所有应用程序文件和 extraDirectories 都归 root 所有。
/app/libs/
/app/resources/
/app/classes/
/app/logs
我想以非 root 用户身份运行该应用程序,并且我希望这些文件/文件夹仅由该用户拥有,而不是由 root 拥有。
有没有办法做到这一点?我发现下面提到的 jib maven 插件可以改变所有者,但它建议不要这样做。有没有更好的方法?
https://github.com/GoogleContainerTools/jib-extensions/tree/master/first-party/jib-ownership-extension-maven
您想要更改应用程序目录某些部分的所有权的原因是您的应用程序想要在运行时修改某些文件或在其中创建新文件。一般而言,将映像尽可能地构建为不可变的被认为是一种很好的做法。
既然您提到了/app/logs
,我怀疑您的应用程序在运行时会生成日志文件。在一些现代容器编排平台(例如 Kubernetes)上,应用程序通常被设计为将日志输出到stdout
和stderr
.
最佳实践是将应用程序日志写入标准输出 (
stdout
) 和标准错误 (stderr
) 流。
想一想:如果您的应用程序/app/logs
在一个容器内生成日志文件(将有多个容器运行相同的镜像),您将如何统一收集和监控它们?如果不同的应用程序在不同的文件系统位置生成日志文件怎么办?但更重要的是,如果您的容器崩溃,您只会丢失日志文件。通过将日志写入stdout
和stderr
,平台将处理管理和关联来自所有 pod 的日志的所有复杂性。
如果您无法更改有关日志文件的应用程序,至少您应该/app/logs
在运行时挂载一个卷。对于任何容器运行时(无论是 k8s 还是 Docker),这都可以轻松配置。挂载的目录通常是全局可写的,因此您无需更改所有权。但是您仍然需要考虑如何收集和管理日志文件。
同样,如果它不是用于日志文件,而是您的应用程序需要一个文件系统在应用程序目录中创建一个临时文件,并且由于某种原因您无法更改位置,至少您应该尝试挂载一个临时卷,然后再回退到使用您提到的 Jib Ownership Extension 的最后手段。
最后,仔细评估为什么必须首先更改所有权。如果应用程序想要在运行时改变自己,通常这不是容器化的好做法,并且必须有一些根本原因您可能需要以适当的方式解决。
本文收集自互联网,转载请注明来源。
如有侵权,请联系 [email protected] 删除。
我来说两句