nginx-photon升级到2.3.1_nginx-photon升级版本

前提

harbor1.5.1里面的nginx-photon的是1.5.1，安全侧发现nginx存在漏洞，需要升级。

一、升级到nginx-photon1.8.6

1、在dockerhub官网下载nginx-photon1.8.6。
2、修改docker-compose.yml，修改nginx-photon1.5.1为nginx-photon1.8.6。
3、重启harbor
docker-compose down -v
docker-compose up -d

二、升级到nginx-photon2.3.1

1、在dockerhub官网下载nginx-photon2.3.1。
2、修改docker-compose.yml，修改nginx-photon1.5.1为nginx-photon2.3.1。
3、重启harbor
docker-compose down -v
docker-compose up -d

报错了，提示“nginx: [emerg] open() “/etc/nginx/nginx.conf” failed (13: Permission denied)” 或者 “ [emerg] 1#0: bind() to 0.0.0.0:443 failed (13: Permission denied)”

解决：尝试1，失败

chmod修改权限 或者在root用户下， 或者使用sudo，均失败

解决：尝试2，失败

nginx.conf里面配置user， 失败
添加
user root;
或者
user nginx root;

解决：尝试3，失败

修改docker-compose.yml，注释cap_drop，然后cap_add添加ALL权限，依然不行

cap_drop:
  - ALL
cap_add:
  - CHOWN
  - SETGID
  - SETUID
  - NET_BIND_SERVICE
1
2
3
4
5
6
7

改为

#cap_drop:
#  - ALL
cap_add:
  - ALL
#  - CHOWN
#  - SETGID
#  - SETUID
#  - NET_BIND_SERVICE
1
2
3
4
5
6
7
8

解决：尝试4，失败

修改docker-compose.yml，添加privileged: true提高权限，仍然不行

cap_drop:
  - ALL
cap_add:
  - CHOWN
  - SETGID
  - SETUID
  - NET_BIND_SERVICE
1
2
3
4
5
6
7

改为

privileged: true
#cap_drop:
#  - ALL
cap_add:
  - ALL
#  - CHOWN
#  - SETGID
#  - SETUID
#  - NET_BIND_SERVICE
1
2
3
4
5
6
7
8
9

解决：尝试5，失败

谷歌一圈，找到大神的方法，试了，仍然不行

CURRENT_UID=$(id-u):$(id -g) docker-compose up -d

解决：尝试6，成功

修改docker-compose.yml，添加user: “0:0” ，是可以的。

cap_drop:
  - ALL
cap_add:
  - CHOWN
  - SETGID
  - SETUID
  - NET_BIND_SERVICE
1
2
3
4
5
6
7

改为

user: "0:0"
cap_drop:
  - ALL
cap_add:
  - CHOWN
  - SETGID
  - SETUID
  - NET_BIND_SERVICE
1
2
3
4
5
6
7
8

三、总结

1、nginx-photon自1.9之后，其docker镜像里面多了“user nginx"。 解决思路就是想办法使得nginx-photon获得root权限。

新的nginx-photon:v2.3.1， 有“user nginx"
2、 不明白为什么privileged: true、cap_add添加ALL，均失败了。

最终使用user: “0:0”，获得root权限成功。