liga mount / proc no contêiner do Docker com namespaces de usuário ativados

2

Meu dockerd (CentOS7: 17.12.0-ce, compilação c97c6d6) está sendo executado com namespaces de usuário habilitados para melhor isolamento.

Agora eu construo uma imagem que deve ser lida para propósitos de monitoramento também de / proc do kernel. Assim eu tentei montar / proc em / host / proc no container

host> docker run --network=host --userns=host --pid=host --privileged -v /proc:/host/proc:ro --name mycontainer  my/container20180204

e bind-mount durante a inicialização do contêiner sobre a exibição de namespace proc dos contêineres

docker> mount -o bind /host/proc /proc

No entanto, evento com o namespace de usuário do host, o processo de raiz do contêiner é aparentemente executado dentro do mapeamento de namespace de usuário do dockerd, pois a raiz do contêiner não pode vincular mount / proc

mount: only root can use "--options" option (effective UID is 100000)

A execução como usuário não privilegiado não funciona, pois ele tenta montá-lo como um sistema de arquivos real (?!?) das camadas

 /var/lib/docker/100000.100000/btrfs/subvolumes/${SHA256}/proc\\\\" cannot be mounted because it is located inside \\\\"/proc\\\\"\\"\"": unknown.

Então, eu temo que as limitações do namespace do usuário sejam boas e não passíveis de serem ignoradas ...? link

    
por THX 04.02.2018 / 23:05

0 respostas