如何让非 root 用户构建 Docker 镜像
如何让非 root 用户构建 Docker 镜像
- 前言
- 方法 1:将用户加入 Docker 组(推荐)
- 方法 2:使用 sudo 运行 Docker(不推荐)
- 方法 3:使用 Docker Rootless 模式
- 总结
前言
在默认情况下,Docker 需要 root 权限或 sudo 才能运行。这对于日常开发和 CI/CD 流水线可能不够方便,也可能带来安全隐患。那么,如何让 非 root 用户 也能构建和运行 Docker 容器呢?
本篇文章将介绍 三种方法 来实现这一目标,并推荐最佳实践。
方法 1:将用户加入 Docker 组(推荐)
Docker 允许 docker 组的用户运行 Docker 命令,因此最简单的方法是将你的用户加入 docker 组。
-
创建 Docker 组(如果不存在)
sudo groupadd docker -
将用户加入 Docker 组
sudo usermod -aG docker $USER如果你要添加其他用户,替换 $USER 为具体的用户名:
sudo usermod -aG docker your-username -
重新登录使权限生效
执行以下命令让组权限立即生效,或者注销并重新登录:
newgrp docker -
测试是否生效
docker ps
如果能正确输出 Docker 运行中的容器列表,而 不需要 sudo,则说明配置成功。
方法 2:使用 sudo 运行 Docker(不推荐)
如果你不想修改用户组,可以在每次执行 Docker 命令时使用 sudo:
sudo docker build -t myimage .
但这样使用起来不方便,并且某些 CI/CD 或自动化脚本可能不兼容 sudo,所以 不推荐 这种方式。
方法 3:使用 Docker Rootless 模式
Docker 提供了 Rootless Mode(无特权模式),允许普通用户运行 Docker 容器,而无需 root 权限。
-
安装 Rootless Docker
curl -fsSL https://get.docker.com/rootless | sh -
设置环境变量
安装完成后,执行以下命令来配置环境变量:
export PATH=$HOME/bin:$PATH export DOCKER_HOST=unix://$XDG_RUNTIME_DIR/docker.sock让这些配置永久生效:
echo 'export PATH=$HOME/bin:$PATH' >> ~/.bashrc echo 'export DOCKER_HOST=unix://$XDG_RUNTIME_DIR/docker.sock' >> ~/.bashrc source ~/.bashrc -
启动 Rootless Docker
systemctl --user start docker
Rootless 模式适用于不允许修改系统用户组的环境,比如某些企业级服务器。
总结
| 方法 | 适用场景 | 推荐级 |
|---|---|---|
添加用户到 docker 组 | 适用于大多数情况,安全且便捷 | ⭐⭐⭐⭐⭐(推荐) |
使用 sudo 运行 Docker | 适用于临时使用,但不够方便 | ⭐⭐⭐(不推荐) |
| Docker Rootless 模式 | 适用于不能修改用户组的环境 | ⭐⭐⭐⭐ |
最佳实践
如果你的服务器上有多个开发人员共用 Docker,建议使用 docker 组方式,这样既安全又方便。
你可以使用以下命令快速完成设置:
sudo groupadd docker
sudo usermod -aG docker $USER
newgrp docker
docker ps # 测试是否生效
如果 docker ps 仍然报错,尝试 重新登录系统 或 重启 Docker:
sudo systemctl restart docker
这样,你的非 root 用户就可以 直接运行 Docker 并构建镜像 了!🚀