全部标签
写点什么
开源架构OpenHarmony算法元宇宙学习方法Web3.0高效工作数据库Python音视频前端AI大数据团队管理程序员运维深度思考低代码redisgolang微服务架构flutter 查看更多

Docker 容器访问挂载文件权限问题

作者:电子尖叫食人鱼
  • 2025-07-16
    福建

  • 本文字数:1374 字

    阅读完需:约 5 分钟

问题描述


在使用 docker-compose 部署项目时,yaml 文件如下:

version: '3'services:  purchasing-contract-consumer:    image: my-registry.com/consumer:latest    environment:      - TZ=Asia/Shanghai      - app_env=prod    restart: always    working_dir: /app    command: python app.py    volumes:      - type: bind        source: /home/admin/deploy/consumer/application.log        target: /app/application.log
复制代码


启动应用时,报错:

PermissionError: [Errno 13] Permission denied: '/app/application.log'
复制代码


原因分析


在我的应用中,需要在容器中对 application.log 文件进行写入,这个文件被挂载到宿主机上。因为我的宿主机系统是 CentOS,默认启用了 SELinux。在 SELinux 策略下,容器进程的类型是 container_t 类型,而宿主机上的文件默认是 user_home_t 类型,二者类型不匹配,容器进程无法访问宿主机上挂载的文件。


解决方案


方案 1,禁用 SELinux,不推荐。


临时禁用 SELinux 方案如下:

sudo setenforce 0
复制代码


方案 2,在宿主机上修改 application.log 文件类型为 svirt_sandbox_file_t

chcon -t svirt_sandbox_file_t application.log
复制代码


如果需要永久修改 application.log 文件类型

semanage fcontext -a -t svirt_sandbox_file_t "application.log"restorecon application.log
复制代码


将文件类型修改成 svirt_sandbox_file_t 之后,因为 docker 容器进程是 container_t 类型,SELinux 允许 container_t 类型的进程访问 svirt_sandbox_file_t 类型的文件。


方案 3,挂载时使用:Z,这将把挂载的文件设置成 container_file_t 类型,确保容器进程可以访问挂载文件。更新后的 yaml 文件如下。(推荐)

version: '3'services:  purchasing-contract-consumer:    image: my-registry.com/consumer:latest    environment:      - TZ=Asia/Shanghai      - app_env=prod    restart: always    working_dir: /app    command: python app.py    volumes:      -  /home/admin/deploy/consumer/application.log:/app/application.log:Z
复制代码


运行后,查看 SELinux 上下文类型

[admin@myhost consumer]$ ls -lZ-rw-rw-r--. admin admin system_u:object_r:container_file_t:s0:c716,c748 application.logdrwxr-xr-x. root  root  system_u:object_r:container_file_t:s0:c97,c362 config-rwxr-xr-x. admin admin unconfined_u:object_r:user_home_t:s0 docker-compose.yml-rw-rw-r--. admin admin unconfined_u:object_r:user_home_t:s0 qtsb-mail.tar-rwxrwxr-x. admin admin unconfined_u:object_r:user_home_t:s0 start.sh
复制代码


使用:Z 挂载的文件类型是 container_file_t,可以被容器进程访问。默认文件类型是 user_home_t,无法被容器进程访问。


在使用方案 3 解决问题时,不能显示指定 bing mount。如下

    volumes:      - type: bind        source: /home/admin/deploy/consumer/application.log        target: /app/application.log:Z #无效,容器无法修改宿主机上application.log的SELinux类型
    volumes:      -  /home/admin/deploy/consumer/application.log:/app/application.log:Z #有效,容器成功修改宿主机上application.log的SELinux类型
复制代码


文章转载自:曾彪彪

原文链接:https://www.cnblogs.com/zengbiaobiao2016/p/18720036

体验地址:http://www.jnpfsoft.com/?from=001YH

划线
评论
复制
发布于: 刚刚阅读数: 3
Docker容器运维
用户头像

电子尖叫食人鱼

关注

还未添加个人签名 2025-04-01 加入

还未添加个人简介

评论

发布
暂无评论
Copyright © 2025, Geekbang Technology Ltd. All rights reserved. 极客邦控股(北京)有限公司 | 京 ICP 备 16027448 号 - 5京公网安备京公网安备 11010502039052号 | 产品资质
Docker容器访问挂载文件权限问题_Docker_电子尖叫食人鱼_InfoQ写作社区