はじめに
Docker は、開発者がアプリケーションを簡単にパッケージ化し、デプロイできる強力なコンテナ化プラットフォームです。ユーザーが遭遇する一般的な問題の 1 つに、Docker でボリュームをマウントする際に発生する「permission denied」(アクセス権拒否)エラーがあります。このエラーは、コンテナがホストマシン上のファイルまたはディレクトリにアクセスするための適切な権限を持っていない場合に発生します。
この実験(Lab)では、Docker ボリュームを使用する際に発生するアクセス権拒否エラーを特定し、トラブルシューティングし、解決する方法を学びます。このチュートリアルを終える頃には、Docker ボリュームの仕組み、権限がそれらにどのように影響するか、そして適切な権限でボリュームをセットアップするためのベストプラクティスを理解できるようになります。
Docker ボリュームの理解
Docker ボリュームは、Docker コンテナによって生成および使用されるデータを永続化するためのメカニズムです。コンテナのライフサイクルとは独立してデータを保存できるため、アプリケーションデータのバックアップ、共有、および管理が容易になります。
Docker ボリュームを調べて、基本的なボリュームを作成し、その仕組みを理解することから始めましょう。
Docker ボリュームとは?
Docker ボリュームは、いくつかの重要な目的を果たします。
- コンテナが削除されてもデータを永続化する
- コンテナ間でデータを共有できる
- ストレージ管理をコンテナ管理から分離する
- コンテナの書き込み可能なレイヤーに書き込むよりも優れたパフォーマンスを提供する
Docker ボリュームの作成と管理
まず、簡単な Docker ボリュームを作成しましょう。
docker volume create my_volume
すべてのボリュームを一覧表示するには、以下を実行します。
docker volume ls
次のような出力が表示されるはずです。
DRIVER VOLUME NAME
local my_volume
新しく作成したボリュームを検査して、ホストマシン上のどこに保存されているかを確認しましょう。
docker volume inspect my_volume
出力には、ボリュームに関する詳細が表示されます。
[
{
"CreatedAt": "2023-XX-XX....",
"Driver": "local",
"Labels": {},
"Mountpoint": "/var/lib/docker/volumes/my_volume/_data",
"Name": "my_volume",
"Options": {},
"Scope": "local"
}
]
Mountpoint は、Docker がホストシステムにボリュームデータを保存する場所です。
ボリュームのマウントのテスト
ボリュームをマウントし、そこにいくつかのデータを書き込むコンテナを実行してみましょう。
docker run --rm -v my_volume:/data alpine sh -c "echo 'Hello from Docker!' > /data/test.txt"
このコマンドは以下を行います。
--rmフラグを使用して、一時的な Alpine Linux コンテナを作成します(終了時に削除されます)my_volumeをコンテナ内の/dataディレクトリにマウントします- "Hello from Docker!" をボリューム内の
test.txtというファイルに書き込みます
次に、別のコンテナから読み取って、データが永続化されていることを確認しましょう。
docker run --rm -v my_volume:/data alpine cat /data/test.txt
次のように表示されるはずです。
Hello from Docker!
これは、Docker ボリュームが異なるコンテナ間でデータを永続化する方法を示しています。
アクセス権拒否のシナリオの作成
基本的な Docker ボリュームの使用方法を理解したので、次に「permission denied」(アクセス権拒否)エラーを発生させるシナリオを作成しましょう。これにより、問題の原因と解決方法を理解できます。
テストディレクトリの設定
まず、ホストマシン上にディレクトリを作成し、特定の権限を持つファイルを作成します。
mkdir -p ~/project/docker-test
echo "This is a test file." > ~/project/docker-test/testfile.txt
chmod 700 ~/project/docker-test/testfile.txt
これらのコマンドは以下を行います。
- プロジェクトフォルダに
docker-testという名前のディレクトリを作成します - いくつかのコンテンツを含むテストファイルを作成します
- ファイルの権限を、所有者(あなた)のみが読み取り、書き込み、実行できるように設定します
ファイルの権限を確認しましょう。
ls -la ~/project/docker-test/
次のような出力が表示されるはずです。
total 12
drwxr-xr-x 2 labex labex 4096 XXX XX XX:XX .
drwxr-xr-x X labex labex 4096 XXX XX XX:XX ..
