1. Toy模板网首页
  2. > Toy博客

Docker 镜像 用普通用户启动服务

5月前 作者:富士康质检员张全蛋 分类:Toy博客 阅读(22) 违法举报

这篇具有很好参考价值的文章主要介绍了Docker 镜像 用普通用户启动服务。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

Docker镜像内用普通用户启动服务

Docker是一种用于构建、封装和分发应用程序的开源平台。它利用容器化技术将应用程序及其依赖项打包到一个可移植的容器中,从而实现快速部署和可伸缩性。

在Docker中,通过使用Docker镜像可以创建容器,镜像是容器化过程中的一个关键概念,它是一个只读的文件系统,其中包含用于运行应用程序的一切内容。在默认情况下,Docker容器是以root用户身份运行的,这可能会导致一些安全风险。为了降低潜在的风险,我们应该以普通用户身份来运行服务。

使用普通用户启动服务的好处

使用普通用户启动Docker容器中的服务,可以有效降低潜在的安全风险。以root用户身份运行容器可能会导致容器中的应用程序获得对主机操作系统的控制权限。这样一来,如果容器中的应用程序受到攻击,攻击者可能会获得对主机操作系统的完全控制权限。而以普通用户身份运行容器可以限制应用程序对主机操作系统的访问权限,从而减小安全风险。

此外,以普通用户身份运行容器还可以提高容器的可移植性和可重用性。如果容器是以root用户身份运行的,那么在不同的环境中可能会遇到权限问题。而以普通用户身份运行容器可以避免这些问题,使得容器更易于在不同的环境中部署和运行。
 

使用普通用户启动服务的步骤

下面是使用普通用户启动Docker镜像中服务的步骤:

(1)在Dockerfile中创建一个普通用户,并切换到该用户:

FROM ubuntu:latest
RUN groupadd -r myuser && useradd -r -g myuser myuser
USER myuser

在这个Dockerfile中,我们首先创建一个名为myuser的用户组,然后创建一个名为myuser的普通用户,并将其加入到myuser用户组中。最后,我们使用USER命令将容器的默认用户切换为myuser。

(2)在容器中启动服务:

CMD ["python", "app.py"]

在这个例子中,我们使用CMD命令来定义容器启动时要运行的命令。在这里,我们假设容器中的服务是用Python编写的,将app.py作为启动命令。

(3)构建和运行容器:

$ docker build -t myimage .
$ docker run -d myimage

在这个示例中,我们首先使用docker build命令构建Docker镜像,然后使用docker run命令在后台运行容器。这样,容器将以普通用户身份运行服务。

为您的 Java 应用程序创建 Dockerfile

现在您已经安装了 Docker,让我们使用 Gradle 构建的简单 Java 应用程序并创建一个 Dockerfile。我们将在容器本身中构建和运行 jar 文件,这为我们提供了一个更加一致的环境。你可以在Github上查看我的示例项目,如果你愿意,可以从这个项目开始工作。

# NOTE: This is not a production ready Dockerfile. 
# Utilize this only for development purposes

# Use a container image that has both Gradle and the JDK
FROM gradle:5.0.0-jdk8-alpine

# Switch to the `gradle` user defined by our container image
USER gradle

# Copy over the project directory into the container
COPY --chown=gradle:gradle . /java-and-docker

# Set our working directory to our project directory that we set above
WORKDIR /java-and-docker

# Run the build
RUN gradle build

# Run the jar file
# Since we are using JDK8 we set some additional flags to be more container aware
CMD ["java", "-XX:+UnlockExperimentalVMOptions", "-XX:+UseCGroupMemoryLimitForHeap", "-jar", "build/libs/java-and-docker-1.0.jar"]

总结

通过以普通用户身份启动Docker镜像中的服务,我们可以有效降低潜在的安全风险,并提高容器的可移植性和可重用性。在Dockerfile中创建一个普通用户,并使用USER命令切换到该用户,然后使用CMD命令定义容器启动时要运行的命令。最后,通过构建和运行容器来启动服务。这些步骤可以帮助我们以更安全和可靠的方式在Docker中运行服务。文章来源地址https://www.toymoban.com/news/detail-850173.html

到了这里,关于Docker 镜像 用普通用户启动服务的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

分享到:
领支付宝红包 赞助服务器费用

相关文章

  • docker的联合文件系统 UnionFS《深入docker底层原理》

    docker的联合文件系统 UnionFS《深入docker底层原理》

    docker最大的贡献就是定义了容器镜像的分层的存储格式,docker镜像技术的基础是联合文件系统(UnionFS),其文件系统是分层的。这样既可以充分利用共享层,又可以减少存储空间占用。 联合挂载系统的工作原理:读:如果文件在upperdir(容器)层,直接读取文件;如果文件不在u

    2024年02月13日
    浏览(40)

  • Docker 魔法解密:探索 UnionFS 与 OverlayFS

    本文主要介绍了 Docker 的另一个核心技术:Union File System。主要包括对 overlayfs 的演示,以及分析 docker 是如何借助 ufs 实现容器 rootfs 的。 如果你对云原生技术充满好奇,想要深入了解更多相关的文章和资讯,欢迎关注微信公众号。 搜索公众号【 探索云原生 】即可订阅 Unio

    2024年01月19日
    浏览(30)
  • docker核心原理——unionfs、namespace、cgroup

    docker核心原理——unionfs、namespace、cgroup

    docker的核心原理其实就是cgroup+namespace+unionfs 组合实现的隔离机制,资源控制等。 隔离机制 在容器进程启动之前重新挂载它的整个根⽬录“/”,⽤来为容器提供隔离后的执⾏环境⽂件系统 通过Linux Namespace 创建隔离,决定进程能够看到和使⽤哪些东⻄。 通过control groups 技术来

    2024年02月04日
    浏览(48)
  • 【RabbitMQ】RabbitMQ 集群的搭建 —— 基于 Docker 搭建 RabbitMQ 的普通集群,镜像集群以及仲裁队列

    【RabbitMQ】RabbitMQ 集群的搭建 —— 基于 Docker 搭建 RabbitMQ 的普通集群,镜像集群以及仲裁队列

    在RabbitMQ中,有不同的集群模式,包括普通模式、镜像模式和仲裁队列。每种模式具有不同的特点和应用场景。 普通集群,也称为标准集群(classic cluster),具备以下特征: 在集群的各个节点之间共享部分数据,包括交换机和队列的元信息,但不包括队列中的消息。 当访问

    2024年02月04日
    浏览(50)

  • 处理普通用户安装启动mysql报Can‘t find error-message file‘usrsharemysqlerrmsg.sys‘ 问题

    操作系统:centos7 mysql版本:5.7.29 使用普通用户安装完成以后,启动mysql: /data/mysql/usr/sbin/mysqld --defaults-file=/data/mysql/etc/my.cnf --user=dongzw 日志中报: [ ERROR ] Can’t find error-message file \\\'/usr/share/mysql/ errmsg.sys’ . Check error-message file location and ‘lc-messages-dir’ configuration directive. 大概

    2024年02月15日
    浏览(30)

  • Docker打包容器并跨服务器传输重建加载load镜像Unable to find image :latest问题解决 及 Docker在容器未启动的情况下如何修改容器中文件

        使用docker就是因为docker可以快速进行多服务器部署,所以需要对部署好的环境进行打包复制并快速在其它的服务器上进行重建。     其实使用起来非常简单,使用docker export从运行的容器中导出文件,,使用import命令生成镜像批量传至目标服务器然后在目标服务器上进行

    2024年04月17日
    浏览(36)
  • Docker|kubernetes|本地镜像批量推送到Harbor私有仓库的脚本

    Docker|kubernetes|本地镜像批量推送到Harbor私有仓库的脚本

    前言: 可能有测试环境,而测试环境下有N多的镜像,需要批量导入到自己搭建的Harbor私有仓库内,一般涉及到批量的操作,自然还是使用脚本比较方便。 本文将介绍如何把某个服务器的本地镜像 推送到带有安全证书的私有Harbor仓库。 一, ###本例中,私有Harbor仓库的地址是

    2024年02月10日
    浏览(33)
  • docker 启动镜像命令

    docker 启动镜像命令

    Docker 的启动命令用于启动 Docker 容器。这些命令可以从基本的 docker run 命令扩展到包括多个选项和参数,以满足不同的需求。以下是一些常用的 Docker 启动命令和选项的示例: 启动一个新容器 : IMAGE :指定要运行的镜像。 COMMAND :在容器内执行的命令。 ARG :命令的参数。

    2024年03月16日
    浏览(46)

  • 使用docker 生成镜像,并启动容器。

    指令详情: 指令 解析 FROM 指定基础镜像,必须为第一个命令 MAINTAINER 维护者邮箱等信息 RUN 构建镜像docker build时执行的命令 ADD 将本地文件添加到容器中,tar 类型文件会自动解压 COPY 功能类似ADD,但是是不会自动解压文件,也不能访问网络资源 CMD 在docker run时会执行的命令,

    2024年02月16日
    浏览(36)

  • Docker启动镜像并进行端口映射

    Docker是一种流行的容器化平台,可以帮助开发人员更轻松地构建、测试和部署应用程序。在使用Docker时,启动镜像并进行端口映射是很常见的操作。本文将详细介绍如何使用Docker启动镜像并进行端口映射,并通过几个案例进行说明。 要启动Docker镜像,可以使用以下命令: 其

    2024年02月08日
    浏览(35)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包