docker 컨테이너로 매핑된 볼륨에 컨테이너 측의 사용자 ID를 유지하면서 복사하는 방법
docker 컨테이너 실행 시 -v로 연결한 볼륨에 파일을 복사하고 싶다면, 1) 호스트 측의 매핑된 디렉터리를 선택하거나, 2) (ssh가 컨테이너 내부에 중첩 설치되었다면) docker에 매핑된 디렉터리를 선택해 복사할 수 있습니다. (물론, 대개의 경우에는 편의상 1번 방법을 선택할 것입니다. ^^)
일반적으로 docker 호스팅 서버에는 /var/lib/docker/volumes 디렉터리에 컨테이너의 볼륨들이 매핑되는데요, 따라서 예를 들어 "docker run ... -v test:/app/test"라고 실행했다면 호스트 측에 /var/lib/docker/volumes/test 디렉터리가 놓이게 됩니다. 즉, 그 디렉터리로 복사하면 컨테이너 내에서도 /app/test 경로를 이용해 그 파일을 사용할 수 있게 됩니다.
그런데, 이게 사용자 권한과 묶이면 좀 복잡해집니다.
일례로, docker를 호스팅하는 서버로 Microsoft SQL Server의 데이터베이스 파일을 복사했는데요,
// 192.168.100.50: docker 호스팅 서버
// /var/lib/docker 디렉터리는 root 계정만 접근 가능
scp mydb.mdf root@192.168.100.50:/var/lib/docker/volumes/test/_data/data
저걸
SQL Server가 실행된 컨테이너 내에서 attach하려고 시도했더니 권한 오류가 발생합니다. 원인 파악을 해보니,
$ sudo ls -l /var/lib/docker/volumes/mssql/_data/data/
total 901616
-rw-r----- 1 10001 root 256 Mar 9 2020 Entropy.bin
-rw-r----- 1 root root 15990784 Aug 11 14:40 nopcommerce316.mdf
제가 복사한 파일은 (ssh 연결 시 사용한 계정인) "root"로 돼 있고 다른 파일은 "10001"이라는 사용자로 돼 있습니다. 여기서 "10001"은 docker 컨테이너 내부의 사용자 ID인데요, 가령 docker exec로 접속해 id 명령을 내렸을 때의 uid 값에 해당합니다.
mssql@7a4e381478b0:/$ id
uid=10001(mssql) gid=0(root) groups=0(root)
리눅스의 경우, ls -l 명령어로 대상 디렉터리를 열거할 때 cgroup이 달라지는 경우라면 (사용자 이름이 아닌) 사용자 ID를 출력 결과로 보여주는 특징이 있습니다.
결국, root 계정만 "-rw-r-----" 권한이 있기 때문에 컨테이너 내부의 SQL Server 프로세스는 저 파일을 접근할 수 없게 된 것입니다.
(리알못이라) 아직 잘은 모르겠지만, 딱히 cgroup이 다른 저 파일의 권한을 바꿀 방법은 없는 것 같습니다. 즉, 위의 경우 현재 "root" 계정에서 "10001" 사용자에 해당하는 컨테이너 내부의 mssql 사용자로 권한을 바꾸는 명령어가 없습니다. 물론, other에 대해 rw 권한을 주는 방법도 있지만 기왕이면 자연스럽게 계정 정보가 연동되는 것이 좋을 것 같아 다른 방법을 찾아봤습니다.
제가 찾은 방법은, 일단 해당 파일을 docker cp를 이용해 컨테이너 내부에 복사하는 것으로 시작했습니다. 여기서 또 하나 재미있는 것은, 그냥 곧바로 대상 파일을 복사하면,
$ docker ps | grep mssql
7a4e381478b0 mcr.microsoft.com/mssql/server:2019-GA-ubuntu-16.04 "/opt/mssql/bin/perm…" 5 years ago Up 5 days 0.0.0.0:1433->1433/tcp, :::1433->1433/tcp
$ docker cp /tmp/nopcommerce316.mdf 7a4e381478b0:/var/opt/mssql/data
현재 로그인한 사용자 계정으로 복사가 됩니다. 예를 들어, 위의 명령어를 실행했던 ssh 세션의 계정이 "testusr"라면, 복사한 파일도 "testusr" 사용자 권한으로 나옵니다.
// docker 호스트 측에서 확인한 권한
$ sudo ls -l /var/lib/docker/volumes/mssql/_data/data/
total 884784
...[생략]...
-rw-rw-r-- 1 testusr testusr 15990784 Aug 11 14:39 nopcommerce316.mdf
-rw-r----- 1 10001 root 8388608 Aug 6 14:04 tempdb2.ndf
// 컨테이너 내부에서 확인한 권한 (호스트 측 testusr 사용자의 uid 값이 1000인 경우)
$ ls -l /app/test
-rw-rw-r-- 1 1000 1000 15990784 Aug 11 05:39 nopcommerce316.mdf
-rw-r----- 1 mssql root 8388608 Aug 6 05:04 tempdb.mdf
원했던 결과가 아닌데요, 그래서 이거저거 하다 보니 우회 방법을 알게 되었습니다. 가령, 두 번 복사를 하는 식으로 하면 원하는 권한 설정이 되었는데요, 예를 들어, 우선 컨테이너 내부에 복사를 하는 것은 맞는데 대상 디렉터리가 아닌 다른 디렉터리에 복사하는 것입니다.
// 대상 컨테이너의 임시 디렉터리로 복사
$ docker cp /tmp/nopcommerce316.mdf 7a4e381478b0:/var
Successfully copied 16MB to 7a4e381478b0:/var
그다음, 컨테이너 내부의 shell 환경에서 원래 복사하려고 했던 디렉터리로 재차 복사를 합니다.
// 컨테이너 내부에서 복사 명령어 실행
$ cd /app/test
$ cp /var/nopcommerce316.mdf .
그럼 호스트 측에서도,
$ sudo ls -l /var/lib/docker/volumes/mssql/_data/data/
total 950320
...[생략]...
-rw-r--r-- 1 10001 root 15990784 Aug 11 15:09 nopcommerce316.mdf
-rw-r----- 1 10001 root 8388608 Aug 6 14:04 tempdb2.ndf
...[생략]...
컨테이너 내부에서도,
// 컨테이너 호스트 측에서 확인
$ ls -l
total 884784
...[생략]...
-rw-r--r-- 1 mssql root 15990784 Aug 11 06:09 nopcommerce316.mdf
-rw-r----- 1 mssql root 8388608 Aug 6 05:04 tempdb.mdf
...[생략]...
다른 파일들과 동일하게 사용자 권한이 나옵니다.
[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]