nick:100000:65536
dockeruser:165536:65536并把它指定给 docker daemon:
{
"userns-remap": "dockeruser"
}请注意 subuid 的设置信息,我们为 dockeruser 设置的从属 ID 和 nick 用户是不重叠的,实际上任何用户的从属 ID 设置都是不能重叠的。
或者一切从简,让 docker 为我们包办这些繁琐的事情,直接把 docker daemon 的 userns-rempa 参数指定为 “default”:
{
"userns-remap": "default"
}这时,docker 会自动完成其它的配置。
配置 docker daemon 启用用户隔离
这里笔者采取简单的方式,让 docker 创建默认的用户用于 user namespace。我们需要先创建 /etc/docker/daemon.json 文件:
$ sudo touch /etc/docker/daemon.json然后编辑其内容如下(如果该文件已经存在,仅添加下面的配置项即可),并重启 docker 服务:
{
"userns-remap": "default"
}
$ sudo systemctl restart docker.service下面我们来验证几个关于用户隔离的几个点。
首先验证 docker 创建了一个名为 dockremap 的用户:
然后查看 /etc/subuid 和 /etc/subgid 文件中是否添加了新用户 dockremap 相关的项:
接下来我们发现在 /var/lib/docker 目录下新建了一个目录: 165536.165536,查看该目录的权限:
165536 是由用户 dockremap 映射出来的一个 uid。查看 165536.165536 目录的内容:
与 /var/lib/docker 目录下的内容基本一致,说明启用用户隔离后文件相关的内容都会放在新建的 165536.165536 目录下。
通过上面的检查,我们可以确认 docker daemon 已经启用了用户隔离的功能。
宿主机中的 uid 与容器中 uid
在 docker daemon 启用了用户隔离的功能后,让我们看看宿主机中的 uid 与容器中 uid 的变化。
$ docker run -d --name sleepme ubuntu sleep infinity
uid 165536 是用户 dockremap 的一个从属 ID,在宿主机中并没有什么特殊权限。然而容器中的用户却是 root,这样的结果看上去很完美:
新创建的容器会创建 user namespace