-rwx------ 1 labex labex 19 XXX XX XX:XX testfile.txt
ファイルの権限が 700 (-rwx------) に設定されていることに注意してください。これは、所有者(あなた)のみがファイルを読み取り、書き込み、または実行できることを意味します。
アクセス権拒否エラーの発生
次に、Docker コンテナ内からこのファイルにアクセスしてみましょう。
docker run --rm -v ~/project/docker-test:/app ubuntu cat /app/testfile.txt
次のようなエラーメッセージが表示されるはずです。
cat: /app/testfile.txt: Permission denied
これは、Docker コンテナがデフォルトでコンテナ内で root ユーザーとして実行されるためですが、その root ユーザーはホストユーザーと同じユーザー ID にマップされません。Docker がホストディレクトリをマウントすると、権限チェックは元のファイル権限とユーザー ID に基づいて引き続き適用されます。
問題の理解
アクセス権拒否エラーは、次の理由で発生します。
- ホスト上のファイルは、あなたのユーザー(labex)が所有しています
- ファイルの権限は 700 に設定されています(所有者のみがアクセスできます)
- Docker コンテナは、異なるユーザー ID(通常は root、つまり UID 0)として実行されます
- コンテナユーザーが「root」であっても、マウントされたボリュームにアクセスする際に、ホストの root ユーザーと同じ権限を持っていません
このことをよりよく理解するために、ユーザー ID を確認しましょう。
echo "Host user ID: $(id -u)"
docker run --rm ubuntu bash -c "echo Container user ID: \$(id -u)"
これは、ホストであなたのユーザー ID(おそらく 1000)として実行されている一方で、コンテナはユーザー ID 0(root)として実行されていることを示しています。コンテナ内で「root」であっても、ホストマウントされたファイルにアクセスする場合、コンテナの root ユーザーは依然としてホストの権限チェックの対象となります。
アクセス権拒否エラーの解決
アクセス権拒否エラーの原因を理解したので、次にそれを解決するためのいくつかの方法を探ってみましょう。
方法 1:ホスト上のファイル権限の変更
最も簡単な方法は、他のユーザーがアクセスできるように、ホスト上のファイルの権限を変更することです。
chmod 755 ~/project/docker-test/testfile.txt
これにより、権限が 755 (-rwxr-xr-x) に変更され、誰でもファイルを読み取り、実行できるようになりますが、所有者のみが変更できます。
コンテナからもう一度ファイルにアクセスしてみましょう。
docker run --rm -v ~/project/docker-test:/app ubuntu cat /app/testfile.txt
これで、ファイルの内容が表示されるはずです。
This is a test file.
これは、ファイルがホストシステム上の「others」(コンテナのユーザーを含む)によって読み取り可能になったためです。
方法 2:--user フラグの使用
もう一つの方法は、Docker に、ホストユーザーと同じユーザー ID でコンテナを実行するように指示することです。
## Reset the file permissions to be restrictive
chmod 700 ~/project/docker-test/testfile.txt
## Get your user ID and group ID
USER_ID=$(id -u)
GROUP_ID=$(id -g)
## Run the container with your user ID
docker run --rm --user $USER_ID:$GROUP_ID -v ~/project/docker-test:/app ubuntu cat /app/testfile.txt
これで、制限的な権限にもかかわらず、ファイルの内容を読み取ることができるはずです。
This is a test file.
これは、次の理由で機能します。
- ホストユーザーと同じユーザー ID でコンテナを実行します
- ファイルの権限により、そのユーザー ID へのアクセスが許可されます
- Docker はユーザー ID をコンテナのプロセスに渡します
--user フラグは、ホストファイルで制限的な権限を維持する必要がある場合に特に役立ちます。
方法 3:所有者とグループ ID の調整
この方法を示すために、別のユーザーが所有する新しいファイルを作成しましょう。
## Create a file as root
sudo bash -c 'echo "This is a root-owned file." > ~/project/docker-test/rootfile.txt'
sudo chown root:root ~/project/docker-test/rootfile.txt
sudo chmod 600 ~/project/docker-test/rootfile.txt
## Let's see what we have
ls -la ~/project/docker-test/
出力は次のようになります。
total 16
drwxr-xr-x 2 labex labex 4096 XXX XX XX:XX .
drwxr-xr-x X labex labex 4096 XXX XX XX:XX ..
-rw------- 1 root root 25 XXX XX XX:XX rootfile.txt
-rwx------ 1 labex labex 19 XXX XX XX:XX testfile.txt
次に、root として実行されているコンテナから、root が所有するファイルにアクセスしてみましょう。
docker run --rm -v ~/project/docker-test:/app ubuntu cat /app/rootfile.txt
内容が表示されるはずです。
This is a root-owned file.
