從非root用戶運行Docker容器有兩種常見的方法：

1. 使用用戶命名空間（User Namespace）：用戶命名空間是Linux內(nèi)核提供的一種
2. 機制，可以將容器內(nèi)的用戶與宿主機上的用戶進行隔離。通過使用用戶命名空間，非root用戶可以在容器內(nèi)以root用戶的身份運行，而在宿主機上仍然以非root用戶身份運行。要使用用戶命名空間，需要確保宿主機的內(nèi)核版本支持，并且Docker守護進程已經(jīng)啟用了用戶命名空間功能。
3. 使用特權(quán)模式（Privileged Mode）：特權(quán)模式允許容器內(nèi)的進程擁有與宿主機相同的權(quán)限，包括root權(quán)限。通過在運行容器時添加--privileged參數(shù)，可以使容器在特權(quán)模式下運行。但是，使用特權(quán)模式可能會降低容器的安全性，因此應(yīng)該謹(jǐn)慎使用。

無論使用哪種方法，都需要確保在構(gòu)建鏡像時，將容器內(nèi)的用戶設(shè)置為非root用戶，并且在容器啟動時以非root用戶身份運行應(yīng)用程序。

以下是一個示例Dockerfile，演示如何在容器內(nèi)以非root用戶身份運行應(yīng)用程序：

FROM ubuntu:latest

# 創(chuàng)建一個新的用戶
RUN useradd -ms /bin/bash myuser

# 切換到新用戶
USER myuser

# 將應(yīng)用程序復(fù)制到容器中
COPY myapp /app

# 設(shè)置工作目錄
WORKDIR /app

# 運行應(yīng)用程序
CMD ["./myapp"]

在構(gòu)建鏡像時，可以使用以下命令：

docker build -t myapp-image .

然后，可以使用以下命令以非root用戶身份運行容器：

docker run -d --name myapp-container myapp-image

請注意，上述示例僅適用于演示目的，實際應(yīng)用中可能需要根據(jù)具體情況進行調(diào)整。

轉(zhuǎn)自：https://cloud.tencent.com/developer/information/%E5%A6%82%E4%BD%95%E4%BB%8E%E9%9D%9Eroot%E7%94%A8%E6%88%B7%E8%BF%90%E8%A1%8Cdocker%20container%EF%BC%9F