Информация
Услуги
  • Внедрение
  • Настройка
  • Поддержка
  • Ремонт
Контакты
Оплата
Новости
Доставка
Загрузки
Форум
Настройка
    info@proxmox.su
    +7 (495) 320-70-49
    Заказать звонок
    Аспро: ЛайтШоп
    Войти
    0 Сравнение
    0 Избранное
    0 Корзина
    Аспро: ЛайтШоп
    Войти
    0 Сравнение
    0 Избранное
    0 Корзина
    Аспро: ЛайтШоп
    Телефоны
    +7 (495) 320-70-49
    Заказать звонок
    0
    0
    0
    Аспро: ЛайтШоп
    • +7 (495) 320-70-49
      • Назад
      • Телефоны
      • +7 (495) 320-70-49
      • Заказать звонок
    • info@proxmox.su
    • Москва, Бакунинская улица, 69с1
    • Пн-Пт: 09-00 до 18-00
      Сб-Вс: выходной
    • 0 Сравнение
    • 0 Избранное
    • 0 Корзина
    Главная
    Форум
    Proxmox Виртуальная Среда
    Рутовый Docker внутри не привилегированного контейнера LXC.

    Форумы: Proxmox Виртуальная Среда, Proxmox Backup Server, Proxmox Mail Gateway, Proxmox Datacenter Manager
    Поиск  Пользователи  Правила  Войти
    Страницы: 1
    RSS
    Рутовый Docker внутри не привилегированного контейнера LXC., Proxmox Виртуальная Среда
     
    Firm
    Guest
    #1
    0
    19.06.2021 13:55:00
    Привет, у кого-нибудь получилось запустить rootless Docker (от обычного пользователя, а не root) внутри не привилегированного LXC контейнера? Я следовал этой официальной инструкции: https://docs.docker.com/engine/security/rootless/. Установка завершилась с ошибкой: Code: dockerd-rootless.sh[355]: [rootlesskit:parent] error: failed to setup UID/GID map: newuidmap 366 [0 1000 1 1 100000 65536] failed: newuidmap: write to uid_map failed: Operation not permitted. Я изучил эту статью: https://ubuntu.com/blog/nested-containers-in-lxd и внес необходимые изменения в файлы /etc/subuid, /etc/subgid как на хосте (Proxmox), так и в контейнере, но это особо не помогло: Code: dockerd-rootless.sh[928]: [rootlesskit:parent] error: failed to setup UID/GID map: newuidmap 939 [0 1000 1 1 65536 131072] failed: newuidmap: write to uid_map failed: Operation not permitted. Даже strace ничего нового не показал: код завершается с ошибкой при записи в файл uid_map.

    Proxmox:
    Code: # pveversion

    LXC контейнер:
    Code: Ubuntu 20.04.2 LTS (GNU/Linux 5.4.106-1-pve x86_64)

    Могу ли я что-то упустить?

    P.S. Вложение разрешено для контейнера.

    С уважением, Алекс.
     
     
     
    AnK
    Guest
    #2
    0
    20.07.2022 12:59:00
    Привет, знаю, прошло много времени, но с той публикацией мне удалось запустить rootless podman в Alma9 LXC контейнере: https://www.reddit.com/r/podman/comments/t111i1/running_podman_in_an_lxc_contai­ner_security/
     
     
     
    luison
    Guest
    #3
    0
    20.02.2023 19:47:00
    Привет, интересно, у кого-нибудь получалось настроить вот это? Или кто может подсказать актуальную инструкцию, чтобы в итоге получить привилегированный и rootless Docker? Альтернативно, придётся рассмотреть один или оба варианта, или же продолжать использовать текущий Docker на KVM, если удастся найти подходящий способ монтировать и делиться хост-директориями. У меня не получилось с моими попытками, включая добавление конфигов в контейнер и активацию nesting и fuse. Постоянно вылетает ошибка: Code: error: failed to setup UID/GID map: newuidmap 3994 [0 1100 1 1 10000 65536] failed: newuidmap: write to uid_map failed: Operation not permitted при выполнении rootless docker команды. Буду благодарен за любые обновления о том, как сделать Docker-сервер максимально безопасным на CT.
     
     
     
    LnxBil
    Guest
    #4
    0
    22.02.2023 14:30:00
    Просто виртуализируй своё хранилище, чтобы оно тоже было с высокой доступностью (HA), а затем подключи это хранилище из него в твоих Docker-нодах. Тебе всегда следует оставаться на одном уровне (PaaS и St(orage)aaS) на PVE, как и IaaS.
     
     
     
    kegham
    Guest
    #5
    0
    29.03.2023 19:13:00
    Удалось как-то использовать rootless podman в LXC?
     
     
     
    luison
    Guest
    #6
    0
    29.03.2023 23:35:00
    Rootless docker создаёт для нас дополнительное ограничение в плане полноценной работы файрвола, как мы и хотели. Сеть docker0 становится недоступной для root, поэтому мы временно прекратили тестирование в unprivileged LXC, и, к сожалению, не можем предоставить какую-либо другую информацию.
     
     
     
    cpcheng
    Guest
    #7
    0
    08.10.2024 00:46:00
    Для справки, нужно увеличить UID и GID, доступные LXC. Это делается путем изменения /etc/subuid и /etc/subgid в Proxmox. Например, я изменил значения по умолчанию 100000:65536 на 100000:165536, а в LXC нужно добавить отображение следующим образом: lxc.idmap: u 0 100000 165536 lxc.idmap: g 0 100000 165536. Но у меня постоянно возникают проблемы с запуском docker и он выдает ошибку "medium not found". Как тебе удалось это обойти?

    P.S. Оказывается, нужно было разрешить TUN. lxc.mount.entry: /dev/net/tun dev/net/tun none bind,create=file

    Docker rootless теперь работает отлично.
     
     
     
    proxwolfe
    Guest
    #8
    0
    21.01.2025 23:12:00
    Ну, ты говоришь, что это не обязательно. Звучит вполне вероятно. Но, кроме повторного запуска изоляции, есть какие-то конкретные минусы? Например, замедление работы? Что ты бы рекомендовал делать вместо этого? Запускать rootful docker в unprivileged LXC или rootless docker в privileged LXC?
     
     
     
    proxwolfe
    Guest
    #9
    0
    21.01.2025 23:14:00
    Ты говоришь, что у тебя получилось запустить rootless docker в не привилегированном LXC? Можешь сравнить производительность с rootful docker или привилегированным LXC? Гораздо ли медленнее?
     
     
     
    Страницы: 1
    Читают тему
    +7 (495) 320-70-49
    info@proxmox.su

    Конфиденциальность Оферта
    © 2026 Proxmox.su
    Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры