docker - 通过 uidmap 使用 containerd 的 ctr 运行容器以映射到主机上的非 root 用户

Question

为了更好地理解如何使用--uidmapwith ctr，我通过以下步骤创建了一个测试容器。containerd版本1.4.3是.

构建并运行容器：

1. 构建 Dockerfile

   $ cat Dockerfile
   FROM alpine
   ENTRYPOINT ["/bin/sh"]
   

   和

   $ docker build -t test .
   Sending build context to Docker daemon  143.1MB
   Step 1/2 : FROM alpine                         
    ---> d6e46aa2470d                             
   Step 2/2 : ENTRYPOINT ["/bin/sh"]              
    ---> Running in 560b09f9b287                  
   Removing intermediate container 560b09f9b287   
    ---> 8506bfeab109                             
   Successfully built 8506bfeab109                
   Successfully tagged test:latest                
   

2. 将图像保存为 tar 球

   $ docker save test > test.tar
   

3. 使用 containerd 导入它ctr

   $ sudo ctr i import test.tar
   unpacking docker.io/library/test:latest (sha256:9f7dabf0e4feadbca9bdc180422a3f2cdd7b545445180a3c23de8129dc95f29b)...done
   

4. 创建并运行容器

   $ sudo ctr run --uidmap 0:5000:4999 docker.io/library/test:latest test
   

   uid 映射应该将容器内部 uid 0（root）映射到 5000，对应于 ctr 的手册页：

   --uidmap=""：在指定UID映射范围的用户命名空间内运行；使用格式指定 container-uid:host-uid:length

检查容器和主机上的 UID：

容器内：

ps -eo ruser,rgroup,comm 
RUSER    RGROUP   COMMAND
root     root     sh     
root     root     ps     

在主机上：

$ ps -eo uid,gid,cmd | grep /bin/sh
  126   128 /bin/sh /usr/lib/lightdm/lightdm-greeter-session /usr/sbin/unity-greeter
    0     0 /bin/sh

问题

它似乎不起作用，/bin/sh在容器内以及主机上以 root (uid=0) 身份运行。

Answer 1

我搜索了一段时间，直到我检查了 containerd 的代码并在以下位置找到了这个cmd/ctr/commands/run/run_unix.go：

149       if uidmap, gidmap := context.String("uidmap"), context.String("gidmap"); uidmap != "" && gidmap != "" {
150         uidMap, err := parseIDMapping(uidmap)
151         if err != nil {
152           return nil, err
153         }
154         gidMap, err := parseIDMapping(gidmap)
155         if err != nil {
156           return nil, err
157         }

这基本上意味着：您必须同时提供uidmap AND，gidmap否则它将不起作用。

再次运行上述容器

$ sudo ctr run --uidmap 0:5000:4999 --gidmap 0:5000:4999 docker.io/library/test:latest test

成功了。

容器内：

ps -eo ruser,rgroup,comm  
RUSER    RGROUP   COMMAND 
root     root     sh      
root     root     ps      

在主机上：

$ ps -eo uid,gid,cmd | grep /bin/sh
  126   128 /bin/sh /usr/lib/lightdm/lightdm-greeter-session /usr/sbin/unity-greeter
 5000  5000 /bin/sh