Docker容器权限难题，用gosu告别sudo滥用，有更优雅的解决方案吗？

你是否在写 Dockerfile 时遇到过这种进退两难的尴尬局面？ 场景 A：为了安全，你在 Dockerfile 里写了 USER app。结果容器启动时，应用因为没有权限创建日志文件或修改数据目录而直接崩溃。 场景 B：为了省事，你直接用 root 跑所有东西。虽然跑通了，但你的安全团队发来警告，或者在挂载宿主机卷（Volume）时，生成了一堆宿主机无法删除的 root 权限文件，搞得你焦头烂额。 场景 C：你想聪明一点，用 sudo 切换用户。结果发现容器无法优雅停止，信号（Signal）传不到应用进程，导致数据损坏。 如果这些场景让你感到膝盖中箭，那么请立刻停下手中的工作，花 5 分钟认识一下今天的主角——gosu。 什么是 gosu？为什么要用它？ 简单来说，gosu 是一个基于 Go 语言编写的工具，它的唯一使命就是：让你可以先以 root 身份做一些准备工作（比如修改文件权限），然后“降权”以指定用户的身份去执行最终的应用程序。 你可能会问：“这不就是 sudo 或者 su 吗？” 大错特错。 🍰 生活类比：换岗的保安 为了让你秒懂 su/sudo 和 gosu 的区别，我们来打个比方： 想象你经营一家银行（容器），你是银行经理（Root），拥有所有钥匙。你需要让**柜员（普通用户）**去坐柜台工作。 使用 su 或 sudo： 你（经理）并没有离开，而是站在柜员身后盯着他。如果有人来打劫（发送停止信号 SIGTERM），劫匪是对着你喊话。但因为你是个中间人，柜员可能根本听不到劫匪的话，还在继续数钱，结果被“撕票”（强制杀死进程，数据丢失）。 技术解释：sudo 会启动一个新的子进程。你的应用不是 PID 1，它收不到 Docker 发出的停止信号。 使用 gosu： 你（经理）把钥匙交给柜员，帮他把椅子调整好，然后原地变身成了柜员，或者直接消失，把位置完全让给柜员。现在柜台里只有柜员一个人。 技术解释：gosu 使用了 exec 系统调用。它会用应用程序的进程替换掉当前的 shell 进程。你的应用由于“篡位”成功，直接变成了 PID 1，能够完美接收并处理所有信号。 🛠️ 动手实战：从 Dirty 到 Clean 光说不练假把式。我们来看看如何在 Docker 中正确使用 gosu。 1. 错误的写法（反面教材） 这是很多新手常犯的错误，试图用 su 切换用户： Bash #!/bin/bash # entrypoint.sh # 假设我们需要先把数据目录的所有权给 redis 用户 chown -R redis:redis /data # 错误示范：使用 su su redis -c "redis-server" 后果：当你运行 docker stop 时，Docker 会等待 10 秒然后强杀容器，因为 redis-server 收不到停止信号。 2. 正确的写法（Gosu 登场） 首先，我们需要在 Dockerfile 里安装 gosu。