Alauda DevOps Pipelines Docs
  • 简体中文

    • 调整 Containerfile 以构建兼容 Tasks 的自定义镜像

    目录

    功能概述使用场景前提条件步骤1. 确认基础镜像2. 添加非 root 用户3. 为用户设置必要权限(可选)4. 设置默认用户5. 验证镜像操作结果故障排查了解更多

    功能概述

    在 Tekton 中,为了增强安全性,Tasks 可能会配置 runAsNonRoot: true,这要求容器以非 root 用户运行。因此,在构建自定义镜像时,需要特别关注 Containerfile 的配置,以确保镜像能够在此类 Tasks 中正常运行。

    本文档介绍如何调整 Containerfile 来构建与 Tasks 兼容的自定义镜像,重点关注用户权限配置。

    使用场景

    以下场景需要参考本文档中的指导:

    • 为在 Tasks 中使用而构建自定义镜像
    • 在 Tasks 中运行现有镜像时遇到权限相关错误
    • 确保镜像满足 Tasks 的安全要求

    前提条件

    在使用此功能之前,请确保:

    • 你具备 OCI 镜像构建环境
      • 可以使用平台原生的构建流水线
      • 如果需要使用社区/开源工具,请确保具备互联网访问能力,或者已准备好离线包
    • 你对 Containerfile 编写有基础了解
    • 已准备好 Containerfile 文件及相关配置

    步骤

    1. 确认基础镜像

    首先确认基础镜像的发行版本,因为不同版本创建用户的命令可能不同:

    # 查看基础镜像的发行版本
$ podman run -it --rm ${registry} cat /etc/os-release

# 可能的输出
NAME="Alpine Linux"
# or
NAME="Debian GNU/Linux"
# or
NAME="Ubuntu"
# or
NAME="CentOS Linux"

    2. 添加非 root 用户

    在 Containerfile 中添加一个非 root 用户(建议使用 UID 65532):

    # 根据基础镜像选择对应的命令

# Alpine
RUN adduser -u 65532 -h /home/nonroot -D nonroot

# Debian
RUN adduser --home /home/nonroot --uid 65532 nonroot --disabled-password --gecos ""

# Ubuntu
RUN apt-get update && apt-get install -y adduser \
    && adduser --home /home/nonroot --uid 65532 nonroot --disabled-password --gecos ""

# CentOS
RUN groupadd -g 65532 nonroot && useradd -u 65532 -U -d /home/nonroot -m nonroot

    3. 为用户设置必要权限(可选)

    如果用户需要访问某些目录或文件,应为该用户添加必要权限。

    # 将目录或文件的所有者设置为 nonroot
RUN chown -R nonroot:nonroot /path/to/directory

# 或者,设置目录或文件权限,使所有人都可读写,或授予其他最小所需权限
RUN chmod -R a+rwx /path/to/directory

    4. 设置默认用户

    在 Containerfile 中设置默认用户(使用 UID,而不是用户名):

    由于配置了 runAsNonRoot 的 Pod 会检查用户 ID 是否为非 root 用户,而不是检查用户名。

    # 将默认用户设置为 nonroot(使用 UID)
USER 65532

    5. 验证镜像

    构建完成后,验证镜像是否可以正常运行:

    # 验证用户配置
$ podman run -it --rm ${registry} id

# 预期输出
uid=65532(nonroot) gid=65532(nonroot) groups=65532(nonroot)

# 验证应用权限
$ podman run -it --rm ${registry} ls -la /home/nonroot

    操作结果

    采用此配置后:

    1. 用户配置

      • 始终使用 UID 65532,使多个 Tasks 中生成的文件具有一致的访问权限
      • 确保用户具有合适的工作目录权限
      • 避免使用 root 用户或 UID 0

    2. 应用配置

      • 确保应用可以作为非 root 用户正常运行
      • 在 Containerfile 中预先配置必要的目录权限
      • 使用 VOLUME 指令定义需要持久化的目录

    3. 安全建议

      • 定期更新基础镜像以修复安全漏洞
      • 使用多阶段构建以减小镜像大小
      • 在配置用户权限时遵循最小权限原则

    故障排查

    如果在 Tasks 中运行镜像时出现权限问题,可以:

    1. 检查 Pod 事件中的错误信息
    2. 验证镜像中的用户配置是否正确
    3. 确认是否已为应用配置所需权限

    了解更多