これは、次の理由で機能します。
- コンテナはデフォルトで root(UID 0)として実行されます
- ファイルはホスト上で root(UID 0)が所有しています
- 権限(600)により、所有者はファイルを読み取ることができます
これは、名前だけでなく、実際のユーザー ID が重要であることを示しています。コンテナのユーザー ID がファイルの所有者 ID と一致する場合、所有者に必要な権限があれば、権限チェックは成功します。
Docker ボリュームの権限に関するベストプラクティス
権限の問題を解決する方法を理解したので、適切な権限で Docker ボリュームを設定するためのいくつかのベストプラクティスについて説明しましょう。
名前付きボリュームの使用
名前付きボリュームは Docker によって管理され、通常、バインドマウントよりも優れた権限処理を行います。名前付きボリュームを作成し、その動作を見てみましょう。
## Create a named volume
docker volume create data_volume
## Write to the volume as root in a container
docker run --rm -v data_volume:/data ubuntu bash -c "echo 'Created by root user' > /data/rootfile.txt && ls -la /data"
## Read from the volume as a non-root user
docker run --rm --user 1000:1000 -v data_volume:/data ubuntu cat /data/rootfile.txt
どちらの操作も、権限の問題なく機能することに気づくでしょう。これは、Docker が名前付きボリュームとバインドマウントで権限を異なる方法で処理するためです。
一貫した開発環境の作成
開発環境では、ホストとコンテナの間で一貫したユーザー ID を設定することがよく役立ちます。
## Create a Dockerfile for a development container
mkdir -p ~/project/dev-container
cat > ~/project/dev-container/Dockerfile << EOF
FROM ubuntu:22.04
ARG USER_ID=1000
ARG GROUP_ID=1000
RUN apt-get update && apt-get install -y sudo
## Create a non-root user with the same ID as the host user
RUN groupadd -g \${GROUP_ID} developer && \\
useradd -u \${USER_ID} -g \${GROUP_ID} -m -s /bin/bash developer && \\
echo "developer ALL=(ALL) NOPASSWD:ALL" > /etc/sudoers.d/developer
USER developer
WORKDIR /home/developer
CMD ["bash"]
EOF
## Build the development container
cd ~/project/dev-container
docker build -t dev-container .
これで、ホストディレクトリをマウントしてこのコンテナを実行できます。
docker run --rm -it -v ~/project/docker-test:/home/developer/project dev-container bash
コンテナ内で、ファイルにアクセスしてみましょう。
ls -la ~/project
cat ~/project/testfile.txt
これは、次の理由で機能します。
- コンテナユーザーは、ホストユーザーと同じ UID を持っています
- ファイルの権限により、その UID へのアクセスが許可されます
- マウントされたディレクトリは、同じ所有権と権限を維持します
一貫したボリューム設定に Docker Compose を使用する
より複雑なアプリケーションの場合、Docker Compose は一貫したボリューム構成を維持するのに役立ちます。簡単な Docker Compose ファイルを作成しましょう。
mkdir -p ~/project/compose-test
cat > ~/project/compose-test/docker-compose.yml << EOF
version: '3'
services:
app:
image: ubuntu
user: "\${UID}:\${GID}"
volumes:
- ./data:/app/data
command: ["bash", "-c", "echo 'Running as user \$(id -u):\$(id -g)' > /app/data/output.txt && cat /app/data/output.txt"]
volumes:
app_data:
EOF
## Create the data directory
mkdir -p ~/project/compose-test/data
## Run with your user ID
cd ~/project/compose-test
UID=$(id -u) GID=$(id -g) docker compose up
このアプローチは、次のことを行います。
- 環境変数を使用して、ユーザー ID とグループ ID を Docker Compose に渡します
- コンテナがあなたのユーザー ID で実行されるように設定します
- ユーザーがアクセスできるローカルディレクトリをマウントします
実行後、出力ファイルを確認します。
cat ~/project/compose-test/data/output.txt
次のように表示されるはずです。
Running as user 1000:1000
これは、コンテナがあなたのユーザー ID で実行され、マウントされたボリュームに書き込むための適切な権限を持っていたことを確認します。
まとめ
この実験では、Docker でボリュームをマウントする際に「アクセス権拒否」エラーを特定、トラブルシューティング、および解決する方法を学びました。カバーされた主なポイントは次のとおりです。
- Docker ボリュームの仕組みと、データ永続性に対する利点の理解
- ホストディレクトリをボリュームとしてマウントする際の権限問題の特定
- 複数のテクニックを使用した権限エラーの解決:
- ホスト上のファイル権限の調整
- 特定のユーザー ID でコンテナを実行する
- ファイルとディレクトリの所有権の管理
- 適切な権限で Docker ボリュームを設定するためのベストプラクティス:
- より良い権限処理のための名前付きボリュームの使用
- 一致するユーザー ID を持つ一貫した開発環境の作成
- 複雑なボリューム設定のための Docker Compose の使用
これらのスキルは、データ永続性と適切な権限管理が重要な現実世界のシナリオで Docker を使用するために不可欠です。Docker がマウントされたボリュームの権限をどのように処理するかを理解することで、一般的な問題を回避し、より堅牢なコンテナ化されたアプリケーションを作成できます。
