嘿，看你已经做了不少铺垫工作——在宿主机加了UID65532的nonroot用户还拉进了www-data组，用的还是Distroless的nonroot镜像，接下来咱们把Docker卷的权限彻底打通，让容器里的非root用户能写文件，宿主机的Nginx也能顺利读取，具体步骤如下：

• 先搞定宿主机共享目录的权限基础
  首先确保你用来挂载的宿主机上传目录（比如你说的public文件夹）的所属用户和组、权限都配置正确。执行以下命令：

  sudo chown -R nonroot:www-data /path/to/your/public/folder
  sudo chmod -R 775 /path/to/your/public/folder
  

  这样一来，宿主机上的nonroot用户（和容器里的nonroot UID完全一致）以及www-data组的用户（Nginx就是用这个用户运行的），都能对这个目录进行读写操作了。

• 在docker-compose.yml里精准配置
  虽然Distroless的nonroot镜像默认会以nonroot用户启动，但咱们明确指定UID和GID会更稳妥，避免容器和宿主机之间可能的用户名不匹配问题。同时正确挂载宿主机目录到容器内的上传路径：

  services:
    your-app-service:
      image: your-distroless-nonroot-image
      user: "65532:33"  # 65532是nonroot的UID，33是www-data的GID（大部分系统默认是这个）
      volumes:
        - /path/to/your/public/folder:/container/path/to/upload/directory
      # 其他服务配置（比如端口、环境变量等）...
  

  这里直接用UID和GID而非用户名，是因为容器内的用户体系和宿主机独立，用ID匹配是最可靠的方式。

• 验证配置是否生效
  启动容器后，你可以进入容器检查挂载目录的权限情况：

  docker exec -it your-app-container sh
  

  进入容器后用ls -l /container/path/to/upload/directory查看，应该能看到目录的所有者是UID65532，组是GID33（对应宿主机的www-data），这样容器里的nonroot用户能写文件，宿主机的Nginx也能正常读取这些文件了。

• 额外提醒
  千万别图省事给目录设置777权限，这会带来很大的安全风险，咱们配置的775权限已经足够满足容器写入和Nginx读取的需求，是更安全的选择。如果应用需要在容器内创建子目录，775权限也允许nonroot用户完成这个操作。

备注：内容来源于stack exchange，提问作者glenatron