Docker Image を自作する (1)

Ubuntu 24.04LTS + 新規ユーザ

このページ内での表記:
「ホストOSの対話環境」は背景色を黄色(lightyellow)で表す。
「Conainer 内の root 権限の対話環境」は背景色を水色(azure)であらわす。
「Conainer 内の一般ユーザ権限の対話環境」は背景色を赤色(#ffeeee)であらわす。
「他のPCの対話環境」は紫色(#eeeeff)で表す。

ubuntu24.04LTS をベースとし、新規ユーザを作成する

方針

• ゲストOS は Ubuntu 24.04LTS
• Image から Container を生成したとき新規ユーザを作成する。(デフォルト値: guest)
• Container 起動時にコマンドが与えられた場合は、フォアグラウンドで実行する。
• 生成する Docker Image 名は ubuntu24_user

作成手順

1. 作業用フォルダを作成する。

  $ mkdir -p ~/doc/docker/ubuntu24_user
  $ cd ~/doc/docker/ubuntu24_user

2. 作業用フォルダの中に Dockerfile を作成する。
• Dockerfile中の パスワード の部分は、推測されにくい文字列に必ず変更すること。
• Dockerfile 中の Run 命令は docker image を build する時に実行されるので、変数を使っていても build時の値で固定される。
• Container を生成する時点で変数の値を変更したいコマンド(たとえば、useradd )は、ENTRYPOINT で呼び出すシェルスクリプトの中で実行する。

Dockerfile

# ゲストOS: Ubuntu 24.04 LTS FROM ubuntu:24.04 # Change Your Own UNAME, UID, GID, PASS ENV UNAME=guest ENV UID=3000 ENV GID=3000 ENV PASS=パスワード # 必要なパッケージのインストール RUN apt-get update && \ DEBIAN_FRONTEND=noninteractive apt-get install -y \ sudo \ bash \ && rm -rf /var/lib/apt/lists/* # Copy Shell Script "entrypoint.sh" COPY entrypoint.sh /entrypoint.sh RUN chmod +x /entrypoint.sh ENTRYPOINT ["/entrypoint.sh"] CMD []

3. 作業用フォルダの中に entrypoint.sh を作成する。
• Dockerfile 中の ENTRYPOINT 命令で指定されたシェルスクリプト (= entrypoint.sh) は、Container が起動されるたびに実行される。
• Container の初回起動のときにだけ実行したいコマンドがある。そのため、初回の起動を "/var/app/.initialized" というファイルのファイルの有無で判断する。
• Container がホストOSのディレクトリを、新規ユーザのホームディレクトリの中にマウントすると、ホームディレクトリの所有権が root になってしまう。 この対策のために、ホームディレクトリの所有権を明示的にユーザに設定する。

entrypoint.sh

#!/bin/bash set -e if [ ! -f /var/app/.initialized ]; then ######## First Time ######## echo "First run. Setting up ..." mkdir -p /var/app touch /var/app/.initialized # ユーザーが存在しない場合のみ作成する if id "${UNAME}" &>/dev/null; then echo "User ${UNAME} already exists. Skipping creation." else # 同名グループが無ければ作成する if ! getent group "${UNAME}" &>/dev/null; then echo "Creating group ${UNAME} with GID=${GID}" groupadd -g ${GID} ${UNAME} else echo "Group ${UNAME} already exists. Skipping group creation." fi echo "Creating user ${UNAME} with UID=${UID}, GID=${GID}" useradd -m -u ${UID} -g ${GID} -s /bin/bash ${UNAME} echo "${UNAME}:${PASS}" | chpasswd usermod -aG sudo ${UNAME} fi # ホームディレクトリの Owner が root:root になることがあるので明示的に変更する。 chown -v ${UNAME}:${UNAME} /home/${UNAME} else ######## Second Time or Later ######## echo "Starting for the second time or later ..." fi # Execute Commands in CMD if [ "$#" -gt 0 ]; then exec "$@" else echo "No command provided. Starting bash ..." exec bash fi

4. Image を build する。

  $ docker build -t ubuntu24_user .
  ...
成功

5. 生成した Image を確認する

$ docker image ls
REPOSITORY      TAG       IMAGE ID       CREATED          SIZE
ubuntu24_user   latest    ac92161948dc   21 seconds ago   126MB
...

Container 用の永続的なファイルシステムを作成する

コンテナに永続的なファイルシステムを提供するために、1777 のパーミッションでフォルダを作っておく。 skicky bit が on (1777) のフォルダには、 「誰でもファイルを作成できるが、作成した本人だけがファイルを変更したり消したりできる」 という特徴がある。

$ sudo mkdir -p /home/docker         ← ディレクトリを作成する
$ sudo chmod 1777 /home/docker       ← 誰でもファイルを作成できるが、作成した本人にしか消去できないモードに設定する
$ ls -ld /home/docker                ← ディレクトリのsticky bit が on になっていることを確認する。
drwxrwxrwt 3 root root 4096  5月 06 17:57 /home/docker

Docker Contaner を生成する (1)

Image ubuntu24_user のデフォルトのユーザ情報を用いて、新しい Container ubuntu24-guest を生成する。

1. Image から Container を生成して起動する。ユーザ情報はデフォルト値 (guest) を利用する。 Container のファイルシステム内にホストOSのディレクトリをマウントする。

$ docker run --name ubuntu24-guest \
    -v /home/docker/guest:/mnt/hostos \
    -it ubuntu24_user

起動オプション
• --name: 生成する Container の名前は ubuntu24-guest
• -v: ホストOSの /home/docker/guest が Container の /mnt/hostos にマウントされる。

マウントポイント
ホストOS	ゲストOS
/home/docker/guest	/mnt/hostos

• -it: 対話モード。ホストOSの端末をそのまま、Container 内のbash との対話環境として使う。
• 使用する Docker Image は ubuntu24_user
2. Container を起動した対話環境が、そのまま Container 内で動作する bash との対話環境になる。root権限でloginした状態である。

First run. Setting up ...                                                 ←(Conainer内の対話環境)
Creating group guest with GID=3000
Creating user guest with UID=3000, GID=3000
ownership of '/home/guest' retained as guest:guest
No command provided. Starting bash ...
#              ← Container 内の対話環境 (root権限の bash) が動く

3. (重要) (Container 内で) 直ちに新規ユーザ guest のパスワードを変更する。

$ passwd　guest   
New password:                   ← 新しいパスワード を入力する。
Retype new password:            ← もう一度新しいパスワード を入力する。
passwd: password updated successfully

4. (Container 内で) Container 内の対話環境を調べる。

# whoami
root                                       ← root権限で動作している
# pwd
/                                          ← カレントディレクトリは '/'
# ls -ld /mnt/hostos
drwxr-xr-x 2 root root 4096 May  6 09:29 /mnt/hostos         ← ホストOSをマウントしたディレクトリ

5. (Container 内で) Container の状況を調べる。

# ls -ld /home/guest
drwxr-x--- 2 guest guest 4096 May  6 14:06 /home/guest
# ls -la /home/guest
total 20
drwxr-x--- 2 guest guest 4096 May  6 14:06 .
drwxr-xr-x 1 root  root  4096 May  6 14:06 ..
-rw-r--r-- 1 guest guest  220 Mar 31  2024 .bash_logout
-rw-r--r-- 1 guest guest 3771 Mar 31  2024 .bashrc
-rw-r--r-- 1 guest guest  807 Mar 31  2024 .profile

6. (Container 内で) Container 内に作成したユーザの状況を調べる。

# grep guest /etc/group
sudo:x:27:ubuntu,guest                         ← sudo グループにも追加されている
guest:x:3000:                                  ← グループID
# grep guest /etc/passwd
guest:x:3000:3000::/home/guest:/bin/bash       ← ユーザIDなど
# ls -ld /home/guest
drwxr-x--- 2 guest guest 4096 May  6 14:06 /home/guest         ← ホームディレクトリのパーミッション
# ls -la /home/guest
total 20
drwxr-x--- 2 guest guest 4096 May  6 14:06 .
drwxr-xr-x 1 root  root  4096 May  6 14:06 ..
-rw-r--r-- 1 guest guest  220 Mar 31  2024 .bash_logout         ← ホームディレクトリに自動で追加されたファイル群
-rw-r--r-- 1 guest guest 3771 Mar 31  2024 .bashrc
-rw-r--r-- 1 guest guest  807 Mar 31  2024 .profile

7. (Container 内で) Control-P + Control-Q を入するｔことで、Container 内の対話環境から抜けて、ホストOSの対話環境に戻る。

ここで^C (Control-C) などを入力して Container の対話環境を終了すると Container 自体の実行が終了してしまうので注意。

# ^P ^Q                              ← 'Control-P' + 'Control-Q' で Container を detatch　する。
$            ← ホストOSの対話環境に戻る

8. Container からマウントされるホスト OS の /home/docker/guest が存在しない場合は作成されている。 ホストOSにおけるファイルの権限は "docker run" を実行したホストOSのユーザ (nitta) の場合と、root の場合があるようだ(システムの設定状況依存)。

$ ls -ld /home/docker/guest
drwxr-xr-x 2 nitta nitta 4096  5月  2 16:28 /home/docker/guest

$ ls -ld /home/docker/guest
drwxr-xr-x 2 root root 4096  5月  6 18:29 /home/docker/guest

9. 起動した Container の様子を調べる。

$ docker container ls
CONTAINER ID   IMAGE           COMMAND            CREATED         STATUS         PORTS     NAMES
158d183c43e3   ubuntu24_user   "/entrypoint.sh"   6 seconds ago   Up 2 minutes             ubuntu24-guest

10. Container のログを調べる。

$ docker logs ubuntu24-guest
First run. Setting up ...
Creating group guest with GID=3000
Creating user guest with UID=3000, GID=3000
ownership of '/home/guest' retained as guest:guest
No command provided. Starting bash ...
root@3cac23972a28:/# whoami                         ← Container の対話環境の入出力はログに残っている
root
...

11. ホストOSのシェルを、Container の シェルに attachする。

$ docker attach ubuntu24-guest
#                              ← Container内のroot権限の対話環境にアクセスする

12. (Container内で) 追加したユーザにloginする。

# whoami
root                               ← まだroot権限だけど
# login guest        ← guest として login する
Password:           ← guest のパスワードを入力する(エコーバックされない)
Welcome to Ubuntu 24.04.2 LTS (GNU/Linux 6.11.0-25-generic x86_64)
...
$            ← guest 権限の対話環境となる

13. (Container 内の guest 権限で) ユーザ状態を調べる

$ whoami                   ← ユーザ名を調べる
guest
$ pwd                      ← ホームディレクトリのパスを表示する。
/home/guest

14. (Container 内の guest 権限で) 途中でホストOSに戻ることもできる

$ ^P ^Q       ← Control-P と Control-Q を順にタイプする
$       ← ホストOSの対話環境

15. ホストOSから Container に attach すると、先ほどの対話環境の続きとなる。

$ docker attach ubuntu24-guest

$       ← Containerのguest権限の対話環境

16. guest ユーザのシェルを終わるには、exit

$  exit  ← guest権限
#       ← Containerのroot権限の対話環境

17. (Container内で) root権限の対話環境を終了すると、Containerの実行も終了する。

$ exit
Connection to localhost closed.
$       ← ホストOSの対話環境

18. docker の状態を調べる。
実行中の Container の一覧には ubuntu24-guest は無いことがわかる。

$ docker container ls
CONTAINER ID   IMAGE     COMMAND   CREATED   STATUS    PORTS     NAMES

停止中の Container の一覧には存在する。

$ docker container ls -a
CONTAINER ID   IMAGE           COMMAND            CREATED       STATUS                     PORTS     NAMES
3cac23972a28   ubuntu24-user   "/entrypoint.sh"   3 hours ago   Exited (0) 7 seconds ago             ubuntu24-guest

Image はそのまま存在している。

$ docker image ls
REPOSITORY      TAG       IMAGE ID       CREATED       SIZE
ubuntu24-user   latest    758568c4f956   3 hours ago   81.4MB

19. [注意] Container を生成したときの環境変数は、名前と値のペアが Conainer 内に記録されている。したがって、パスワードのような重要な情報はできるだけ迅速に変更しておくことを推奨する。

$ docker inspect -f '{{.Config}}' ubuntu24_user
{   false false false map[] false false false \
[PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin \
UNAME=guest UID=3000 GID=3000 PASS=password\
] []  true  map[]  [/entrypoint.sh] false  [] \
map[org.opencontainers.image.ref.name:ubuntu org.opencontainers.image.version:24.04]   []}

Docker Contaner を生成する (2)

Image ubuntu24_user を用いて、 ユーザ情報を指定して新しい Container ubuntu24-nitta を生成する。

1. docker image として ubuntu24_user が存在している。

$ docker image ls
REPOSITORY      TAG       IMAGE ID       CREATED        SIZE
ubuntu24-user   latest    758568c4f956   17 hours ago   81.4MB

2. Image から Container を生成して起動する。下に示すのは新規ユーザ名を nitta とした例である。

$ docker run --name ubuntu24-nitta \
    -e UNAME=nitta -e UID=2000 -e GID=2000 -e PASS=新しいパスワード \
    -v /home/docker/nitta:/mnt/hostos \
    -it ubuntu24_user
First run. Setting up ...
Creating group nitta with GID=2000
Creating user nitta with UID=2000, GID=2000
ownership of '/home/nitta' retained as nitta:nitta
No command provided. Starting bash ...

起動オプション
• --name: 生成するcontainer の名前は ubuntu24-nitta
• -e: 変数に値を指定する

シェル変数名	値
UNAME	nitta
UID	2000
GID	2000
PASS	新しいパスワード

• -v: ホストOSの /home/docker/nitta が Container の/mnt/hostos にマウントされる。

マウントポイント
ホストOS	ゲストOS
/home/docker/nitta	/mnht/hostos

• 使用する image は ubuntu24_user
3. (Container 内で) Conainer を run したシェルで、そのまま Container の対話環境が動く。rootとして login した状態である。
4. (重要) (Container 内で) 直ちに新規ユーザ nitta のパスワードを変更する。

$ passwd　nitta   
New password:                   ← 新しいパスワード を入力する。
Retype new password:            ← もう一度新しいパスワード を入力する。
passwd: password updated successfully

5. (Container 内で) マウントしたホストOSのディレクトリを調べる。

# ls -ld /mnt/hostos
drwxr-xr-x 2 root root 4096 May  7 06:37 /mnt/hostos

6. (Container 内で) 新規ユーザ nittaのホームディレクトリについて調べる。

# ls -ld /home/nitta
drwxr-x--- 2 nitta nitta 4096 May  7 06:37 /home/nitta
# ls -la /home/nitta
total 20
drwxr-x--- 2 nitta nitta 4096 May  7 06:37 .
drwxr-xr-x 1 root  root  4096 May  7 06:37 ..
-rw-r--r-- 1 nitta nitta  220 Mar 31  2024 .bash_logout
-rw-r--r-- 1 nitta nitta 3771 Mar 31  2024 .bashrc
-rw-r--r-- 1 nitta nitta  807 Mar 31  2024 .profile

7. (Container 内で) 新規ユーザ nitta として login する。

# login nitta
Password:                      ← パスワードを入力する。エコーバックされない。
Welcome to Ubuntu 24.04.2 LTS (GNU/Linux 6.11.0-25-generic x86_64)
...
To run a command as administrator (user "root"), use "sudo ".
See "man sudo_root" for details.
# 

8. (Container 内 → ホストOS) 端末操作(Control-P + Control-Q)で、Container を動作させたままホストOSの対話環境に抜ける。

$ ^p ^q                    ← Container内の対話環境で Control-P  Control-Q を続けてタイプする。
$     ← ホストOSの対話環境に戻る

9. Docker Container の様子を調べると Container ubuntu24-user は動作中であることがわかる。(-l オプションなしの dockder container ls で表示されるので。)

$ docker container ls
CONTAINER ID   IMAGE           COMMAND            CREATED              STATUS              PORTS     NAMES
c45866de1d5d   ubuntu24_user   "/entrypoint.sh"   About a minute ago   Up About a minute             ubuntu24-nitta

$ docker container ls -a
CONTAINER ID   IMAGE           COMMAND            CREATED              STATUS                    PORTS     NAMES
c45866de1d5d   ubuntu24_user   "/entrypoint.sh"   About a minute ago   Up About a minute                   ubuntu24-nitta
3cac23972a28   ubuntu24_user   "/entrypoint.sh"   17 hours ago         Exited (0) 14 hours ago             ubuntu24-guest

10. Container からマウントされている ホストOS のディレクトリを調べる。

$ ls -ld /home/docker/nitta
drwxr-xr-x 2 root root 4096  5月  7 15:37 /home/docker/nitta