Differences

This shows you the differences between two versions of the page.

--- permisos_y_propietarios_en_volumenes_con_docker-compose [2021/05/22 01:34] – created busindre
+++ permisos_y_propietarios_en_volumenes_con_docker-compose [2021/05/23 01:50] (current) – busindre
@@ Line 1: / Line 1: @@
-====== Cómo manejar los permisos y propietarios de volumenes con docker-compose ======
+====== Cómo manejar los permisos y propietarios de volumenes / bind mount en docker ======
-Docker-compose no permite configurar el montaje de volúmenes o directorios, por lo que hay que apoyarse siempre en algo externo a docker-compose para poder configurar los puntos de montaje como se quiera. Se presentan a continuación algunas posibilidades.
+Manual rápido y completo de Dockerfile:[[guia_rapida_de_dockerfile]]\\
+Manual rápido y completo de Docker (linea de comando):[[guia_rapida_de_la_linea_de_comandos_de_docker]]\\
+Manual rápido y completo de Docker Swarm: [[guia_rapida_de_docker_swarm]]
-**Montar volúmenes (no directorios) a partir de un fichero Dockerfile**
+En el ecosistema docker se usan volúmenes y bind mounts para guardar datos de forma que no sean eliminados cuando los contenedores finallicen. Los volúmenes pueden ser configurados para que usen un determinado propietario y este coincida con el del punto de montaje. Pero no así los antiguos bind mounts, los cuales montan carpeta del host anfitrión y deberían usarse solo cuando son 100% necesarios, en resumen, cuando se debe acceder a determinado directorio del host anfitrión. Con los bind mounts siempre es necesario que el usuario del contenedor sea compatible con la configuración de la carpeta del host que se quiere montar. En la actualidad solo deberían ser usados para visualizar determinados directorios del host anfitrión, para todo lo demás siempre es mejor usar volúmenes.
-Este es posiblemente el mejor método de configurar un punto de montaje dentro del contenedor con los permisos deseados. El proceso se basa en crear un fichero Dockerfile donde se define el usuario y los permisos del directorio que monta el volumen. Una vez se monte el volumen, ya sea desde la linea de comandos o docker-compose heredará los permisos y propietario definidos previamente en la imagen. No es necesario que el usuario exista en el host, puede perfectamente solo existir en el contenedor.
+Cuando no se usan contenedores que utilizan root para ejecutar el proceso y se quiere hacer uso de "bind mounts" o volúmenes, es común que empiecen los problemas de acceso si no se ha configurado correctamente el tema permisos. La linea de comandos de Docker, Docker-compose o cualquier otra aplicación que implemente bind mounts, no permite configurar sus permisos / propietario. Por lo que hay que apoyarse siempre en algo externo para poder configurar los puntos de montaje como se quiera. Se presentan en esta pequeña guía algunas posibilidades para adaptar el usuario del contenedor al del bind mount.
-En el ejemplo se crea una imagen docker llamada alpine_volumen que usará un usuario no privilegiado “testuser”.
+Ejemplo de montaje de volúmenes y bind mounts (directorios del host anfitrión) desde la linea de comandos usando la sintaxis "mount".
+<code bash># Se monta el volumen con el mismo UID y GID del usuario que ejecutó el comando.
+docker run --mount source=volumen1,destination=/opt/volumen1 -it -u $UID:$UID alpine sh
+# Los bind mounts no permiten configurar el UID/GID y se montará en el contenedor con el UID/GID del anfitrión, exista o no en el contenedor.
+docker run -it --mount type=bind,src=/root/,dst=/root -w /root/ alpine sh
+# Siempre se puede arranca el contenedor indicando el usuario compatible con el directorio del host (bind mount) a montar.
+docker run --user antonio -it --mount type=bind,src=/hme/antonio/,dst=/home/antonio -w /home/antonio/ alpine sh</code>
+Cuando se trata de volúmenes, desde la linea de comandos es simple especificar un usuario y grupo como ya vimos ([[guia_rapida_de_la_linea_de_comandos_de_docker|Leer guía rápida de docker.]]), pero también sería posible hacerlo desde el Dockerfile como veremos a continuación, siendo esta la opción más recomendada al usar docker-compose.
