In my specific case, I was trying to build my node package with the node docker image so that I wouldn't have to install npm on the deployment server. It worked well until, outside out the container and on the host machine, I tried to move a file into the node_modules directory that the node docker image had created, to which I was denied permissions because it was owned by root. I realized that I could work around this by copying the directory out of the container onto the host machine. Via docker docs...

的UID:GID创建复制到本地计算机的文件 调用docker cp命令的用户。

这是我用来更改docker容器中创建的目录的所有权的bash代码。

NODE_IMAGE=node_builder
docker run -v $(pwd)/build:/build -w="/build" --name $NODE_IMAGE node:6-slim npm i --production
# node_modules is owned by root, so we need to copy it out 
docker cp $NODE_IMAGE:/build/node_modules build/lambda 
# you might have issues trying to remove the directory "node_modules" within the shared volume "build", because it is owned by root, so remove the image and its volumes
docker rm -vf $NODE_IMAGE || true

如果需要，您可以使用第二个docker容器删除该目录。

docker run -v $(pwd)/build:/build -w="/build" --name $RMR_IMAGE node:6-slim rm -r node_modules

一个非常优雅的解决方案可以在官方的redis图像和一般的所有官方图像中看到。

详细描述:

首先创建redis用户/组

如Dockerfile评论所示:

首先添加我们的用户和组，以确保他们的id被一致分配，不管添加什么依赖项

使用Dockerfile安装gosu

Gosu是su / sudo的替代品，便于从根用户降级。(Redis总是与Redis用户一起运行)

配置/data卷，设置为workdir

通过使用volume /data命令配置/data卷，我们现在有了一个单独的卷，它可以是docker卷，也可以绑定挂载到主机目录。

将其配置为工作目录(workdir /data)将使其成为执行命令的默认目录。

添加docker-entrypoint文件，并将其设置为ENTRYPOINT，默认CMD redis-server

这意味着所有容器的执行都将通过docker-entrypoint脚本运行，默认情况下要运行的命令是redis-server。

docker-entrypoint是一个脚本，它做了一个简单的功能:改变当前目录(/data)的所有权，并从根用户降级到redis用户以运行redis-server。(如果执行的命令不是redis-server，则直接执行该命令。)

这有以下影响

如果/data目录被绑定挂载到主机上，docker-entrypoint将在redis用户下运行redis-server之前准备用户权限。

这使您可以轻松地在任何卷配置下运行容器，无需进行任何设置。

当然，如果您需要在不同映像之间共享卷，则需要确保它们使用相同的userid/groupid，否则最新的容器将劫持前一个容器的用户权限。

这里有一种方法，它仍然使用纯数据容器，但不要求它与应用程序容器同步(就具有相同的uid/gid而言)。

假设，你想在容器中运行一些应用程序作为非根$USER没有登录shell。

在Dockerfile中:

RUN useradd -s /bin/false myuser

# Set environment variables
ENV VOLUME_ROOT /data
ENV USER myuser

...

ENTRYPOINT ["./entrypoint.sh"]

然后，在entrypoint.sh中:

chown -R $USER:$USER $VOLUME_ROOT
su -s /bin/bash - $USER -c "cd $repo/build; $@"

和你一样，我正在寻找一种将用户/组从主机映射到docker容器的方法，这是迄今为止我发现的最短的方法:

  version: "3"
  services:
    my-service:
      .....
      volumes:
        # take uid/gid lists from host
        - /etc/passwd:/etc/passwd:ro
        - /etc/group:/etc/group:ro
        # mount config folder
        - path-to-my-configs/my-service:/etc/my-service:ro
        .....

这是从docker-compose.yml中提取的。

其思想是(以只读模式)将用户/组列表从主机挂载到容器，这样容器启动后，它将具有与主机相同的uid->用户名(以及组)匹配。现在，您可以在容器中为服务配置用户/组设置，就像它在您的主机系统上工作一样。

当您决定将容器移动到另一个主机时，您只需要将服务配置文件中的用户名更改为该主机上的用户名。

更新2016-03-02:从Docker 1.9.0开始，Docker已经命名了卷来取代数据容器。下面的答案，以及我链接的博客文章，在如何思考docker内部的数据方面仍然有价值，但考虑使用命名卷来实现下面描述的模式，而不是数据容器。

我认为解决这个问题的规范方法是使用仅数据容器。使用这种方法，对卷数据的所有访问都是通过使用数据容器中的-volumes-的容器进行的，因此主机uid/gid无关紧要。

For example, one use case given in the documentation is backing up a data volume. To do this another container is used to do the backup via tar, and it too uses -volumes-from in order to mount the volume. So I think the key point to grok is: rather than thinking about how to get access to the data on the host with the proper permissions, think about how to do whatever you need -- backups, browsing, etc. -- via another container. The containers themselves need to use consistent uid/gids, but they don't need to map to anything on the host, thereby remaining portable.

