Docker 容器数据卷迁移到新服务器保留原始权限，推荐使用rsync -a同步绑定挂载目录，或通过临时容器配合tar流处理命名卷。核心风险在于宿主机与容器内的用户 UID/GID 不一致，导致文件归属丢失或权限拒绝。

命令速用版

针对绑定挂载目录，使用rsync保留权限同步；针对命名卷，通过临时容器打包传输。

# 绑定挂载目录迁移（保留权限）
rsync -avz /源服务器/数据目录 用户@新服务器:/目标路径/数据目录

# 命名卷备份与恢复（保留权限）
docker run `--rm` -v 卷名:/source -v /备份路径:/backup alpine tar -czf /backup/data.tar.gz -C /source .
docker run `--rm` -v 新卷名:/target -v /备份路径:/backup alpine tar -xzf /backup/data.tar.gz -C /target

为什么会这样

Linux 文件系统权限基于 UID/GID 数字标识，而非用户名。Docker 原生复制命令如docker cp默认不保留源文件权限属性，且容器内用户 ID 可能与宿主机不一致。

迁移过程中若未显式保留元数据，文件属主可能变为目标服务器的 root 或默认用户，导致容器内进程因权限不足无法读写。

分步处理

按停止服务、数据迁移、权限修正、启动验证的顺序执行。

1. 停止容器：防止迁移过程中产生新数据导致不一致。docker stop 容器名称
2. 迁移数据：绑定挂载直接使用rsync；命名卷使用临时容器tar打包。
3. 检查属主：在目标服务器执行ls -n 数据目录，对比 UID/GID 是否与源服务器一致。
4. 修正权限：若 UID 不一致，使用chown -R 用户：组 数据目录修正，或在 Docker Compose 中指定user字段。
5. 启动容器：确认挂载路径正确后启动服务。

怎么验证是否生效

通过文件列表检查和业务读写测试确认权限恢复情况。

• 检查命令：执行ls -l 数据目录，确认文件属主和权限位（如 755、644）与迁移前一致。
• 容器内验证：进入容器docker exec -it 容器名称 bash，尝试创建或删除文件。
• 业务日志：观察应用日志是否有"Permission denied"错误。

常见坑

• docker cp 不保留权限：该命令复制文件时不会保留源文件的权限属性，不建议用于权限敏感数据迁移。
• docker export 不含卷数据：导出容器镜像不包含数据卷内容，需单独迁移卷目录。
• UID/GID 映射失效：若目标服务器不存在相同 UID 的用户，文件属主将显示为数字，需提前创建用户或调整容器运行用户。
• SELinux 限制：部分系统开启 SELinux 可能阻止容器访问挂载目录，需检查安全上下文。

常见问题

docker cp 命令能保留文件权限吗？

不能。默认情况下docker cp不会保留源文件的权限属性，需结合tar流管道方式实现。

迁移后容器提示 Permission denied 怎么办？

检查宿主机目录属主是否与容器内运行用户 UID 一致，使用chown修正或调整容器启动用户。

命名卷如何备份才能保留权限？

通过挂载卷到临时容器，在容器内使用tar命令打包，可保留文件元数据和权限。

参考来源

• Dockerfile 使用 COPY 指令保持原始文件权限与属主
• 如何利用 Docker 容器挂载技术实现 MySQL 数据库的快速迁移恢复？
• Docker 容器跨服务器迁移方案_docker 迁移到新服务器-CSDN 博客
• 迁移后如何恢复用户权限
• 把 docker 镜像和数据迁移到新的硬盘
• Docker Compose 数据卷迁移后权限异常如何解决？_编程语言-CSDN 问答
• 如何利用 Docker 卷管理规范化容器内资产的备份与恢复流程指南
• Docker 容器迁移到其他服务器的 5 种方法
• docker 容器迁移怎么保留数据
• `docker cp` 命令拷贝文件时如何保留源文件权限？