Alauda DevOps Pipelines Docs
  • 简体中文

    • 调整 Containerfile 构建适用于 Task 的自定义镜像

    目录

    功能概述使用场景前提条件操作步骤1. 确认基础镜像2. 添加非 root 用户3. 设置用户所需权限(可选)4. 设置默认用户5. 验证镜像操作结果故障排查了解更多

    功能概述

    在 Tekton 中,为了增强安全性,Task 可能会配置 runAsNonRoot: true,要求容器以非 root 用户身份运行。因此,在构建自定义镜像时,需要特别注意 Containerfile 的配置,以确保镜像能够在此类 Task 中正常运行。

    本文档介绍如何调整 Containerfile 来构建兼容 Task 的自定义镜像,重点关注用户权限配置。

    使用场景

    以下场景需要参考本文档的指导:

    • 构建用于 Task 的自定义镜像
    • 在 Task 中运行现有镜像时遇到权限相关错误
    • 确保镜像满足 Task 的安全要求

    前提条件

    使用此功能前,请确保:

    • 拥有 OCI 镜像构建环境
      • 可使用平台原生的构建流水线
      • 若需使用社区/开源工具,确保具备网络访问权限或已准备好离线包
    • 具备基本的 Containerfile 编写知识
    • 拥有 Containerfile 文件及相关配置

    操作步骤

    1. 确认基础镜像

    首先确认基础镜像的发行版本,因为不同版本创建用户的命令可能不同:

    # 查看基础镜像的发行版本
$ podman run -it --rm ${registry} cat /etc/os-release

# 可能的输出
NAME="Alpine Linux"
# 或
NAME="Debian GNU/Linux"
# 或
NAME="Ubuntu"
# 或
NAME="CentOS Linux"

    2. 添加非 root 用户

    在 Containerfile 中添加非 root 用户(建议使用 UID 65532):

    # 根据基础镜像选择对应命令

# Alpine
RUN adduser -u 65532 -h /home/nonroot -D nonroot

# Debian
RUN adduser --home /home/nonroot --uid 65532 nonroot --disabled-password --gecos ""

# Ubuntu
RUN apt-get update && apt-get install -y adduser \
    && adduser --home /home/nonroot --uid 65532 nonroot --disabled-password --gecos ""

# CentOS
RUN groupadd -g 65532 nonroot && useradd -u 65532 -U -d /home/nonroot -m nonroot

    3. 设置用户所需权限(可选)

    如果用户需要访问特定目录或文件,应为该用户添加必要权限。

    # 将目录或文件的所有者设置为 nonroot
RUN chown -R nonroot:nonroot /path/to/directory

# 或者,将目录或文件权限设置为允许所有人读写,或其他最小权限
RUN chmod -R a+rwx /path/to/directory

    4. 设置默认用户

    在 Containerfile 中设置默认用户(使用 UID 而非用户名):

    由于配置了 runAsNonRoot 的 Pod 会检查用户 ID 是否为非 root 用户,而非用户名。

    # 设置默认用户为 nonroot(使用 UID)
USER 65532

    5. 验证镜像

    构建完成后,验证镜像是否能正常运行:

    # 验证用户配置
$ podman run -it --rm ${registry} id

# 预期输出
uid=65532(nonroot) gid=65532(nonroot) groups=65532(nonroot)

# 验证应用权限
$ podman run -it --rm ${registry} ls -la /home/nonroot

    操作结果

    通过此配置:

    1. 用户配置

      • 统一使用 UID 65532,确保多个 Task 生成的文件访问权限一致
      • 确保用户拥有合适的工作目录权限
      • 避免使用 root 用户或 UID 0

    2. 应用配置

      • 确保应用能以非 root 用户正常运行
      • 在 Containerfile 中预先配置必要的目录权限
      • 使用 VOLUME 指令定义需要持久化的目录

    3. 安全建议

      • 定期更新基础镜像以修复安全漏洞
      • 使用多阶段构建以减小镜像体积
      • 配置用户权限时遵循最小权限原则

    故障排查

    若在 Task 中运行镜像时出现权限问题,可:

    1. 查看 Pod 事件中的错误信息
    2. 核实镜像中的用户配置是否正确
    3. 确认应用所需权限是否已配置

    了解更多