Meu dockerd (CentOS7: 17.12.0-ce, compilação c97c6d6) está sendo executado com namespaces de usuário habilitados para melhor isolamento.
Agora eu construo uma imagem que deve ser lida para propósitos de monitoramento também de / proc do kernel. Assim eu tentei montar / proc em / host / proc no container
host> docker run --network=host --userns=host --pid=host --privileged -v /proc:/host/proc:ro --name mycontainer my/container20180204
e bind-mount durante a inicialização do contêiner sobre a exibição de namespace proc dos contêineres
docker> mount -o bind /host/proc /proc
No entanto, evento com o namespace de usuário do host, o processo de raiz do contêiner é aparentemente executado dentro do mapeamento de namespace de usuário do dockerd, pois a raiz do contêiner não pode vincular mount / proc
mount: only root can use "--options" option (effective UID is 100000)
A execução como usuário não privilegiado não funciona, pois ele tenta montá-lo como um sistema de arquivos real (?!?) das camadas
/var/lib/docker/100000.100000/btrfs/subvolumes/${SHA256}/proc\\\\" cannot be mounted because it is located inside \\\\"/proc\\\\"\\"\"": unknown.
Então, eu temo que as limitações do namespace do usuário sejam boas e não passíveis de serem ignoradas ...? link
Tags docker proc namespaces