Docker 镜像 用普通用户启动服务

2024-04-12 12:20

本文主要是介绍Docker 镜像 用普通用户启动服务,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

Docker镜像内用普通用户启动服务


Docker是一种用于构建、封装和分发应用程序的开源平台。它利用容器化技术将应用程序及其依赖项打包到一个可移植的容器中,从而实现快速部署和可伸缩性。

在Docker中,通过使用Docker镜像可以创建容器,镜像是容器化过程中的一个关键概念,它是一个只读的文件系统,其中包含用于运行应用程序的一切内容。在默认情况下,Docker容器是以root用户身份运行的,这可能会导致一些安全风险。为了降低潜在的风险,我们应该以普通用户身份来运行服务。

使用普通用户启动服务的好处


使用普通用户启动Docker容器中的服务,可以有效降低潜在的安全风险。以root用户身份运行容器可能会导致容器中的应用程序获得对主机操作系统的控制权限。这样一来,如果容器中的应用程序受到攻击,攻击者可能会获得对主机操作系统的完全控制权限。而以普通用户身份运行容器可以限制应用程序对主机操作系统的访问权限,从而减小安全风险。

此外,以普通用户身份运行容器还可以提高容器的可移植性和可重用性。如果容器是以root用户身份运行的,那么在不同的环境中可能会遇到权限问题。而以普通用户身份运行容器可以避免这些问题,使得容器更易于在不同的环境中部署和运行。
 

使用普通用户启动服务的步骤


下面是使用普通用户启动Docker镜像中服务的步骤:

(1)在Dockerfile中创建一个普通用户,并切换到该用户:

FROM ubuntu:latest
RUN groupadd -r myuser && useradd -r -g myuser myuser
USER myuser

在这个Dockerfile中,我们首先创建一个名为myuser的用户组,然后创建一个名为myuser的普通用户,并将其加入到myuser用户组中。最后,我们使用USER命令将容器的默认用户切换为myuser。

(2)在容器中启动服务:

CMD ["python", "app.py"]

在这个例子中,我们使用CMD命令来定义容器启动时要运行的命令。在这里,我们假设容器中的服务是用Python编写的,将app.py作为启动命令。

(3)构建和运行容器:

$ docker build -t myimage .
$ docker run -d myimage

在这个示例中,我们首先使用docker build命令构建Docker镜像,然后使用docker run命令在后台运行容器。这样,容器将以普通用户身份运行服务。

为您的 Java 应用程序创建 Dockerfile

现在您已经安装了 Docker,让我们使用 Gradle 构建的简单 Java 应用程序并创建一个 Dockerfile。我们将在容器本身中构建和运行 jar 文件,这为我们提供了一个更加一致的环境。你可以在Github上查看我的示例项目,如果你愿意,可以从这个项目开始工作。

# NOTE: This is not a production ready Dockerfile. 
# Utilize this only for development purposes# Use a container image that has both Gradle and the JDK
FROM gradle:5.0.0-jdk8-alpine# Switch to the `gradle` user defined by our container image
USER gradle# Copy over the project directory into the container
COPY --chown=gradle:gradle . /java-and-docker# Set our working directory to our project directory that we set above
WORKDIR /java-and-docker# Run the build
RUN gradle build# Run the jar file
# Since we are using JDK8 we set some additional flags to be more container aware
CMD ["java", "-XX:+UnlockExperimentalVMOptions", "-XX:+UseCGroupMemoryLimitForHeap", "-jar", "build/libs/java-and-docker-1.0.jar"]

总结


通过以普通用户身份启动Docker镜像中的服务,我们可以有效降低潜在的安全风险,并提高容器的可移植性和可重用性。在Dockerfile中创建一个普通用户,并使用USER命令切换到该用户,然后使用CMD命令定义容器启动时要运行的命令。最后,通过构建和运行容器来启动服务。这些步骤可以帮助我们以更安全和可靠的方式在Docker中运行服务。

这篇关于Docker 镜像 用普通用户启动服务的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/897114

相关文章

如何用Docker运行Django项目

本章教程,介绍如何用Docker创建一个Django,并运行能够访问。 一、拉取镜像 这里我们使用python3.11版本的docker镜像 docker pull python:3.11 二、运行容器 这里我们将容器内部的8080端口,映射到宿主机的80端口上。 docker run -itd --name python311 -p

MySQL数据库宕机,启动不起来,教你一招搞定!

