我来帮你搞定这个权限问题，这是Docker绑定挂载里非常常见的场景，结合CentOS 7的SELinux默认配置和Grafana镜像的安全设计，咱们一步步解决：

问题根源 #

Grafana官方镜像为了安全性，默认使用**UID为472的非root用户（grafana）**来运行服务。而你在宿主机创建的$PWD/data目录默认是root:root权限，容器内的grafana用户没有读写权限；再加上CentOS 7 Minimal默认开启SELinux，会进一步限制容器对挂载目录的访问，双重限制导致了权限拒绝的报错。

具体解决步骤 #

1. 调整宿主机挂载目录的权限 #

在宿主机（CentOS系统）上执行以下命令，把挂载目录的所有权转移给容器内grafana用户对应的UID：

chown -R 472:472 $PWD/data

注：这里直接用UID而不是用户名，是因为容器内的用户在宿主机上不一定存在，UID匹配是跨容器/宿主机权限适配的核心。

2. 处理SELinux限制（关键！CentOS必做） #

CentOS默认开启的SELinux会阻止容器访问宿主机目录，有两种处理方式：

方式一：临时关闭（仅用于测试，不推荐生产环境）

执行命令临时关闭SELinux：

setenforce 0

方式二：永久设置安全上下文（推荐生产环境）

先安装SELinux管理工具（CentOS Minimal默认没有）：

yum install -y policycoreutils-python

然后给挂载目录添加容器可访问的SELinux上下文，并应用：

semanage fcontext -a -t svirt_sandbox_file_t "$PWD/data(/.*)?"
restorecon -Rv $PWD/data

这样设置后，即使重启系统，SELinux策略也会允许容器访问该目录。

3. 重新启动容器验证 #

现在重新启动Grafana容器（如果需要测试可以进入shell）：

# 正常启动容器
docker run -d -p 3000:3000 --volume "$PWD/data:/var/lib/grafana" grafana/grafana:5.1.0

# 或者进入容器shell验证权限
docker run -ti -p 3000:3000 --volume "$PWD/data:/var/lib/grafana" grafana/grafana:5.1.0 bash

进入容器后再执行ls /var/lib/grafana，就不会再出现权限拒绝的提示了。

内容的提问来源于stack exchange，提问作者David Gidony