Docker rootless - cgroup v2

Fórumok

Sziasztok!

Kínozza már valaki magát rootless dockerrel? Próbálom belőni, de az istennek sem..

Nem indul a konténer, ha magam alá tolok egy nagy adagot sem: sima "docker run -d -p 1080:80 nginx" után jön a:

docker: Error response from daemon: OCI runtime create failed: container_linux.go:367: starting container process caused: process_linux
.go:340: applying cgroup configuration for process caused: read unix @->/run/systemd/private: read: connection reset by peer: unknown"

##############################

Host: Debian 11 - 5.10 kernel, itt már default cgroup v2 van - clean install, semmi extra hegesztés

- iptables, uidmap, slirp4netns, fuse-overlay telepítve apt-tal.

##############################

Egy két konfigot megxcsináltam a rendszeren:

- br_netfilter kernel modul boot time betöltése

- cpu cpuset io memory pids - delegálása  (kevesebb is a warning a docker infoban tőle jóval) defaultban csak a memory és a pids van megadva.

##############################

A telepító script alapból ugye a saját runc-jét hozza, kínomban már felraktam apt-tal a tárolóbelit, majdan kicseréltem. Jelenleg "1.0.0~rc93+ds1-3" a verzió - same shit, de a hiba picit más

docker: Error response from daemon: OCI runtime create failed: container_linux.go:367: starting container process caused: process_linux.go:340: applying cgroup configuration for process caused: write unix @: sendmsg: broken pipe: unknown.

##############################

docker info

Client:
 Context:    default
 Debug Mode: false
 
Server:
 Containers: 1
  Running: 0
  Paused: 0
  Stopped: 1
 Images: 1
 Server Version: 20.10.6
 Storage Driver: fuse-overlayfs
 Logging Driver: json-file
 Cgroup Driver: systemd
 Cgroup Version: 2
 Plugins:
  Volume: local
  Network: bridge host ipvlan macvlan null overlay
  Log: awslogs fluentd gcplogs gelf journald json-file local logentries splunk syslog
 Swarm: inactive
 Runtimes: io.containerd.runc.v2 io.containerd.runtime.v1.linux runc
 Default Runtime: runc
 Init Binary: docker-init
 containerd version: 05f951a3781f4f2c1911b05e61c160e9c30eaa8e
 runc version: 1.0.0~rc93+ds1-3
 init version: de40ad0
 Security Options:
  seccomp
   Profile: default
  rootless
  cgroupns
 Kernel Version: 5.10.0-6-amd64
 Operating System: Debian GNU/Linux 11 (bullseye)
 OSType: linux
 Architecture: x86_64
 CPUs: 3
 Total Memory: 3.839GiB
 Name: docker
 ID: 5TA3:NNDI:K577:AJCR:Q4KQ:QMP2:7J4Z:4PKI:F7BG:DCHJ:N6HD:H3SV
 Docker Root Dir: /home/<user>/.local/share/docker
 Debug Mode: false
 Registry: https://index.docker.io/v1/
 Labels:
 Experimental: false
 Insecure Registries:
  127.0.0.0/8
 Live Restore Enabled: false
 Product License: Community Engine
 
WARNING: No kernel memory limit support
WARNING: No oom kill disable support

##################################

Ötlet? valaki?

Hozzászólások

Nem elég ha csak a konténer rootless, alatta meg selinux/apparmor? 

Ez az install nem rootless, ugye?

Én ezt követtem: https://docs.docker.com/engine/security/rootless/

A runc-t már csak később cseréltem a repóban találhatóra, próbaképp.

Szerk: ##############     30 perccel később     ###############

Nah jóóóvanám...

1, újrahúztam a Debian 11-et

2, Feltoltam a Dockert, Zs, igen a https://docs.docker.com/engine/install/debian/ alapján

3, minden happy, ugye hozza magával a rootless-extras-t is

4, létrehoztam egy natúr usert, még csak sudonak se tagja...

5, dockerd-rootless-setuptools.sh install...

6, némi heggesztés

6,000001....olyan mintha működne...még azért megnyomkodom, mert gyanús...

Mi rootless podmant hasznalunk mar eleg regota. Javaslom adj neki egy eselyt. RHEL7-en volt egy par bug amit a RHEL8 as verzioban mar javitottak, de nekunk workaroundolni kellett. De azota stabilan megy...

Köszi a tippet, amúgy pont podmanozás után, gondoltam megnézem a Docker-t is hogy legyen összehasonlítási alap tapasztalatból is.

De egyenlőre nekem sehogy sem áll össze a docker rootless, míg a podman pöcc röff volt minden szempontból, ez tény.