docker rootless安装

已于 2022-12-22 22:54:17 修改
阅读量2.5k 收藏 3
点赞数 3
分类专栏: docker 文章标签: docker 容器 运维
于 2022-12-22 22:21:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/networken/article/details/128414276
版权

rootless 简介

rootless模式允许以非root用户身份运行Docker守护程序和容器,以减轻守护程序和容器运行时中的潜在漏洞。只要满足先决条件,即使在Docker守护程序安装期间,无根模式也不需要root特权。无根模式是Docker Engine v19.03中引入的一项实验功能。无根模式从Docker Engine v20.10的实验中毕业。

在这里插入图片描述

无根模式在用户命名空间内执行Docker守护进程和容器。这与userns remap模式非常相似,只是在userns remmap模式下,守护进程本身以root权限运行,而在无根模式下,后台进程和容器都在没有root权限的情况下运行。

Rootless 模式利用 user namespaces 将容器中的 root 用户和 Docker 守护进程(dockerd)用户映射到宿主机的非特权用户范围内。Docker 此前已经提供了 --userns-remap 标志支持了相关能力,提升了容器的安全隔离性。Rootless 模式在此之上,让 Docker 守护进程也运行在重映射的用户名空间中。
在这里插入图片描述

参考:https://docs.docker.com/engine/security/rootless/

操作系统: Ubuntu 22.04 LTS

前置条件

创建普通用户

useradd -m -s /bin/bash testuser

为普通用户配置sudo权限

echo 'testuser ALL=(ALL) NOPASSWD: ALL' > /etc/sudoers.d/testuser
chmod 440 /etc/sudoers.d/testuser

切换到普通用户

su - testuser

您必须在主机上安装newuidmapnewgidmap。这些命令由大多数发行版的uidmap软件包提供。

sudo apt-get install -y uidmap

/etc/suubid/etc/subid中应至少包含用户的65536个从属UID/GID。在下面的示例中,用户testuser有65536个从属UID/GID(231072-296607)。

$ id -u
1001
$ whoami
testuser
$ grep ^$(whoami): /etc/subuid
testuser:231072:65536
$ grep ^$(whoami): /etc/subgid
testuser:231072:65536

特定于发行版的提示,如果未安装,请安装dbus-user-session软件包。默认情况下启用overlay2存储驱动程序。

sudo apt-get install -y dbus-user-session

安装docker

首先按照官方正常流程安装docker-ce

sudo apt-get update -y
sudo apt-get install -y ca-certificates curl gnupg lsb-release

sudo mkdir -p /etc/apt/keyrings
curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo gpg --dearmor -o /etc/apt/keyrings/docker.gpg

echo "deb [arch=$(dpkg --print-architecture) signed-by=/etc/apt/keyrings/docker.gpg] https://download.docker.com/linux/ubuntu \
  $(lsb_release -cs) stable" | sudo tee /etc/apt/sources.list.d/docker.list > /dev/null

sudo apt-get update -y
sudo apt-get install -y docker-ce docker-ce-cli containerd.io docker-compose-plugin

通过运行 hello-world 映像验证 Docker 引擎是否已正确安装。

sudo docker run hello-world

禁用docker服务

sudo systemctl disable --now docker.service docker.socket

配置环境变量

loginctl enable-linger $(whoami)
cat >>$HOME/.bashrc<<'EOF'
export XDG_RUNTIME_DIR=/run/user/$(id -u)
export DOCKER_HOST=unix://$XDG_RUNTIME_DIR/docker.sock
export PATH=/usr/bin:$PATH
EOF
source $HOME/.bashrc

