在 Docker 容器内挂载 SMB/CIFS 共享
- 2024-10-22 08:28:00
- admin 原创
- 486
问题描述:
我有一个在 Docker 容器中运行的 Web 应用程序。此应用程序需要访问我们公司文件服务器(带有 Active Directory 域控制器的 Windows Server)上的某些文件。我尝试访问的文件是为我们的客户创建的图像文件,Web 应用程序将它们显示为客户投资组合的一部分。
在我的开发机器上,我通过条目挂载了相应的文件夹/etc/fstab,并且主机挂载点通过参数挂载在 Docker 容器中--volume。这很完美。
现在,我尝试组装一个生产容器,该容器将在不同的服务器上运行,并且不依赖于主机上安装的 CIFS 共享。因此,我尝试将适当的条目添加到/etc/fstab容器中的文件并使用 进行安装mount -a。我得到了mount error(13): Permission denied。
在网上搜索了一下,我找到了这篇关于 Docker 安全性的文章。如果我没有看错的话,Docker 似乎明确拒绝在容器内挂载文件系统的能力。我尝试以只读方式挂载共享,但这(不出所料)也失败了。
因此,我有两个问题:
我是否正确地理解 Docker 阻止任何
mount容器内部的使用?有人能想到另一种方法来实现这一点,而无需在主机上安装 CIFS 共享,然后在 Docker 容器中安装主机文件夹吗?
解决方案 1:
是的,出于安全考虑,Docker 会阻止您在容器内安装远程卷。如果您信任您的镜像和运行它们的人员,那么您可以使用--privileged带有的标志docker run来禁用这些安全措施。
此外,您可以组合--cap-add和--cap-drop为容器提供其实际需要的功能。(参见文档)该SYS_ADMIN功能是授予挂载权限的功能。
解决方案 2:
是的
容器内有一个已关闭的问题mount.cifs
https://github.com/docker/docker/issues/22197
根据添加
--cap-add SYS_ADMIN --cap-add DAC_READ_SEARCH
运行选项将使 mount -t cifs 可操作。
我尝试了一下:
mount -t cifs //<host>/<path> /<localpath> -o user=<user>,password=<user>
然后容器内的工作
解决方案 3:
您可以使用smbclient命令(Samba 包的一部分)从 Docker 容器内部访问 SMB/CIFS 服务器而无需挂载它,就像您curl下载或上传文件的方式一样。
StackExchange Unix上有一个关于此问题的问题,简而言之:
smbclient //server/share -c 'cd /path/to/file; put myfile'
对于多个文件,有一个-T可以创建或提取.tar档案的选项,但这看起来是一个两步过程(一步是创建.tar,另一步是本地提取)。我不确定你是否可以使用管道一步完成。
解决方案 4:
不要为了挂载共享而暴露许多端口,从而降低容器的安全性。或者通过将其运行为--privileged
以下是我解决这个问题的方法:
首先在运行docker的服务器上挂载该卷。
sudo mount -t cifs -o username=YourUserName,uid=$(id -u),gid=$(id -g) //SERVER/share ~/WinShare
在这里更改用户名、SERVER 和 WinShare。这将询问您的 sudo 密码,然后询问远程共享的密码。
假设您WinShare在主文件夹中创建了文件夹。运行此命令后,您应该能够看到WinShare文件夹中的所有共享文件夹和文件。此外,由于您使用了uid和gid标签,因此您将拥有写访问权限,而无需一直使用 sudo。
现在您可以使用
-v标签运行您的容器并在服务器和容器之间共享卷。
假设您按如下方式运行它。
docker run -d --name mycontainer -v /home/WinShare:/home 2d244422164
您现在应该能够从容器访问 Windows 共享并对其进行修改。
要测试它,只需执行以下操作:
docker exec -it yourRunningContainer /bin/bash
cd /Home
touch testdocfromcontainer.txt
testdocfromcontainer.txt您应该在 Windows 共享中看到。
解决方案 5:
您可以使用 Netshare docker 卷插件,它允许将远程 CIFS/Samba 作为卷挂载。
