Отказано в доступе для mkdir внутри контейнера django Docker при запуске collectstatic

Question

Я изменил стандартный производственный шаблон django-cookiecutter, чтобы веб-сервер caddy обслуживал статические файлы.Я использую тома для сопоставления каталогов ./static в контейнерах django и caddy через каталог host ./static, но я получаю ошибку разрешений, когда docker выполняет python manage.py collectstatic --noinput, покапытаясь создать подпапку ./static.

Однако, если я не переключаюсь на пользователя django в Dockerfile контейнера django, следовательно, выполняю collectstatic от имени пользователя root, все работает отлично.Я предполагаю, что django пользователю в контейнере не разрешено писать в каталог хоста, даже несмотря на то, что chown -R django /app/static был успешно выполнен.

Трассировка (последний последний вызов):
Файл "/app/manage.py", строка 30, в <\ module>
execute_from_command_line (sys.argv)
...
Файл "/usr/local/lib/python3.6/site-packages / collectfast / management / commands / collectstatic.py ", строка 111, в файле_копии
self.do_copy_file (args)
Файл" /usr/local/lib/python3.6/site-packages/collectfast/management / commands / collectstatic.py ", строка 100, в файле do_copy_file
path, prefixed_path, source_storage)
Файл" /usr/local/lib/python3.6/site-packages/django/contrib/staticfiles/management/commands/collectstatic.py ", строка 354, в copy_file
self.storage.save (prefixed_path, source_file)
Файл" /usr/local/lib/python3.6/site-packages/django/core/files / storage.py ", строка 49, в save
вернуть self._save (имя, содержимое)
File" / usr / local / lib / python3.6 / site-packages / django / core / files / storage.py ", строка 236, в _save
os.makedirs (каталог)
Файл" /usr/local/lib/python3.6/os.py ", строка 220, в македирах
mkdir (имя, режим)
PermissionError:
[Errno 13] В доступе отказано: '/ app / static / sass'

Iпопробовал chown -R systemd-timesync:root static внутри хоста, предварительно создав папку ./static внутри хоста в качестве пользователя root и добавив RUN mkdir /app/static && chown -R django /app/static в Dockerfile контейнера django (для выполнения от имени пользователя контейнера).

docker-compose.yml

version: '3'

volumes:
  production_postgres_data: {}
  production_postgres_data_backups: {}
  production_caddy: {}

services:
  django:
    build:
      context: .
      dockerfile: ./compose/production/django/Dockerfile
    volumes:
      - ./static:/app/static
    depends_on:
      - postgres
      - redis
    env_file:
      - ./.envs/.production/.django
      - ./.envs/.production/.postgres
    command: /start

  postgres:
    build:
      context: .
      dockerfile: ./compose/production/postgres/Dockerfile
    volumes:
      - production_postgres_data:/var/lib/postgresql/data
      - production_postgres_data_backups:/backups
    env_file:
      - ./.envs/.production/.postgres

  caddy:
    build:
      context: .
      dockerfile: ./compose/production/caddy/Dockerfile
    depends_on:
      - django
    volumes:
      - production_caddy:/root/.caddy
      - ./static:/srv/static
    env_file:
      - ./.envs/.production/.caddy
    ports:
      - "0.0.0.0:80:80"
      - "0.0.0.0:443:443"

  redis:
    image: redis:3.2

Контейнер django Dockerfile

FROM nickgryg/alpine-pandas

ENV PYTHONUNBUFFERED 1

RUN apk update \
  # psycopg2 dependencies
  && apk add --virtual build-deps gcc python3-dev musl-dev \
  && apk add postgresql-dev \
  # Pillow dependencies
  && apk add jpeg-dev zlib-dev freetype-dev lcms2-dev openjpeg-dev tiff-dev tk-dev tcl-dev \
  # CFFI dependencies
  && apk add libffi-dev py-cffi \
  # lxml dependencies
  && apk add libxml2-dev libxslt-dev

RUN addgroup -S django \
    && adduser -S -G django django

# Requirements are installed here to ensure they will be cached.
COPY ./requirements /requirements
RUN pip install --no-cache-dir -r /requirements/production.txt \
    && rm -rf /requirements

COPY ./compose/production/django/entrypoint /entrypoint
RUN sed -i 's/\r//' /entrypoint
RUN chmod +x /entrypoint
RUN chown django /entrypoint

COPY ./compose/production/django/start /start
RUN sed -i 's/\r//' /start
RUN chmod +x /start
RUN chown django /start

COPY . /app

RUN chown -R django /app

USER django

WORKDIR /app

ENTRYPOINT ["/entrypoint"]

Сценарий запуска контейнера django

#!/bin/sh

set -o errexit
set -o pipefail
set -o nounset

python /app/manage.py collectstatic --noinput
/usr/local/bin/gunicorn config.wsgi --bind 0.0.0.0:5000 --chdir=/app

Я не хочу, чтобы мой контейнер выполнялся как root, поэтому я ищулюбые решения / идеи.

Answer 1

Наконец-то нашли обходной путь, отличный от выполнения collectstatic как root. Как я и подозревал, проблема была в разрешениях докера, и мы должны предоставить Docker разрешения на создание папок в папке / static, которая принадлежит пользователю django внутри контейнера django Docker. Мы можем сделать это, зная, что userId одинаково между хост-системой и контейнером, запустив

docker-compose run django id -u django

Выводит userId пользователя django в системе. Например, uid - это 100. Затем запустите (не уверен насчет gid, но он работает, когда gid = uid + 1)

chown -R 100:101 /static

Если мы запустим ls -lh, мы увидим, что папка static принадлежит systemd-network, что является своего рода пользователем Docker, сопоставленным с uid = 100

drwxr-xr-x  4 root            root            4.0K Sep 27 11:23 compose
drwxr-xr-x  3 root            root            4.0K Nov 27 12:09 config
drwxr-xr-x  3 root            root            4.0K Nov 14 02:04 docs
drwxr-xr-x  2 root            root            4.0K Sep 27 11:23 locale
-rwxr-xr-x  1 root            root            1.1K Sep 27 12:56 manage.py
...
drwxr-xr-x 11 systemd-network systemd-journal 4.0K Nov 21 22:15 static
drwxr-xr-x  2 root            root            4.0K Nov 27 13:37 utils

Это должно решить проблему. Помните, что после перестройки контейнера uid из django пользователь может измениться, и ошибка появится снова, поэтому вам придется повторить это.

Каждый, кто немного больше понимает, как работает Docker, может объяснить, что здесь происходит, и я приму его ответ.