问题

启动docker -v 与宿主机（非root权限）做挂载，

这样有两个问题：

1.我在容器内部创建的文件，外部宿主机（非root）没有权限去删除这个文件。
2.外部宿主机（非root）创建的文件，容器内部却可以任意删除。

也就是说，我一个普通用户在容器内部居然可以以root的身份去执行一个命令操作挂载的目录。这样非常不安全。

原因

Docker容器运行的时候，如果没有专门指定user, 默认以root用户运行。我们的node镜像的Dockerfile里没有指定user.
容器里的执行用户的id是0，输出文件的权限也是0.

解决

docker run -u 可以指定宿主机运行docker命令的用户， -u指定的uid就是docker实际运行的进程拥有者。

docker run -it -u 1111:1111

因为容器执行者和挂载数据卷的权限不同。容器内部运行是uid=0的用户，数据卷从属与uid=1000的ryan。最终导致容器写入数据卷的文件权限升级为root， 从而普通用户无法访问。

如果挂载了root的文件到容器内部，而容器内部执行uid不是0，则报错没有权限。

运行容器，并以uid=1111执行

登录容器内部，查看数据卷，由于容器内部没有uid=1111的用户，所以显示I have no name!， 没有username，没有home。

在容器内部执行数据卷的写操作，提示没权限。（因为数据卷的权限是uid=1000）

在容器内部写入一个文件到公共数据区(777).数据文件确实有被写入，内容可读

容器写入的文件的权限都是1111的uid。由于宿主机没有这个用户，直接显示uid

即-u指定容器内部执行的用户，以及容器外在宿主机进程的用户，同样容器写到数据卷的权限也由此指定。