Docker rootless + NFS-en megosztott volume-ok + chown: changing ownership = operation not permitted

Na most akkor a  /home/docker_volumes/mongo_db mar letre lett hozva es a jogosultsaga a mongodb container userenek a UI-javal lett megadva (ami ezek szerint 999)? Jol ertem?

Amugy nem ertem mi a baj azzal, ha letrehozol NFS docker volumeokat es azokat csatolod fel es nem az OS local konyvtarait, amik amugy az NFS-en vannak. 

docker volume create --driver local --opt type=nfs  --opt o=addr=[nfs-ip-address],rw --opt device=:/home/docker_volumes/mongo_db mongodb_vol

(a fentit a docker composban is meg tudod csinalni es akkor nem kell elore megcsinalni)

Aztan ezt mountolod fel mint "source: mongodb_vol"

A masik, hogy ha hozzafereseket kell allitani millio kulobozo usernek akkor kapcsold be az NFS-en az ACL-t es azzal adj inkabb jogosultsagokat a filerendszeren a konyvtaraknak es hagyd hogy az NFS ezeket figyelje.

Az első problémát én a jogosultság kezelésben és az userek "felfogásábban" látom.

A docker_user illúzió. A dockerd daemon-nak root userrel kell futnia, hogy tudjon csatolni. El kell indítania a konténeren belüli processzt - olyan userrel, ameylyet a konténer kért, ha semmit nem mondott, akkor root userrel fut a processz. Tehát ezen a ponton a dockerd daemon root userként fut, a konténeren belüli processz meg olyan userrel, amilyet a konténer kér. Esélyesen ezek egyike sem a doker_user.

Olyat lehet csinálni, hogy kinevezek egy usert, akinek jogot adok arra, hogy a dockerd daemon socketjét írhassa is és így kommunikáljon a dokerd-vel utsítást adjon különböző konténerekkel kapcsolatos műveletekre - de ez teljesen más irány. (A hátterében az lehet, hogy így megse root userrel kell docker parancsokat kiadni.)

Tehát a jogosultság kezelés erősen eltérő, ennek megfelelően esélyesen az NFS megosztásnál is hiába kap docker_user jogot adott mappára, a procssz nem a docker_user nevében fog futni.

A másik csavar a VOLUME kezelés. Az első lehetőség, hogy a dockerre bízod. Ez azért másabb,mint a többi, mert ha a konténer definíióban ez a mappa nem üres és a docker első alkalommal lövi fel a konténert ,akkor a konténeren belül a VOLUME alatti mappa tartalommal inicializálja a frissen létre hozott VOLUME-ot - ugyanez ha bind-mountot használsz, vagy hálózati csatolást végzel, akkor ez elmarad, ha a VOLUME-on induláskor már lennie kell adatnak, akkor az a te feladatod, hogy elhelyezd ott.

A másik: a docker ismeri az nfs csatolást - tehát fölösleges becsatolni az alapgépen (még akkor is, ha ez az "alapgép" valójában csupán egy VM egy  ProcxMox alatt), hanem a VOLUME kapcsán eleve azt kell megmondani, hogy ez egy hálózati megosztás, amely adott helyen érhető el. (Erre már van példa példa az első hozzászólásban.)

En hasonlokepp hasznalok egy 3 nodeos swarm-ot. En (ahogy itt irtak) a Docker en beluli, beepitett NFS-el hozom letre a volume-okat. 

Nekem akkor volt hasonlo jogosultsag hibam, ha az NFS servert V3-al hasznaltam. V4-el ok lett minden.

Side note. Nagyon gondold at, hogy DB-t teszel NFS-re!! en ezzel szopok regota.. van egy postgresql, ami egy NFSv4-en csucsul (v3-on amugy nem is ment) de folyton ossze fossa magat.. A neten 100+1 helyen le van iva hogy NE CSINALD, de persze en azert is (meg jelenleg meg alternativam sincs egyeb shared storage-re...iSCSI-n gondolkodom, de nem talalom a doksiban, hogyan kell dockeren belul felcsatolni ... Pedig peldakban szerepel.)

Amugy ha ezzel kapcsolatban van valakinek otlete (marmint  hogyan lehet a stabilitason javitani) azt orommel fogadom :) Az NFS server egy TrueNAS core.

Bár nem válasz a kérdésre, de valamelyest kapcsolódik: ne használj NFS-t adatbázis jellegű file-ok (mint pl. mongodb) tárolására.