【Ubuntu】dockerをsudoコマンドなしで実行するための設定と注意点

2019年10月3日

Ubuntuでdockerを利用するときに、sudoなしdockerを実行できるようにする方法に関するメモ。

きっかけ

dockerをインストールした後、そのままsudoコマンドなしで動作確認するとエラーが出てしまいました。

# Ubuntuの端末から実行
docker run hello-world 

docker: Got permission denied while trying to connect to the Docker daemon socket at unix:///var/run/docker.sock: Post http://%2Fvar%2Frun%2Fdocker.sock/v1.39/containers/create: dial unix /var/run/docker.sock: connect: permission denied. See 'docker run –help’.

dockerデーモンへのアクセスが拒否されたらしい。sudo docker run hello-world と入力すれば動作しました。

エラーの原因は以下の理由だそうです。

Dockerはroot権限で動いているデーモン(dockerd)とunixソケットまたはtcp/ipで通信していますが、dockerdにアクセスするにはdockerグループに所属しているかroot権限が必要になってきます。

Dockerでユーザーをdockerグループに追加することの危険性を理解しよう

sudoコマンドを加えることで、root権限を持っていないと実行できないコマンド( デーモンへの接続など )を一般ユーザーで実行できるようになります。 しかし 毎回 sudoを加えるのは面倒です。

対応策と注意点

sudo無しで実行するにはユーザーをdokcerグループへ所属させるのも一つの手ですが(ググるとその例が多い)、セキュリティ上の問題もあるようです。

参照:dockerグループでroot同様の権限を付与した時のリスク(公式ドキュメント)

sudoなしでdockerを利用したい場合は、 newgrp で一時的にグループへ所属させるかユーザ名前空間 (user namespaces) が良いとのこと。

sudo groupadd docker 
# $USERにはユーザーネームを入れる 
sudo usermod -aG docker $USER 
newgrp docker  
docker run hello-world 

Hello from Docker!
This message shows that your installation appears to be working correctly.

To generate this message, Docker took the following steps:

1. The Docker client contacted the Docker daemon.
2. The Docker daemon pulled the “hello-world" image from the Docker Hub.
(amd64)
3. The Docker daemon created a new container from that image which runs the
executable that produces the output you are currently reading.
4. The Docker daemon streamed that output to the Docker client, which sent it
to your terminal.

To try something more ambitious, you can run an Ubuntu container with:
$ docker run -it ubuntu bash

Share images, automate workflows, and more with a free Docker ID: https://hub.docker.com/

For more examples and ideas, visit:
https://docs.docker.com/get-started/