+7 (495) 320-70-49
- Назад
- Телефоны
- +7 (495) 320-70-49
- Заказать звонок
info@proxmox.su
Москва, Бакунинская улица, 69с1
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Проблема с правами доступа к точке монтирования LXC Привет, У меня возникла проблема с установкой правильных прав доступа к точке монтирования контейнера LXC. Хочу, чтобы контейнеры могли писать в определенную директорию на хосте, но не получается настр

RSS

xmready

Guest

15.12.2021 18:42:00

Я создал непривилегированный контейнер с номером 101. Я смонтировал один ZFS-пул с хоста, добавив строку mp0: в файл /etc/pve/lxc/101.conf. Заметил, что контейнер не имеет прав на запись в эту точку монтирования. После прочтения страницы вики по непривилегированным LXC-контейнерам, мне показалось, что нужно добавить отображение UID в файл конфигурации LXC. Я создал пользователя с UID 1000 как на хосте, так и в контейнере, добавил отображение в файл конфигурации, обновил файлы subuid & subgid и изменил владельца точки монтирования на хосте на UID 1000. Я предполагал, что это даст UID 1000 в контейнере права на запись. Теперь контейнер даже не запускается.

Содержимое /etc/pve/lxc/101.conf:
```
arch: amd64
cores: 6
features: nesting=1
hostname: PlexServer
memory: 4096
mp0: /storage/plex,mp=/mnt/plex
net0: name=eth0,bridge=vmbr0,firewall=1,gw=192.168.1.1,hwaddr=CA:FB:D2:FD:F0:C6,ip=192.168.1.80/24,type=veth
ostype: ubuntu
rootfs: local-lvm:vm-101-disk-0,size=20G
swap: 4096
unprivileged: 1
lxc.idmap = u 1000 1000 1
lxc.idmap = g 1000 1000 1
```

Содержимое /etc/subuid:
```
root:100000:65536
user1:165536:65536
root:1000:1
```

Содержимое /etc/subgid:
```
root:100000:65536
user1:165536:65536
root:1000:1
```

Команда, использованная для изменения владельца директории на хосте:
```
chown -R 1000:1000 /storage/plex
```

Вывод из журнала Proxmox VE:
```
cgfsng_chown: 1353 No such file or directory - Error requesting cgroup chown in new user namespace
__lxc_start: 2068 Failed to spawn container "101"
TASK ERROR: startup for container '101' failed
```

miguelrjim Guest	#2 0 01.04.2025 06:49:00 Спасибо большое, valorad! У меня была та же проблема, и это её исправило.

xmready Guest	#3 0 16.12.2021 16:31:00 Привет? Ни одного ответа?

dcsapak

Guest

17.12.2021 09:37:00

Пожалуйста, не поднимайте свои сообщения без добавления новой информации. Вместо этого можно, например, выложить логи отладки неудального старта (описано в этой главе документации: https://pve.proxmox.com/wiki/Linux_...ers_with_tt_span_class_monospaced_pct_span_tt ) Также, пожалуйста, покажите права доступа с хоста и гостя (например, с помощью ls -l). В любом случае, кажется, вы не отобразили остальной диапазон в диапазон >100000.

xmready

Guest

21.12.2021 06:19:00

Вот права доступа для CT Code: root@PlexServer:~# ls -lhn /mnt/
total 512
drwxr-xr-x 4 65534 65534 4 Dec 15 06:39 plex

Вот права доступа для хост Code: root@proxmox1:~# ls -lhn /storage/
total 512
drwxr-xr-x 4 1000 1000 4 Dec 14 22:39 plex

Мне показалось, документация говорит, что диапазон идентификаторов >100000 уже зарезервирован, начиная с идентификатора 0 при создании нового CT без привилегий. Если я не прав, можете, пожалуйста, разъяснить, почему я не могу просто зарезервировать нужный мне идентификатор? Или хотя бы подкиньте ссылку на документацию, где это объясняется?

valorad

Guest

02.01.2022 16:29:00

Я обнаружил, что нужно настроить все отображения ID в /etc/pve/lxc/101.conf, как это сделано в документации, а не только ID 1000. Вот моя рабочая конфигурация.

Хост: /etc/pve/lxc/112.conf
Код:
arch: amd64
cores: 1
features: nesting=1
hostname: alpine-3-15
memory: 512
mp0: /workspace/downloadCenter,mp=/workspace/downloadCenter
net0: name=eth0,bridge=vmbr1,firewall=1,gw=10.10.10.1,hwaddr=F2:B0:61:14:3E:4F,ip=10.10.10.10/24,type=veth
ostype: alpine
rootfs: local-btrfs:112/vm-112-disk-0.raw,size=8G
swap: 512
unprivileged: 1
lxc.idmap: u 0 100000 1000
lxc.idmap: g 0 100000 1000
lxc.idmap: u 1000 1000 1
lxc.idmap: g 1000 1000 1
lxc.idmap: u 1001 101001 64530
lxc.idmap: g 1001 101001 64530
Хост: /etc/subuid
Код:
root:100000:65536
valorad:165536:65536
root:1000:1
Хост: /etc/subgid
Код:
root:100000:65536
valorad:165536:65536
root:1000:1

Затем в контейнере я получаю:
Код: alpine-3-15:/workspace/downloadCenter# ls -lhn
total 0
-rw-r--r-- 1 1000 1000 0 Jan 1 19:53 dlctr.exe

knifeowl Guest	#7 0 01.04.2025 19:27:00 Это немного отвлечённо, но раз я тут разбирался с отладкой bind-монтирований, то вот что я понял: когда я настраивал Proxmox и хотел использовать bind-монтирования с хоста в контейнеры, я изначально не обратил внимания на критически важную вещь: нельзя изменить mount-options для файловой системы, если она смонтирована где-то в системе, включая контейнеры. Забавно, что у Linux-утилит и namespaces есть свои особенности. После размонтирования файловой системы на хосте Proxmox может показаться, что она размонтирована (она исчезает из списка смонтированных файловых систем, lsof или fuser ничего не показывают и т.д.), но если она смонтирована в контейнере (например, grep sda1 /proc/*/mounts), с точки зрения ядра файловая система всё ещё смонтирована. Так что, если вы попытаетесь смонтировать "размонтированную" файловую систему на хосте Proxmox с другими опциями (например, uid, fmask и т.д.), то покажется, что она переподключается (выполняются соответствующие системные вызовы с новыми опциями и т.д.), но в итоге старый монтирование просто появляется обратно со старыми опциями, как будто старые опции были жёстко закодированы в драйвере. Насколько я знаю, единственный способ обойти это — либо зайти в каждый контейнер и размонтировать его, либо остановить все эти контейнеры, а затем переподключить с новыми опциями, либо перезагружать хост Proxmox каждый раз, когда вам нужно изменить mount options для общей файловой системы.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры