只读文件系统下 File.WriteAllText
直接报错:拒绝访问
在 Docker 容器中,基础镜像层(如
/usr/share/dotnet或
/app的只读挂载)默认不可写。一旦代码调用
File.WriteAllText、
Directory.CreateDirectory等写入 API,会立刻抛出
UnauthorizedAccessException,错误信息类似:
Access to the path '/app/config.json' is denied.
这不是权限配置问题,而是文件系统本身被 mount 为
ro(read-only)。硬改宿主机挂载参数或强行 chown,既违背容器设计原则,也破坏可移植性。 必须把「写操作」从只读路径彻底移开,哪怕只是临时写入 不要尝试用
try/catch捕获后 fallback 到只读路径——失败就是失败,不会因为 catch 就变可写 环境变量
DOTNET_CLI_HOME、
HOME、
TEMP等路径需显式指向可写位置(如
/tmp或
/app/data),否则 .NET 运行时内部也会悄悄写失败
Path.GetTempPath()
是安全的,但默认值可能不靠谱
Docker 容器里
Path.GetTempPath()通常返回
/tmp,而
/tmp在绝大多数基础镜像(Alpine、Debian-slim、mcr.microsoft.com/dotnet/aspnet)中默认可写。但有例外: 某些定制镜像或 Kubernetes Pod 安全策略会将
/tmp也设为只读 Windows 容器中它可能指向
C:\Windows\Temp,而该路径在只读镜像层下同样不可写 部分 CI 环境(如 GitHub Actions 的 self-hosted runner)会限制
/tmp权限
实操建议:
启动时显式设置环境变量:export TMPDIR=/tmp && dotnet myapp.dll(Linux)或
set TMP=C:\temp(Windows) 代码中主动校验:
if (!Directory.Exists(Path.GetTempPath()) || !Directory.GetAccessControl(Path.GetTempPath()).GetOwner(typeof(System.Security.Principal.SecurityIdentifier)).ToString().Contains("S-1-5-")) —— 更稳妥的做法是直接 try { File.WriteAllText(Path.Combine(Path.GetTempPath(), "test"), "x"); } catch 一次
避免依赖 Path.GetTempPath()生成关键路径;把它当作“临时缓存区”,而非持久存储
配置文件不能硬编码写入 AssemblyLocation
所在目录
常见反模式:
var configPath = Path.Combine(Path.GetDirectoryName(Assembly.GetExecutingAssembly().Location), "appsettings.local.json")—— 这个路径大概率落在只读的
/app或
/usr/share/dotnet下,一写就崩。
正确做法是解耦「配置读取位置」和「配置写入位置」:
读配置:仍可从/app/appsettings.json(只读)加载,这是合理的 写配置:只允许写到明确声明的可写目录,比如通过
--data-dir /app/data命令行参数或
DATA_DIR环境变量指定 ASP.NET Core 用户注意:
IConfigurationBuilder.AddJsonFile(..., optional: true, reloadOnChange: false)中的
reloadOnChange必须为
false,否则底层会监听文件变更并尝试 re-read,而某些 watch 实现(如
FileSystemWatcher)在只读路径上会静默失败或触发异常
Dockerfile 中必须显式声明可写层或卷
仅靠代码规避还不够。如果运行时需要持久化数据(如日志、缓存、上传文件),必须让容器知道哪里能写:
在Dockerfile末尾加:
VOLUME ["/app/data", "/tmp/logs"]—— 这告诉 Docker 这些路径需挂载为可写卷,即使基础层是只读的 避免用
RUN chmod -R 777 /app试图“修复”权限——镜像层本身不可变,该命令无效,还污染镜像 若用
docker run启动,务必加上
-v $(pwd)/data:/app/data映射,否则
/app/data仍是只读的 overlayfs 层 对于无状态服务(如纯 API),干脆禁用所有写操作:启动前检查
Environment.GetFolderPath(Environment.SpecialFolder.ApplicationData)是否可写,不可写则直接
Environment.Exit(1)
最易被忽略的一点:.NET 的
System.IO.Ports、
Microsoft.Data.Sqlite等库会在后台自动创建临时文件或锁文件,它们默认使用
Path.GetTempPath()。就算你的业务代码没写文件,这些依赖也可能在只读环境下静默崩溃。