这对我来说也相对较新，但如果您有特定的用例，请随意评论，我将尝试扩展答案。

更新:对于注释中的给定用例，您可能有一个image some/graphite来运行graphite，并有一个image some/graphitedata作为数据容器。因此，忽略端口等，image some/graphitedata的Dockerfile是这样的:

FROM debian:jessie
# add our user and group first to make sure their IDs get assigned consistently, regardless of other deps added later
RUN groupadd -r graphite \
  && useradd -r -g graphite graphite
RUN mkdir -p /data/graphite \
  && chown -R graphite:graphite /data/graphite
VOLUME /data/graphite
USER graphite
CMD ["echo", "Data container for graphite"]

构建并创建数据容器:

docker build -t some/graphitedata Dockerfile
docker run --name graphitedata some/graphitedata

some/graphite Dockerfile也应该得到相同的uid/gid，因此它可能看起来像这样:

FROM debian:jessie
# add our user and group first to make sure their IDs get assigned consistently, regardless of other deps added later
RUN groupadd -r graphite \
  && useradd -r -g graphite graphite
# ... graphite installation ...
VOLUME /data/graphite
USER graphite
CMD ["/bin/graphite"]

它的运行方式如下:

docker run --volumes-from=graphitedata some/graphite

好了，现在我们得到了石墨容器和与正确的用户/组相关联的数据容器(注意，您也可以为数据容器重用some/graphite容器，在运行时覆盖entrypoing/cmd，但将它们作为单独的图像IMO更清楚)。

现在，假设您想要编辑数据文件夹中的内容。因此，与其将卷绑定挂载到主机并在那里编辑它，不如创建一个新容器来完成这项工作。我们叫它some/graphitetools。我们还可以创建适当的用户/组，就像some/graphite图像一样。

FROM debian:jessie
# add our user and group first to make sure their IDs get assigned consistently, regardless of other deps added later
RUN groupadd -r graphite \
  && useradd -r -g graphite graphite
VOLUME /data/graphite
USER graphite
CMD ["/bin/bash"]

你可以通过继承Dockerfile中的一些/graphite或一些/ graphitdata使其成为DRY，或者只是重用现有的一个映像(必要时重写entrypoint/cmd)而不是创建一个新的映像。

现在，你只需运行:

docker run -ti --rm --volumes-from=graphitedata some/graphitetools

然后是vi /data/graphite/whatever。txt。这可以很好地工作，因为所有容器都有相同的石墨用户和匹配的uid/gid。

因为从来没有从主机挂载/data/graphite，所以不关心主机uid/gid如何映射到graphite和graphitetools容器中定义的uid/gid。这些容器现在可以部署到任何主机上，并且它们将继续完美地工作。

这样做的好处是，graphitetools可以有各种有用的实用程序和脚本，现在您还可以以可移植的方式部署它们。

更新2:写完这个答案后，我决定写一篇关于这种方法的更完整的博客文章。我希望这能有所帮助。

UPDATE 3: I corrected this answer and added more specifics. It previously contained some incorrect assumptions about ownership and perms -- the ownership is usually assigned at volume creation time i.e. in the data container, because that is when the volume is created. See this blog. This is not a requirement though -- you can just use the data container as a "reference/handle" and set the ownership/perms in another container via chown in an entrypoint, which ends with gosu to run the command as the correct user. If anyone is interested in this approach, please comment and I can provide links to a sample using this approach.

我的方法是检测当前的UID/GID，然后在容器中创建这样的用户/组，并在他下面执行脚本。因此，他将创建的所有文件都将与主机上的用户匹配:

# get the location of this script no matter what your current folder is, this might break between shells so make sure you run bash
LOCAL_DIR="$( cd "$( dirname "${BASH_SOURCE[0]}" )" && pwd )"

# get current IDs
USER_ID=$(id -u)
GROUP_ID=$(id -g)

echo "Mount $LOCAL_DIR into docker, and match the host IDs ($USER_ID:$GROUP_ID) inside the container."

docker run -v $LOCAL_DIR:/host_mount -i debian:9.4-slim bash -c "set -euo pipefail && groupadd -r -g $GROUP_ID lowprivgroup && useradd -u $USER_ID lowprivuser -g $GROUP_ID && cd /host_mount && su -c ./runMyScriptAsRegularUser.sh lowprivuser"