为啥Docker官方镜像不按照“最佳实践”的要求使用USER

Posted 2023-02-23

【中文标题】为啥Docker官方镜像不按照“最佳实践”的要求使用USER

【英文标题】：Why do Docker official images not use USER as required by "best practices"为什么Docker官方镜像不按照“最佳实践”的要求使用USER

【发布时间】：2016-03-21 17:34:29

【问题描述】：

Postgres、mariadb、mysql 不使用 USER。据说官方图像会被审查以遵守最佳实践文件，requiresUSER 在可能的情况下。为什么？

【参考方案1】：

从根本上说，USER 在官方图像中是不可能的。它与“初学者应该能够docker run official-image bash 而无需了解--entrypoint”的要求相冲突。如果您没有 root，则无法编辑配置文件、安装诸如 strace 之类的软件包……或者特别是修复卷中的 UID。实际上，官方图像样式 被认为是 (a) 最佳实践。 （所以 Docker 用户指南应该强调以非 root 身份运行守护进程，而不是特别强调 USER）

---

IMO 这是一个问题。您可以从中学习的流行示例并未显示设置固定 UID 的必要性。否则，如果您使用添加另一个用户的基本映像进行更新，则必须手动干预。最佳实践说您应该考虑设置固定的 UID，但他们甚至没有显示它的示例。所以prominent 使用 USER 的simple Dockerfiles 示例没有设置固定的 UID。官方图像也没有设置固定的 UID - 假装这样不是问题 - 但随后使用 chown 暴力破解数据卷，因为它们的入口点脚本以 root 身份运行。不是很令人印象深刻。

---

从技术上讲，可以通过向 Dockerfile 添加更多 chown 和 UID 交换来修复官方 Dockerfile，但这似乎不可取。

我想另一种选择是路径相关的更新。也就是说，保留chown，直到每个人都完成对固定 UID 的自动更新（几个月？），然后删除它。