http://proxmox.su Новое в теме Рутовый Docker внутри не привилегированного контейнера LXC. форума Proxmox Виртуальная Среда на сайте Аспро: ЛайтШоп [proxmox.su] ru http://backend.userland.com/rss2 Thu, 28 May 2026 17:41:19 +0300 Рутовый Docker внутри не привилегированного контейнера LXC. Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Ты говоришь, что у тебя получилось запустить rootless docker в не привилегированном LXC? Можешь сравнить производительность с rootful docker или привилегированным LXC? Гораздо ли медленнее?
21.01.2025 23:14:00, proxwolfe.]]> http://proxmox.su/forum/messages/forum63/message320437/77173-rutovyy-docker-vnutri-ne-privilegirovannogo-konteynera-lxc. http://proxmox.su/forum/messages/forum63/message320437/77173-rutovyy-docker-vnutri-ne-privilegirovannogo-konteynera-lxc. Tue, 21 Jan 2025 23:14:00 +0300 Proxmox Виртуальная Среда Рутовый Docker внутри не привилегированного контейнера LXC. Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Ну, ты говоришь, что это не обязательно. Звучит вполне вероятно. Но, кроме повторного запуска изоляции, есть какие-то конкретные минусы? Например, замедление работы? Что ты бы рекомендовал делать вместо этого? Запускать rootful docker в unprivileged LXC или rootless docker в privileged LXC?
21.01.2025 23:12:00, proxwolfe.]]> http://proxmox.su/forum/messages/forum63/message320436/77173-rutovyy-docker-vnutri-ne-privilegirovannogo-konteynera-lxc. http://proxmox.su/forum/messages/forum63/message320436/77173-rutovyy-docker-vnutri-ne-privilegirovannogo-konteynera-lxc. Tue, 21 Jan 2025 23:12:00 +0300 Proxmox Виртуальная Среда Рутовый Docker внутри не привилегированного контейнера LXC. Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Для справки, нужно увеличить UID и GID, доступные LXC. Это делается путем изменения /etc/subuid и /etc/subgid в Proxmox. Например, я изменил значения по умолчанию 100000:65536 на 100000:165536, а в LXC нужно добавить отображение следующим образом: lxc.idmap: u 0 100000 165536 lxc.idmap: g 0 100000 165536. Но у меня постоянно возникают проблемы с запуском docker и он выдает ошибку "medium not found". Как тебе удалось это обойти?

P.S. Оказывается, нужно было разрешить TUN. lxc.mount.entry: /dev/net/tun dev/net/tun none bind,create=file

