kubernetes篇 容器用户权限控制

问题起源

　　问题起源于一个开发BUG：正常运行一段时间的POD，突然有一天运行报错了，错误是没有操作目录的权限，查其原因，原来是镜像被更新了，镜像添加了操作用户，而被操作的目录（NFS目录）并不具备普通用户操作的权限。

DOCKER容器如何控制用户

　　容器的操作用户其实是镜像控制的，打造镜像的时候有一个USER选项，运行USER [uid:gid] 就可以指定用什么用户来运行该镜像，这方面知识可以查看一下DOCKFILE编写语法。如果没有添加该语句，镜像默认使用root权限运行，而添加了该语句，DOCKFILE后面的命令就使用该用户权限运行。那么问题就来了，镜像里面的用户跟操作系统有什么关系，或者说，跟NFS目录权限有什么关系？

DOCKER-LINUX的用户映射

　　在这个BUG的基础上做个简单的测试，当文件系统某个目录只能允许ROOT操作的时候，启动一个运行用户为ROOT的容器，使他来操作该目录，结果是成功的。

　　这时候可以推理出，DOCKER中的运行用户与文件系统用户是存在某种关联的。这大概也是安装DOCKER需要使用ROOT用户或者ROOT组权限的原因之一，因为需要修改一些用户映射配置。

　　拜读了一下这篇文章，可以对这些用户管理有一个清晰的认识：

　　https://medium.com/@mccode/understanding-how-uid-and-gid-work-in-docker-containers-c37a01d01cf

　　

　　作者通过例子验证得到了几个结论：

　　1.linux主机通过uid和gid来控制用户对目录的操作权限，docker容器中也是如此。

　　2.当docker容器中的操作用户为root时，他相当于宿主机上的root

　　3.当docker容器中的操作用户为非root时，根据其uid在宿主机上的权限限制获取对应权限

　　第三个结论是这么说的：

　　

　　限制容器的使用权限会同时对主机的用户系统产生影响
　　1.如果使用已知的uid运行容器，那他可以直接获取该uid在宿主机上的权限来限制容器
　　2.最好使用已知的uid去启动容器（使用用户名也可以，但是这只是友好的方式，其本质还是提供uid），这样去限制容器权限
　　3.由于uid和gid以及用户名的的映射关系，容器内的进程在容器外看起来像是属于不同用户

　　看完这些之后又看到有一篇文章说可以修改docker和宿主机之间的映射规则，改变运行用户的权限，虽然用处不大，但是可以蛮了解下：

　　https://blog.csdn.net/lsysafe/article/details/90437811

　　其操作系统为Ubuntu，所以我没有跟着验证：

编辑/etc/default/docker，添加：

DOCKER_OPTS="--userns-remap=default"

或

DOCKER_OPTS="--userns-remap=自定义的用户名"

此时会在/etc/subuid和/etc/subgid添加用户的映射ID

system@system-virtual-machine:~$ cat /etc/subuid /etc/subgid
system:100000:65536
dockremap:165536:65536
apps:231072:65536
system:100000:65536
dockremap:165536:65536
apps:231072:65536

如dockremap这一行表示，从操作系统UID为165536用户开始直到UID为165536+65536映射容器的UID0至65535,0为容器的ROOT用户，/etc/default/docker文件这一行DOCKER_OPTS="--userns-remap=default"指定了引用 /etc/subuid，/etc/subgid文件的哪个用户，用户组，default一般指dockremap

另一个bug

　　容器内指定的用户在宿主机上不存在也是不影响运行的，但是会引起另一个问题：

　　当该容器第一次运行时使用了一些操作对目录增删改之后，如果该容器（注意是pod，如果仅仅是容器重启不一定有这个问题）被重启，那么该容器会运行报错拒绝访问。

　　原因在于，第一个POD的运行用户为某个“野鸡”用户，当再一次运行该POD时，虽然其UID和第一次运行的一样，但是对于宿主机来说，其又是另一个“野鸡”用户，操作失败。