+7 (495) 320-70-49
- Назад
- Телефоны
- +7 (495) 320-70-49
- Заказать звонок
info@proxmox.su
Москва, Бакунинская улица, 69с1
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Понимание сопоставлений UID в LXC Окей, давайте разберемся, как работает сопоставление UID в контейнерах LXC. Это может быть немного запутанно, но я постараюсь объяснить максимально простым языком. **В чем суть?** Внутри контейнера у процессов есть сво

RSS

xmready

Guest

22.12.2021 19:50:00

Читая страницу вики по не привилегированным контейнерам LXC, кажется, что UID-сопоставления нужны в конфигурационных файлах LXC, чтобы разрешить права доступа к точкам монтирования. Я думал, что диапазон host ID >100000 уже сопоставлен с контейнером, начиная с ID 0, при создании нового не привилегированного контейнера. Почему документация говорит, что мне нужно сопоставлять все эти ID вместо только одного, который мне нужен для разрешения, если они уже сопоставлены? Код: # uid map: from uid 0 map 1005 uids (в контейнере) к диапазону, начинающемуся с 100000 (на хосте), так 0..1004 (контейнер) → 100000..101004 (хост)
lxc.idmap = u 0 100000 1005
lxc.idmap = g 0 100000 1005
# мы сопоставляем 1 UID, начиная с UID 1005, на 1005, так 1005 → 1005
lxc.idmap = u 1005 1005 1
lxc.idmap = g 1005 1005 1
# мы сопоставляем остаток из 65535 от 1006 до 101006, так 1006..65535 → 101006..165535
lxc.idmap = u 1006 101006 64530
lxc.idmap = g 1006 101006 64530 Хочу понять, почему мы не можем просто использовать эти строки Код: # мы сопоставляем 1 UID, начиная с UID 1005, на 1005, так 1005 → 1005
lxc.idmap = u 1005 1005 1
lxc.idmap = g 1005 1005 1

nautilus7

Guest

24.02.2024 17:49:00

Привет, я пытаюсь настроить id mapping в не привилегированном lxc, но у меня возникли проблемы. Хочу сопоставить группу 44 в CT к группе 44 на хосте и группу 106 в CT к группе 104 на хосте. Я использовал следующее:

Code:
lxc.idmap: u 0 100000 65536
lxc.idmap: g 0 100000 44
lxc.idmap: g 44 44 1
lxc.idmap: g 45 100045 61
lxc.idmap: g 106 104 1
lxc.idmap: g 107 100107 65429

и также добавил группу в /etc/subgid:

Code:
root:100000:65536
root:106:1
root:44:1

Но контейнер не запускается с этой ошибкой:

Code:
lxc-start: 106: ../src/lxc/conf.c: lxc_map_ids: 3701 newgidmap failed to write mapping "newgidmap: gid range [106-107) -> [104-105) not allowed": newgidmap 83393 0 100000 44 44 44 1 45 100045 61 106 104 1 107 100107 65429
lxc-start: 106: ../src/lxc/start.c: lxc_spawn: 1788 Failed to set up id mapping.
lxc-start: 106: ../src/lxc/start.c: __lxc_start: 2107 Failed to spawn container "106"
lxc-start: 106: ../src/lxc/tools/lxc_start.c: main: 306 The container failed to start

Не могли бы вы объяснить, что не так?

leesteken Guest	#3 0 24.02.2024 17:57:00 Попробуй использовать 104 вместо 106 в /etc/subgid, может быть? Код: root:100000:65536 root:104:1 root:44:1

nautilus7 Guest	#4 0 24.02.2024 18:11:00 Кажется, работает, спасибо! Значит, мне нужно добавлять туда ID хостов, к которым я их привязываю, а не ID контейнеров?

GUID

Guest

28.06.2024 20:23:00

Привет всем! Во-первых, извините за мой чисто английский. Во-вторых, моя конфигурация работает для моих задач, но мне кажется - это странно. Код:

# на хосте (proxmox)
# ВНИМАНИЕ пользователь с id 5123:5123 - не существует

# создаём директорию
mkdir /data/vg_media/video
chown 5123:5123 /data/vg_media/video
chmod 0775 /data/vg_media/video

# монтируем директорию в CT с id 123
pct set 123 -mp0 /data/vg_media/video,mp=/data

# Добавляем в /etc/subuid и /etc/subgid
root:5123:1

# Добавляем в /etc/pve/nodes/pve/lxc/123.conf
lxc.idmap: u 0 100000 5000
lxc.idmap: u 5000 5123 1
lxc.idmap: u 5001 105001 60535
lxc.idmap: g 0 100000 5000
lxc.idmap: g 5000 5123 1
lxc.idmap: g 5001 105001 60535

Теперь "root в CT" имеет полный доступ к директории /data (в CT) и /data/vg_media/video (на хосте). Он может создавать поддиректории и предоставлять доступ к ним любому пользователю в CT. Но нет пользователей с id=5123 (на хосте) и 5000 (в CT).

Вопрос: это нормально?!

promoxer Guest	#6 0 27.02.2025 10:28:00 Привет, я никак не могу понять, что происходит. 1. У меня на хосте есть файлы, владельцем которых является `root`. 2. В моем LXC я вижу эти же файлы, владельцем которых указано `nobody:nogroup`. 3. Хотелось бы, чтобы в LXC они принадлежали UID 4000 и GID 4000. Возможно ли это? Какой `lxc.idmap` мне нужно написать?

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры