关于架构

• PHP7.2
• OpenResty
• Redis
• MySQL

更新于：2018-7-11

跟同事验证之后，似乎并不是我描述的那样。两个容器内，虽然分组的名称不同，但是只要GID相同，就有权限。至于为什么会造成nginx启动后没有权限读取socket文件，是因为在nginx.conf文件中没有指定运行用户的原因。

比如我的nginx是基于alpine构建的。php所运行的容器的www-data的GID是33，对应到alpine中的GID：33是xfs，需要在nginx.conf中添加进 user xfs就ok了。如果并不想这么干，那就需要执行下面的命令deluser xfs && \
addgroup -g 33 -S www-data && adduser -u 33 -D -S -G www-data www-data删掉xfs这个用户，然后重新新建一个GID为33，用户组为www-data，用户名为www-data的用户

分割线

下面是错误的解答

上面的架构在Linux中有个非常常见的名字是LNMP。基本上是在相同的系统中进行的配置。因此，常规的业务中几乎不会有人会在LNMP这架构上遇到标题中的问题。

但是在Docker中，可以有PHP环境是Debian，OpenResty环境是alpine这样的搭配。

验证无权限问题

拉取Debian 9.2的镜像 docker pull debian:9.2，然后运行 docker run 6d83de432e98 ping baidu.com。进入系统中查看用户分组 cat /etc/group

root:x:0:
daemon:x:1:
bin:x:2:
sys:x:3:
adm:x:4:
tty:x:5:
disk:x:6:
lp:x:7:
mail:x:8:
news:x:9:
uucp:x:10:
man:x:12:
proxy:x:13:
kmem:x:15:
dialout:x:20:
fax:x:21:
voice:x:22:
cdrom:x:24:
floppy:x:25:
tape:x:26:
sudo:x:27:
audio:x:29:
dip:x:30:
www-data:x:33:
backup:x:34:
operator:x:37:
list:x:38:
irc:x:39:
src:x:40:
gnats:x:41:
shadow:x:42:
utmp:x:43:
video:x:44:
sasl:x:45:
plugdev:x:46:
staff:x:50:
games:x:60:
users:x:100:
nogroup:x:65534:

上面就是debian镜像中的所有分组。

然后拉取apline 3.6 的镜像 docker pull alpine:3.6，并运行docker run 77144d8c6bdc ping baidu.com。进入系统查看用户分组

root:x:0:root
bin:x:1:root,bin,daemon
daemon:x:2:root,bin,daemon
sys:x:3:root,bin,adm
adm:x:4:root,adm,daemon
tty:x:5:
disk:x:6:root,adm
lp:x:7:lp
mem:x:8:
kmem:x:9:
wheel:x:10:root
floppy:x:11:root
mail:x:12:mail
news:x:13:news
uucp:x:14:uucp
man:x:15:man
cron:x:16:cron
console:x:17:
audio:x:18:
cdrom:x:19:
dialout:x:20:root
ftp:x:21:
sshd:x:22:
input:x:23:
at:x:25:at
tape:x:26:root
video:x:27:root
netdev:x:28:
readproc:x:30:
squid:x:31:squid
xfs:x:33:xfs
kvm:x:34:kvm
games:x:35:
shadow:x:42:
postgres:x:70:
cdrw:x:80:
usb:x:85:
vpopmail:x:89:
users:x:100:games
ntp:x:123:
nofiles:x:200:
smmsp:x:209:smmsp
locate:x:245:
abuild:x:300:
utmp:x:406:
ping:x:999:
nogroup:x:65533:
nobody:x:65534:

在Debian系统中用www-data用户组中www-data用户跑php服务。产生一个socket文件 php7.sock 代替端口监听。这个文件被挂载到宿主机的目录上。OpenResty通过挂载目录到相同的宿主机目录上来设置监听。

通过编写编排文件docker-compose.yml文件，运行docker-compose up进行部署服务。php服务中会给php7.sock文件赋予 swr-wr----的权限，而该文件所属www-data:www-data。此时就会出现一个问题。在Debian中，该文件是www-data这个组中的用户可以读写的，但是在alpine中并没有这个www-data的用户组和这个用户。那他是怎么处理这个问题的呢？（在linux中的文件，是不可能没有所属用户和所属用户组的。） 观察Debian中的www-data的用户组列表，发现该组中的编号是33。在实际操作部署中，php7.sock文件是属于xfs:xfs，而Debian中的www-data的GID正好与alpine中的xfs的GID相同。

GID相同造成两个系统中的授权出现了不同，而(矫情的)sock文件只认www-data这个用户组中的用户，因此造成了OpenResty在有请求时监听sockt文件会出现没有权限读取的问题。

解决问题

既然docker跨系统的授权是通过GID配对，而sockt文件只认同名字用户组用户。因此需要删除xfs用户组创建www-data用户组。

deluser xfs && \
    addgroup -g 33 -S www-data && adduser -u 33 -D -S -G www-data www-data

编排代码

version: '2.0'
services:
  php-fpm:
    image: daocloud.io/xss_er/php:php72
    container_name: php72
    restart: always
    ports:
      - "9000"
    volumes:
      - ./code:/var/www/app #work dir
      - /tmp/test/php7-fpm:/var/run/php7-fpm
    networks:
      - back-net
  nginx:
    image: daocloud.io/xss_er/nginx:openresty-server
    container_name: openresty
    restart: always
    ports:
      - "15000:80"
    volumes:
      - ./data/wwwlog:/usr/local/openresty/nginx/logs #logfile dir
      - /tmp/test/php7-fpm:/var/run/php7-fpm
      - ./code:/var/www/app #Code
      - ./conf.d:/usr/local/openresty/nginx/conf/conf.d
    networks:
      - back-net
networks:
  back-net:
    external: true

相关git：https://gitee.com/jinfeijie/dockerService