如何以非根用户的身份在高山容器中运行？

Question

正如标题所述，我试图在高寒容器上以非根用户的身份运行docker compose。

我有下面的Dockerfile

FROM docker.io/jenkins/ssh-agent:4.4.0-alpine-jdk17

# SSH public key
ENV JENKINS_AGENT_SSH_PUBKEY "ssh-key"

# Install Docker CLI
RUN apk add --no-cache docker-cli docker-cli-compose

# Add docker permissions to Jenkins user
COPY docker-perms.sh /docker-perms.sh
RUN delgroup ping && sh /docker-perms.sh

# I have to delete ping group as it has the same GID as docker

和docker-perms.sh

#!/bin/sh
set -e
DOCKER_SOCKET=/var/run/docker.sock
RUNUSER=jenkins

if [ -S ${DOCKER_SOCKET} ]; then
    DOCKER_GID=$(stat -c '%g' ${DOCKER_SOCKET})
    DOCKER_GROUP=$(getent group ${DOCKER_GID} | awk -F ":" '{ print $1 }')
    if [ $DOCKER_GROUP ]
    then
        addgroup $RUNUSER $DOCKER_GROUP
    else
        addgroup -S -g ${DOCKER_GID} docker
        addgroup $RUNUSER docker
    fi
fi

然后在启动容器时挂载主机的对接套接字。然而，有两件事发生：

1. ，我必须在容器中以根用户身份重新运行docker-perms.sh，因为运行docker ps作为jenkins用户返回permission denied错误。运行脚本后，它将不再生成错误

。

当我从Jenkins控制器运行一个作业时，

1. 会再次出现permission denied错误，不管怎么说，

我做错了什么？

Answer 1

我想出了我做错了什么：docker.sock只有在映像生成之后才被挂载，所以脚本不能添加组。

这不是一个很好的解决方法，但我想我可以直接在Dockerfile中添加这个组：

FROM docker.io/jenkins/ssh-agent:4.4.0-alpine-jdk17

# SSH public key
ENV JENKINS_AGENT_SSH_PUBKEY "ssh-key"

# Install Docker CLI
RUN apk add --no-cache docker-cli docker-cli-compose

# Add Docker permissions to Jenkins user
RUN DOCKER_GID=999 && \
    delgroup $(grep $DOCKER_GID /etc/group | cut -d: -f1) && \
    addgroup -S -g $DOCKER_GID docker && addgroup jenkins docker

这假设码头组ID为999。