым делом, нужно понять, что является точкой входа, т.е. как запускается приложение внутри контейнера
:: Проверим какую команду и с какими аргументами запустят, при запуске контейнера
PS C:\Users\admin\d> docker inspect httpd:2.4-alpine | FINDSTR /I "cmd"
            "Cmd": [
                "CMD [\"httpd-foreground\"]"
            "Cmd": [
PS C:\Users\admin\d> docker inspect httpd:2.4-alpine | FINDSTR /I "entry"
            "Entrypoint": null,
            "Entrypoint": null,

:: Смотрим какой cwd будет иметь программа при запуске
PS C:\Users\admin\d> docker inspect httpd:2.4-alpine | FINDSTR /I "workingdir"
            "WorkingDir": "/usr/local/apache2",
            "WorkingDir": "/usr/local/apache2",
PS C:\Users\admin\d> docker run --rm -ti httpd:2.4-alpine sh

:: Теперь нужно понять что внутри скрипта, который запускает httpd, который мы нашли в 1 шаге: "CMD [\"httpd-foreground\"]"
# cat $(which httpd-foreground)
#!/bin/sh
set -e

# Apache gets grumpy about PID files pre-existing
rm -f /usr/local/apache2/logs/httpd.pid

exec httpd -DFOREGROUND

:: Ничего супер сложного, давай проверим с какими опциями разработчики собирали Httpd
# /usr/local/apache2 # httpd -V
Server version: Apache/2.4.39 (Unix)
Server built:   Jun  5 2019 22:22:14
Server's Module Magic Number: 20120211:84
Server loaded:  APR 1.6.5, APR-UTIL 1.6.1
Compiled using: APR 1.6.5, APR-UTIL 1.6.1
Architecture:   64-bit
Server MPM:     event
  threaded:     yes (fixed thread count)
    forked:     yes (variable process count)
Server compiled with....
 -D APR_HAS_SENDFILE
 -D APR_HAS_MMAP
 -D APR_HAVE_IPV6 (IPv4-mapped addresses enabled)
 -D APR_USE_SYSVSEM_SERIALIZE
 -D APR_USE_PTHREAD_SERIALIZE
 -D SINGLE_LISTEN_UNSERIALIZED_ACCEPT
 -D APR_HAS_OTHER_CHILD
 -D AP_HAVE_RELIABLE_PIPED_LOGS
 -D DYNAMIC_MODULE_LIMIT=256
 -D HTTPD_ROOT="/usr/local/apache2"
 -D SUEXEC_BIN="/usr/local/apache2/bin/suexec"
 -D DEFAULT_PIDLOG="logs/httpd.pid"
 -D DEFAULT_SCOREBOARD="logs/apache_runtime_status"
 -D DEFAULT_ERRORLOG="logs/error_log"
 -D AP_TYPES_CONFIG_FILE="conf/mime.types"
 -D SERVER_CONFIG_FILE="conf/httpd.conf"

:: Вот то, что нужно! -D SERVER_CONFIG_FILE="conf/httpd.conf"
:: Значит, при запуске контейнера, запустится скрипт /usr/local/bin/httpd-foreground, при этом cwd (рабочий каталог) будет /usr/local/apache2, скрипт запустит команду exec httpd -DFOREGROUND, причем exec заставит оболочку запустить httpd с pid 1.
httpd собран таким, образом, что он ищет конфиг относительно своего cwd SERVER_CONFIG_FILE="conf/httpd.conf", значит конфиг файл находится тут: /usr/local/apache2/conf/httpd.conf

:: где живет конфиг мы поняли, давай выяснять где httpd прячет файлики дефолтного сайта
# grep ^DocumentRoot /usr/local/apache2/conf/httpd.conf
DocumentRoot "/usr/local/apache2/htdocs"

:: Теперь понятно, чтобы не трогая конфиги, подсунуть в httpd свой сайт, нужно прокинуть туда volume.
Я проверил это очень просто:
    volumes:
      - /etc:/usr/local/apache2/htdocs
:: А потом просто открыл в браузере:
http://127.0.0.1:8080/hosts
Как и ожидалось, я увидел файл :)

И все-таки я бы рекомендовал организовать проект в такой структуре:

src/  - кодик ваших программ
src/application1
src/application2
data/ - вольюмы контейнеров с данными
data/mysql
conf/ - конфиги программ
conf/mysql/main.cf
conf/httpd/httpd.conf
conf/httpd/conf/extra/httpd-vhosts.conf
docker-compose.yml

Кроме того конфиги могут быть для разных окружений разными! Например для dev/stage/production для httpd может быть разный набор vhosts, если внутри больше 1 сайта и необходимо ходить по SNI на них.
Ну или для Mysql разные опции.
Конфиги доставляются в контейнеры очень просто - через volumes

web:
    image: httpd:2.4-alpine  # Oficial image: https://hub.docker.com/_/httpd
    ...
    volumes:
      - ./conf/httpd/httpd.conf:/usr/local/apache2/conf/httpd.conf
      - ./conf/httpd/conf/extra/httpd-vhosts.conf:/usr/local/apache2/conf/httpd-vhosts.conf

Можно конечно психануть и для httpd всю папку /usr/local/apache2/conf притащить к себе в проект, но понять что-же именно менял человек и в каком файле будет сложно :( лучше держать в репе именно то, что необходимо.

Надеюсь магии больше не будет :)

[symnoob]

Конфиги прокинул, но они как-то не работают:

httpd-vhosts.conf:

<VirtualHost *:80>
    ServerName sf4.local
        ServerAlias sf4.local www.sf4.local
        ServerAdmin webmaster@localhost
        DocumentRoot /usr/local/apache2/htdocs/symfony
        <Directory /usr/local/apache2/htdocs/symfony>
            Options Indexes FollowSymLinks MultiViews
            AllowOverride None
            Order allow,deny
            allow from all
        </Directory>
        ErrorLog /var/log/apache2/error.log
        LogLevel warn
        CustomLog /var/log/apache2/access.log combined
        ServerSignature On
</VirtualHost>

и ещё один парадокс, вот проброшенные файлы имеют другого пользователя и группу: это нормально?

bash-4.4# ls -lsh
total 68
     4 -rw-r--r--    1 root     root        2.8K Jun  5 22:23 httpd-autoindex.conf
     4 -rw-r--r--    1 root     root        1.8K Jun  5 22:23 httpd-dav.conf
     4 -rw-r--r--    1 root     root        2.9K Jun  5 22:23 httpd-default.conf
     4 -rw-r--r--    1 root     root        1.1K Jun  5 22:23 httpd-info.conf
     8 -rw-r--r--    1 root     root        5.0K Jun  5 22:23 httpd-languages.conf
     4 -rw-r--r--    1 root     root        1.4K Jun  5 22:23 httpd-manual.conf
     8 -rw-r--r--    1 root     root        4.3K Jun  5 22:23 httpd-mpm.conf
     4 -rw-r--r--    1 root     root        2.2K Jun  5 22:23 httpd-multilang-errordoc.conf
    16 -rw-r--r--    1 root     root       13.0K Jun  5 22:23 httpd-ssl.conf
     4 -rw-r--r--    1 root     root         694 Jun  5 22:23 httpd-userdir.conf
     4 -rwxrwxrwx    1 1000     50           925 Jun  8 17:14 httpd-vhosts.conf
     4 -rw-r--r--    1 root     root        3.1K Jun  5 22:23 proxy-html.conf

[metajiji]

symnoob, Если ты на винде, то файлы прокидываются сперва в гостевую ОС, там какие-то "пермишены случаются" нужно как-то замапить владельца из винды в линукс (chown), видимо 1000:50 и есть то, во что замапилось, а вот права доступа (chmod) замапились крайне просто на все 777 (rwxrwxrwx) следовательно проблем с доступом к файлам не будет ни у гостя ни внутри контейнера.

Если открываешь по вирт хосту sf4.local/, то на компе, где ты это делаешь оно должно резолвиться, т.е. в строке адреса в браузере должно быть sf4.local/, если открываешь по ip, то тебе нужно понять 1 вещь, в какой папке веб сервер ищет файлы, в данном случае, как я уже писал это:

# grep ^DocumentRoot /usr/local/apache2/conf/httpd.conf
DocumentRoot "/usr/local/apache2/htdocs"

Значит вам надо просто смонтировать туда файлы сайта:

volumes:
      - ./src/symfony:/usr/local/apache2/htdocs

В таком случае сайт будет открываться по ip.
Еще я не вижу в контейнере интерпретатора php, а вам не апач нужен по факту, а php :)

Может все-таки вам лучше всего взять php-fpm + nginx? Хоть там и 2 контейнера будет, но это более современный стек получится. Там и с конфигами попроще, у nginx они в тысячи раз легче. У вас в проекте есть привязка к файлам .htaccess? Если нет, то ваш выбор nginx+php-fpm.

Answer 2

[Иван Шумов]

А есть ли там пользователь www-data?) Да и вообще - зайдите в контейнер и почитайте логи. Делов-то

Comments

[symnoob]

я же написал конэйнер в рестарте, не могу зайти:

Error response from daemon: Container 256c342608106233200ee375c1b46b1c332d232240d29b989916a85619c67f72 is restarting, wait until the container is running

[Иван Шумов]

symnoob, ну так написали же подождать. Хотя это уже подозрительно

[symnoob]

так сколько ждать, уже час как прошол

[Иван Шумов]

symnoob, тогда совсем не здоровая тема тормозным его и убери рестарты из конфигурации для начала

[symnoob]

теперь не стартует

Error response from daemon: Container 170a93ff031813cb95262613effa60cb735b159f8e46d2d7d6906b276f4cdcb5 is not running

[Иван Шумов]

symnoob, ты image пересобрал?

[symnoob]

да, это делаю всегда