5.16. 在 Podman 中配置预执行钩子

• 必须是 root 所有且不可写。
• 必须位于 /usr/libexec/podman/pre-exec-hooks 和 /etc/containers/pre-exec-hooks 目录中。
• 按顺序和字母顺序执行。
• 如果所有插件脚本都返回零值，则 podman 命令执行了。
• 如果任何插件脚本返回非零值，则表示失败。podman 命令退出，并返回第一个失败的脚本的非零值。

• 红帽建议使用以下命名约定来按照正确顺序执行脚本：DDD_name.lang，其中：

  • DDD 是指示脚本执行顺序的十进制数字。如有必要，使用一个或多个前导零。
  • name 是插件脚本的名称。
  • lang （可选）是给定编程语言的文件扩展。例如，插件脚本的名称可以是：001-check-groups.sh。

先决条件

• container-tools 元数据包已安装。

流程

• 创建名为 001-check-groups.sh 的脚本插件。例如：

  #!/bin/bash
  if id -nG "$USER" 2> /dev/null | grep -qw "$GROUP" 2> /dev/null ; then
      exit 0
  else
      exit 1
  fi

  Copy to Clipboard Toggle word wrap
  • 该脚本检查用户是否在指定的组中。
  • USER 和 GROUP 是 Podman 设置的环境变量。
  • 001-check-groups.sh 脚本提供的退出代码将提供给 podman 二进制文件。
  • podman 命令退出，并返回第一个失败的脚本的非零值。

验证

• 检查 001-check-groups.sh 脚本是否正常工作：

  $ podman run image
  ...

  Copy to Clipboard Toggle word wrap

  如果用户不在正确的组中，则会出现以下错误：

  external preexec hook /etc/containers/pre-exec-hooks/001-check-groups.sh failed

  Copy to Clipboard Toggle word wrap