如何在 Docker 容器中使用 setfacl？

Posted 2023-02-24

【中文标题】如何在 Docker 容器中使用 setfacl？

【英文标题】：How to use setfacl within a Docker container?

【发布时间】：2014-05-08 00:52:01

【问题描述】：

似乎在容器内挂载的文件系统没有“acl”，因此“setfacl”不起作用。而且它也不会让我重新安装它，我什至不能运行'df -h'。

我需要 setfacl 因为我让 root 拥有我网站上的所有文件，并且我只授予网络服务器用户对缓存、日志等少数目录的写入权限。

我能做什么？

【参考方案1】：

好消息是 Docker 支持 ACL。

在早期版本中，Docker 使用了一个不支持它们的名为 AUFS 的文件系统。 您可以通过使用适当的选项启动 Docker 守护程序来告诉 Docker 使用 Device Mapper (LVM) 进行存储：

docker -d --storage-driver=devicemapper --daemon=true

来源：https://groups.google.com/forum/#!topic/docker-user/165AARba2Bk

然后你就可以在你的容器中使用setfacl。

任何最近的版本或 Docker 现在都使用 overlay2 存储驱动程序，它支持开箱即用。 要检查您的存储驱动程序是什么：

docker info | grep Storage

df -h 因不同且不相关的原因不起作用：它依赖于 /etc/mtab，在您的情况下不存在。在您的容器中，从procfs 创建一个链接，这将解决此问题：

ln -s /proc/mounts /etc/mtab

【讨论】：

有趣！但是切换到 LVM 没有任何缺点吗？每次我读到 Docker 的好处时，都会提到 AUFS，尽管我并不完全理解它。无论如何，在您链接的源代码中，它说明了我正在考虑并接下来要尝试的事情：使用一个卷，无论如何我都需要在同一个地方共享文件。我只是不确定这将如何工作，因为当我运行这些命令时，我在 Dockerfile 中，所以我还没有我的卷，因为我在构建映像后启动 cointainer 守护程序时添加了它们。

AUFS 和 LVM (dm-thin) 是非常不同的实现，这是一个很大的话题。但是在将 Docker 守护进程切换到它之后，您不应该看到任何功能差异。缺点：不太稳定，但他们声称这在 0.9 和 0.9.1 版本中得到了很大改善。另外，请注意卷也接受绑定挂载：您可以将主机上的现有目录绑定到容器，我想这将允许您在映像构建时“看到”相同的内容。

来自文档：“请注意，由于 Dockerfile 的可移植性和共享目的，[bind mount] 不可用”。更改存储驱动程序似乎不错，我发现可以在 /etc/default/docker 中轻松修改选项。但是我需要重建所有的图像，所以当我这样做的时候我意识到了一些事情：我正在使用容器！这意味着我不需要像以前那样担心权限，所以现在我只需 chown/chmod 我希望网络服务器用户可写的文件夹，不需要使用 setfacl。感谢您的帮助！

你知道Overlay2是否支持ACL吗？

这篇博文tech.kaleo.blog/post/use-setfacl-within-docker 说overlay2 支持虽然我无法在alpine 上使用overlay2 设置acl。