Docker rootless теперь работает отлично.
08.10.2024 00:46:00, cpcheng.]]> http://proxmox.su/forum/messages/forum63/message320435/77173-rutovyy-docker-vnutri-ne-privilegirovannogo-konteynera-lxc. http://proxmox.su/forum/messages/forum63/message320435/77173-rutovyy-docker-vnutri-ne-privilegirovannogo-konteynera-lxc. Tue, 08 Oct 2024 00:46:00 +0300 Proxmox Виртуальная Среда Рутовый Docker внутри не привилегированного контейнера LXC. Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Rootless docker создаёт для нас дополнительное ограничение в плане полноценной работы файрвола, как мы и хотели. Сеть docker0 становится недоступной для root, поэтому мы временно прекратили тестирование в unprivileged LXC, и, к сожалению, не можем предоставить какую-либо другую информацию.
29.03.2023 23:35:00, luison.]]> http://proxmox.su/forum/messages/forum63/message320434/77173-rutovyy-docker-vnutri-ne-privilegirovannogo-konteynera-lxc. http://proxmox.su/forum/messages/forum63/message320434/77173-rutovyy-docker-vnutri-ne-privilegirovannogo-konteynera-lxc. Wed, 29 Mar 2023 23:35:00 +0300 Proxmox Виртуальная Среда Рутовый Docker внутри не привилегированного контейнера LXC. Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Удалось как-то использовать rootless podman в LXC?
29.03.2023 19:13:00, kegham.]]> http://proxmox.su/forum/messages/forum63/message320433/77173-rutovyy-docker-vnutri-ne-privilegirovannogo-konteynera-lxc. http://proxmox.su/forum/messages/forum63/message320433/77173-rutovyy-docker-vnutri-ne-privilegirovannogo-konteynera-lxc. Wed, 29 Mar 2023 19:13:00 +0300 Proxmox Виртуальная Среда Рутовый Docker внутри не привилегированного контейнера LXC. Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Просто виртуализируй своё хранилище, чтобы оно тоже было с высокой доступностью (HA), а затем подключи это хранилище из него в твоих Docker-нодах. Тебе всегда следует оставаться на одном уровне (PaaS и St(orage)aaS) на PVE, как и IaaS.
22.02.2023 14:30:00, LnxBil.]]> http://proxmox.su/forum/messages/forum63/message320432/77173-rutovyy-docker-vnutri-ne-privilegirovannogo-konteynera-lxc. http://proxmox.su/forum/messages/forum63/message320432/77173-rutovyy-docker-vnutri-ne-privilegirovannogo-konteynera-lxc. Wed, 22 Feb 2023 14:30:00 +0300 Proxmox Виртуальная Среда Рутовый Docker внутри не привилегированного контейнера LXC. Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Привет, интересно, у кого-нибудь получалось настроить вот это? Или кто может подсказать актуальную инструкцию, чтобы в итоге получить привилегированный и rootless Docker? Альтернативно, придётся рассмотреть один или оба варианта, или же продолжать использовать текущий Docker на KVM, если удастся найти подходящий способ монтировать и делиться хост-директориями. У меня не получилось с моими попытками, включая добавление конфигов в контейнер и активацию nesting и fuse. Постоянно вылетает ошибка: Code: error: failed to setup UID/GID map: newuidmap 3994 [0 1100 1 1 10000 65536] failed: newuidmap: write to uid_map failed: Operation not permitted при выполнении rootless docker команды. Буду благодарен за любые обновления о том, как сделать Docker-сервер максимально безопасным на CT.
20.02.2023 19:47:00, luison.]]> http://proxmox.su/forum/messages/forum63/message320431/77173-rutovyy-docker-vnutri-ne-privilegirovannogo-konteynera-lxc. http://proxmox.su/forum/messages/forum63/message320431/77173-rutovyy-docker-vnutri-ne-privilegirovannogo-konteynera-lxc. Mon, 20 Feb 2023 19:47:00 +0300 Proxmox Виртуальная Среда Рутовый Docker внутри не привилегированного контейнера LXC. Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Привет, знаю, прошло много времени, но с той публикацией мне удалось запустить rootless podman в Alma9 LXC контейнере: https://www.reddit.com/r/podman/comments/t111i1/running_podman_in_an_lxc_contai­ner_security/
20.07.2022 12:59:00, AnK.]]> http://proxmox.su/forum/messages/forum63/message320430/77173-rutovyy-docker-vnutri-ne-privilegirovannogo-konteynera-lxc. http://proxmox.su/forum/messages/forum63/message320430/77173-rutovyy-docker-vnutri-ne-privilegirovannogo-konteynera-lxc. Wed, 20 Jul 2022 12:59:00 +0300 Proxmox Виртуальная Среда Рутовый Docker внутри не привилегированного контейнера LXC. Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Привет, у кого-нибудь получилось запустить rootless Docker (от обычного пользователя, а не root) внутри не привилегированного LXC контейнера? Я следовал этой официальной инструкции: https://docs.docker.com/engine/security/rootless/. Установка завершилась с ошибкой: Code: dockerd-rootless.sh[355]: [rootlesskit:parent] error: failed to setup UID/GID map: newuidmap 366 [0 1000 1 1 100000 65536] failed: newuidmap: write to uid_map failed: Operation not permitted. Я изучил эту статью: https://ubuntu.com/blog/nested-containers-in-lxd и внес необходимые изменения в файлы /etc/subuid, /etc/subgid как на хосте (Proxmox), так и в контейнере, но это особо не помогло: Code: dockerd-rootless.sh[928]: [rootlesskit:parent] error: failed to setup UID/GID map: newuidmap 939 [0 1000 1 1 65536 131072] failed: newuidmap: write to uid_map failed: Operation not permitted. Даже strace ничего нового не показал: код завершается с ошибкой при записи в файл uid_map.

Proxmox:
Code: # pveversion

LXC контейнер:
Code: Ubuntu 20.04.2 LTS (GNU/Linux 5.4.106-1-pve x86_64)

Могу ли я что-то упустить?

P.S. Вложение разрешено для контейнера.

С уважением, Алекс.
19.06.2021 13:55:00, Firm.]]> http://proxmox.su/forum/messages/forum63/message320429/77173-rutovyy-docker-vnutri-ne-privilegirovannogo-konteynera-lxc. http://proxmox.su/forum/messages/forum63/message320429/77173-rutovyy-docker-vnutri-ne-privilegirovannogo-konteynera-lxc. Sat, 19 Jun 2021 13:55:00 +0300 Proxmox Виртуальная Среда