在用 alpine 构建一个运行静态编译的 nginx 的 docker 镜像时遇到的用户问题

This topic created in 2712 days ago, the information mentioned may be changed or developed.

Dockerfile 如下：

FROM ubuntu:latest AS build
LABEL author="fourstring"

ARG NGINX_VER=1.15.7
ARG NGINX_URL=http://nginx.org/download/nginx-${NGINX_VER}.tar.gz
ARG OPENSSL_VER=1.1.1a
ARG OPENSSL_URL=https://www.openssl.org/source/openssl-${OPENSSL_VER}.tar.gz
ARG PCRE_VER=8.42
ARG PCRE_URL=https://ftp.pcre.org/pub/pcre/pcre-${PCRE_VER}.tar.gz
ARG ZLIB_VER=1.2.11
ARG ZLIB_URL=https://zlib.net/zlib-${ZLIB_VER}.tar.gz
ARG NGINX_BUILD_PARAS='--prefix=/usr/local/nginx --with-cc-opt=-static --with-ld-opt=-static --with-threads --with-file-aio --with-http_ssl_module --with-http_v2_module --with-http_sub_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_stub_status_module --with-openssl=../openssl-${OPENSSL_VER} --with-pcre=../pcre-${PCRE_VER} --with-pcre-jit --with-zlib=../zlib-${ZLIB_VER}'
ARG APT_PACKAGES='build-essential wget tar upx'
ARG APT_REMOVE_PACKAGES='build-essential upx'
ARG MAX_THREADS=3

RUN groupadd -g 50000 www && \
    useradd -g 50000 -u 50000 -s /sbin/nologin www

RUN apt -y update && \
    apt -y install ${APT_PACKAGES} && \
    cd /usr/local/src && \
    wget ${ZLIB_URL} && \
    wget ${PCRE_URL} && \
    wget ${OPENSSL_URL} && \
    wget ${NGINX_URL} && \
    tar xzf nginx-${NGINX_VER}.tar.gz && \
    tar xzf openssl-${OPENSSL_VER}.tar.gz && \
    tar xzf zlib-${ZLIB_VER}.tar.gz && \ 
    tar xzf pcre-${PCRE_VER}.tar.gz && \
    cd nginx-${NGINX_VER} && \
    ./configure ${NGINX_BUILD_PARAS} && \
    make -j${MAX_THREADS} && \
    make install && \
    upx /usr/local/nginx/sbin/nginx && \
    mkdir -p /usr/local/nginx/conf/vhost 

FROM alpine

RUN adduser -g 50000 -u 50000 -s /sbin/nologin -D -H www 

COPY --from=build --chown=www:www /usr/local/nginx /usr/local/nginx
COPY nginx.conf /usr/local/nginx/conf
COPY xxx.conf /usr/local/nginx/conf/vhost

EXPOSE 80
EXPOSE 443
USER www
CMD [ "/usr/local/nginx/sbin/nginx","-g","daemon off;" ]

现在遇到了一些诡异的用户问题。

如果我不使用最后的USER www指令，那么会报错getpwnam("www") (No such file or directory)，由于一般使用不存在的用户运行 nginx 的报错并不会出现(No such file or directory)，我用 Google 搜索后找到一个解释说当使用指定的用户以外的用户运行 nginx 就会出现这个错误，加USER www指令后这个报错确实也消失了
但是由于使用低权限运行，nginx 无法使用 80 和 443 端口
1.里面提到的那个解释我也表示存疑，因为一般情况下 nginx 主进程需要以高权限开启，并不会报这样的错误

那么请问我应该如何处理这个用户问题？还是我对 Linux 或者 nginx 用户机制的理解有问题呢？谢谢

7 replies • 2018-12-09 13:54:28 +08:00

fourstring

Dec 8, 2018

另外直接使用 nobody 和 nogroup 运行也依然会出现上面的问题

Lax

Dec 8, 2018

看一下执行命令时的工作目录是什么。
手上没环境没法现在测了

fourstring

Dec 8, 2018

@Lax #2 把 CMD 换成了 pwd 命令，返回结果就是根目录

zbinlin

Dec 8, 2018

去掉
RUN groupadd -g 50000 www && \
useradd -g 50000 -u 50000 -s /sbin/nologin www

RUN adduser -g 50000 -u 50000 -s /sbin/nologin -D -H www

这两句，再把 `--chown=www:www` 也去掉，试试，还有 `USER www`

fourstring

Dec 9, 2018

@zbinlin #4 nginx: [emerg] getpwnam("nobody") failed (2: No such file or directory)
我觉得有点奇怪，如果说用自定义的用户不行的话为啥 nobody 也不行呢？我一开始怀疑是不同镜像里 uid 不一样，但是后来手动打开 ubuntu 和 alpine 镜像发现 nobody 用户的 uid 和 gid 都是一样的

silverfox

Dec 9, 2018

我注意到你的 builder 是 ubuntu，而 runtime 是 alpine。

Ubuntu 用的是 glibc，Alpine 用的是 musl-c，它们之间应该不能直接共享二进制程序。
在 Ubuntu 上 getpwnam 是调用 nsswitch 来访问用户信息的，也许 Alpine 缺少 nsswitch 相关配置。
[REF]( https://unix.stackexchange.com/questions/386548/nginx-wont-start-getpwnamnginx-failed-in-etc-nginx-nginx-conf5#comment687896_386548)

推荐做法还是使用 Alpine 作为 builder，可以参考官方版本
https://github.com/nginxinc/docker-nginx/blob/1.15.7/mainline/alpine/Dockerfile

fourstring

Dec 9, 2018

@silverfox #6 谢谢您！