作者介绍:老苏,10余年DBA工作运维经验,擅长Oracle、MySQL、PG、Mongodb数据库运维(如安装迁移,性能优化、故障应急处理等)公众号:老苏畅谈运维欢迎关注本人公众号,更多精彩与您分享。 MySQL数据库宕机,数据页损坏问题,启动不起来,该如何排查和解决,本文将为你说明具体的排查过程。 查看MySQL error日志 查看 MySQL error日志,排查哪个表(表空间

springboot3打包成war包,用tomcat8启动

1、在pom中,将打包类型改为war <packaging>war</packaging> 2、pom中排除SpringBoot内置的Tomcat容器并添加Tomcat依赖,用于编译和测试,         *依赖时一定设置 scope 为 provided (相当于 tomcat 依赖只在本地运行和测试的时候有效,         打包的时候会排除这个依赖)<scope>provided

内核启动时减少log的方式

内核引导选项 内核引导选项大体上可以分为两类:一类与设备无关、另一类与设备有关。与设备有关的引导选项多如牛毛,需要你自己阅读内核中的相应驱动程序源码以获取其能够接受的引导选项。比如,如果你想知道可以向 AHA1542 SCSI 驱动程序传递哪些引导选项,那么就查看 drivers/scsi/aha1542.c 文件,一般在前面 100 行注释里就可以找到所接受的引导选项说明。大多数选项是通过"_

【区块链 + 人才服务】可信教育区块链治理系统 | FISCO BCOS应用案例

伴随着区块链技术的不断完善,其在教育信息化中的应用也在持续发展。利用区块链数据共识、不可篡改的特性, 将与教育相关的数据要素在区块链上进行存证确权,在确保数据可信的前提下,促进教育的公平、透明、开放,为教育教学质量提升赋能,实现教育数据的安全共享、高等教育体系的智慧治理。 可信教育区块链治理系统的顶层治理架构由教育部、高校、企业、学生等多方角色共同参与建设、维护,支撑教育资源共享、教学质量评估、

用命令行的方式启动.netcore webapi

用命令行的方式启动.netcore web项目 进入指定的项目文件夹,比如我发布后的代码放在下面文件夹中 在此地址栏中输入“cmd”,打开命令提示符,进入到发布代码目录 命令行启动.netcore项目的命令为:  dotnet 项目启动文件.dll --urls="http://*:对外端口" --ip="本机ip" --port=项目内部端口 例: dotnet Imagine.M

【区块链 + 人才服务】区块链集成开发平台 | FISCO BCOS应用案例

随着区块链技术的快速发展,越来越多的企业开始将其应用于实际业务中。然而,区块链技术的专业性使得其集成开发成为一项挑战。针对此,广东中创智慧科技有限公司基于国产开源联盟链 FISCO BCOS 推出了区块链集成开发平台。该平台基于区块链技术,提供一套全面的区块链开发工具和开发环境,支持开发者快速开发和部署区块链应用。此外,该平台还可以提供一套全面的区块链开发教程和文档,帮助开发者快速上手区块链开发。

Linux服务器Java启动脚本

Linux服务器Java启动脚本 1、初版2、优化版本3、常用脚本仓库 本文章介绍了如何在Linux服务器上执行Java并启动jar包, 通常我们会使用nohup直接启动,但是还是需要手动停止然后再次启动, 那如何更优雅的在服务器上启动jar包呢,让我们一起探讨一下吧。 1、初版 第一个版本是常用的做法,直接使用nohup后台启动jar包, 并将日志输出到当前文件夹n

衡石分析平台使用手册-单机安装及启动

单机安装及启动​ 本文讲述如何在单机环境下进行 HENGSHI SENSE 安装的操作过程。 在安装前请确认网络环境,如果是隔离环境,无法连接互联网时,请先按照 离线环境安装依赖的指导进行依赖包的安装,然后按照本文的指导继续操作。如果网络环境可以连接互联网,请直接按照本文的指导进行安装。 准备工作​ 请参考安装环境文档准备安装环境。 配置用户与安装目录。 在操作前请检查您是否有 sud

SpringBoot项目是如何启动

启动步骤 概念 运行main方法,初始化SpringApplication 从spring.factories读取listener ApplicationContentInitializer运行run方法读取环境变量,配置信息创建SpringApplication上下文预初始化上下文,将启动类作为配置类进行读取调用 refresh 加载 IOC容器,加载所有的自动配置类,创建容器在这个过程