+**Montar volúmenes (no bind mounts) a partir de un fichero Dockerfile**
+Al margen de la linea de comandos, este es posiblemente el mejor método de configurar un punto de montaje dentro del contenedor con los permisos deseados cuando se usan aplicaciones estilo docker-compose. El proceso se basa en crear una imagen mediante un fichero Dockerfile donde se define el usuario y los permisos del directorio que monta el volumen. Una vez se monte el volumen, ya sea desde la linea de comandos o docker-compose, el punto de montaje en el contenedor heredará los permisos y propietario definidos previamente en la imagen. No es necesario que el usuario exista en el host, puede perfectamente solo existir en el contenedor.
+En el ejemplo se crea una imagen docker llamada "alpine_volumen" que usará un usuario no privilegiado “testuser”.
 <code bash>
 ARG USR=testuser
@@ Line 15: / Line 32: @@
 VOLUME /VOL_testuser                                      # Se hace una referencia al volumen que será montado desde linea de comando o docker-compose.
 USER $USR                                                 # Usuario del proceso.</code>
-Linea de comando (se creará el volumen XXXX si no existe).
-<code>docker run --rm -it -v XXXX:/VOL_testuser alpine_volumen</code>
 Montar el volumen desde docker-compose, el volumen se crea automáticamente si no existe. El contenedor creado solo ejecutará una shell.
@@ Line 31: / Line 45: @@
 volumes:
     XXXX:</code>
+También se puede montar el volumen desde la linea de comando (se creará el volumen XXXX si no existe).
+<code>docker run --rm -it -v XXXX:/VOL_testuser alpine_volumen</code>
-**Montar directorios conociendo el usuario del contenedor y aplicándolo al  directorio host**
+**Montar directorios (bind mount) conociendo el usuario del contenedor y aplicándolo al  directorio host**
-Obtener el id del usuario que corre en el contenedor
+Obtener el id del usuario que corre en el contenedor.
 <code bash>
 # docker
@@ Line 48: / Line 66: @@
 Una vez se conoce el usuario y grupo, se puede usar en el host el comando chown y chmod. Por supuesto el usuario debe existir en el host.
-**Montar directorios conociendo el usuario del directorio del host y aplicándolo al contenedor**
+**Montar directorios (bind mount) conociendo el usuario del directorio del host y aplicándolo al contenedor**
 Se crea un fichero .env con el usuario y grupo del directorio se sabe se va a montar en el contenedor.
@@ Line 54: / Line 72: @@
 GID=101</code>
-En el fichero de docker-compose se define el usuario y grupo que debe correr el proceso apra que sea compatible con el directorio montado
+En el fichero de docker-compose se define el usuario y grupo que debe correr el proceso para que sea compatible con el directorio montado
 <code bash>
 version: "3"
@@ Line 69: / Line 87: @@
 **Aplicar la configuración de propietario y permisos en el ENTRYPOINT**
-Se aplica la configuración dentro del ENTRYPOINT. Normalmente se usará un script, pero para el ejemplom se ha usado un comando y una shell como proceso final.
+Se aplica la configuración dentro del ENTRYPOINT. Normalmente se usará un script, pero para el ejemplo se ha usado un comando y una shell como proceso final.
 <code bash>
-web:
+version: "3"
-  image: alpine
+services:
-  stdin_open: true # docker run -i
+  web:
-  tty: true        # docker run -t
+    image: alpine
-  container_name: test
+    stdin_open: true # docker run -i
-  volumes:
+    tty: true        # docker run -t
-    - /home/XXXX:/DIR_testuser
+    container_name: test
-  entrypoint: /bin/sh -c "adduser -D testuser && chown -Rv testuser:testuser /DIR_testuser && sh"</code>
+    volumes:
+      - /home/XXXX:/DIR_testuser
+    entrypoint: /bin/sh -c "adduser -D testuser && chown -Rv testuser:testuser /DIR_testuser && sh"</code>