gpt4 book ai didi

linux - 无法将基于熔断器的卷公开给 Docker 容器

转载 作者:IT老高 更新时间:2023-10-28 12:40:59 24 4
gpt4 key购买 nike

我正在尝试为我的 docker 容器提供大量加密文件系统以供内部使用。这个想法是容器将照常写入卷,但实际上主机将在将数据写入文件系统之前对其进行加密。

我正在尝试使用 EncFS - 它在主机上运行良好,例如:

encfs /encrypted /visible

我可以将文件写入/visible,并且这些文件会被加密。但是,当尝试以/visible 作为卷运行容器时,例如:

docker run -i -t --privileged -v /visible:/myvolume imagename bash

我确实在容器中获得了一个卷,但它位于原始 /encrypted 文件夹中,而不是通过 EncFS。如果我从 /visible 卸载 EncFS,我可以看到容器写入的文件。不用说 /encrypted 是空的。

有没有办法让 docker 通过 EncFS 挂载卷,而不是直接写入文件夹?相比之下,当我将 NFS 挂载用作卷时,docker 工作正常。它写入网络设备,而不是我安装设备的本地文件夹。

谢谢

最佳答案

我无法在本地复制您的问题。如果我尝试将 encfs 文件系统公开为 Docker 卷,则尝试启动容器时会出错:

FATA[0003] Error response from daemon: Cannot start container <cid>:
setup mount namespace stat /visible: permission denied

所以你有可能发生了一些不同的事情。无论如何,这就是解决我的问题的方法:

默认情况下,FUSE 只允许挂载文件系统的用户访问该文件系统。当您运行 Docker 容器时,该容器最初以 root 身份运行。

您可以在挂载 FUSE 文件系统时使用 allow_rootallow_other 挂载选项。例如:

$ encfs -o allow_root /encrypted /other

这里,allow_root 将允许 root 用户访问挂载点,而 allow_other 将允许任何人访问挂载点(前提是 Unix 权限该目录允许他们访问)。

如果我使用 allow_root 通过 encfs 文件系统挂载,然后我可以将该文件系统公开为 Docker 卷 并且该文件系统的内容从容器内部正确可见。

关于linux - 无法将基于熔断器的卷公开给 Docker 容器,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/28865407/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com