安装rootless软件包

curl -fsSL https://get.docker.com/rootless | sh

查看docker服务运行状态

testuser@ubuntu:~$ systemctl --user status docker
● docker.service - Docker Application Container Engine (Rootless)
     Loaded: loaded (/home/testuser/.config/systemd/user/docker.service; enabled; vendor preset: enabled)
     Active: active (running) since Thu 2022-12-22 12:00:33 CST; 10h ago
       Docs: https://docs.docker.com/go/rootless/
   Main PID: 9415 (rootlesskit)
      Tasks: 37
     Memory: 31.9M
        CPU: 18.155s
     CGroup: /user.slice/user-1001.slice/user@1001.service/app.slice/docker.service
             ├─9415 rootlesskit --net=slirp4netns --mtu=65520 --slirp4netns-sandbox=auto --slirp4netns-seccomp=auto --disable-host-loopback --port-driver=builtin --copy-up=/etc --copy-up=/run --propagat>
             ├─9425 /proc/self/exe --net=slirp4netns --mtu=65520 --slirp4netns-sandbox=auto --slirp4netns-seccomp=auto --disable-host-loopback --port-driver=builtin --copy-up=/etc --copy-up=/run --propa>
             ├─9442 slirp4netns --mtu 65520 -r 3 --disable-host-loopback --enable-sandbox --enable-seccomp 9425 tap0
             ├─9450 dockerd
             └─9467 containerd --config /run/user/1001/docker/containerd/containerd.toml --log-level info

Dec 22 12:00:34 ubuntu dockerd-rootless.sh[9450]: time="2022-12-22T12:00:34.357595184+08:00" level=warning msg="Unable to find cpu controller"
Dec 22 12:00:34 ubuntu dockerd-rootless.sh[9450]: time="2022-12-22T12:00:34.357656874+08:00" level=warning msg="Unable to find io controller"
Dec 22 12:00:34 ubuntu dockerd-rootless.sh[9450]: time="2022-12-22T12:00:34.357669424+08:00" level=warning msg="Unable to find cpuset controller"
Dec 22 12:00:34 ubuntu dockerd-rootless.sh[9450]: time="2022-12-22T12:00:34.358167646+08:00" level=info msg="Loading containers: start."
Dec 22 12:00:34 ubuntu dockerd-rootless.sh[9450]: time="2022-12-22T12:00:34.363349751+08:00" level=info msg="skipping firewalld management for rootless mode"
Dec 22 12:00:34 ubuntu dockerd-rootless.sh[9450]: time="2022-12-22T12:00:34.453762675+08:00" level=info msg="Default bridge (docker0) is assigned with an IP address 172.17.0.0/16. Daemon option --bip ca>
Dec 22 12:00:34 ubuntu dockerd-rootless.sh[9450]: time="2022-12-22T12:00:34.499494915+08:00" level=info msg="Loading containers: done."
Dec 22 12:00:34 ubuntu dockerd-rootless.sh[9450]: time="2022-12-22T12:00:34.516587473+08:00" level=info msg="Docker daemon" commit=3056208 graphdriver(s)=btrfs version=20.10.21
Dec 22 12:00:34 ubuntu dockerd-rootless.sh[9450]: time="2022-12-22T12:00:34.516853174+08:00" level=info msg="Daemon has completed initialization"
Dec 22 12:00:34 ubuntu dockerd-rootless.sh[9450]: time="2022-12-22T12:00:34.558781032+08:00" level=info msg="API listen on /run/user/1001/docker.sock"
testuser@ubuntu:~$

使用docker运行容器

docker run -d -p 8080:80 nginx

查看容器内的用户id为0

testuser@ubuntu:~$ docker exec -it funny_noyce id -u
0

查看进程用户id为165636 

testuser@ubuntu:~$ ps -ef |grep nginx
testuser   69100   69077  0 22:31 ?        00:00:00 nginx: master process nginx -g daemon off;
165636     69148   69100  0 22:31 ?        00:00:00 nginx: worker process
165636     69149   69100  0 22:31 ?        00:00:00 nginx: worker process
testuser   69522   69369  0 22:52 pts/0    00:00:00 grep --color=auto nginx
willops
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
docker离线安装包文件(Centos系统)
01-21
docker-19.03.9.tgz 、docker-compose-Linux-x86_64.tgz 、docker-rootless-extras-19.03.9.tgz、文档.rtf
一份超实用的 Docker 容器root 启动实战教程
easylife206的专栏
11-15 616
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !本文总结了业务容器的非 root 启动改造实战经验,强调了非 root 启动的重要性和一些基础知识。文章提供了一些建议,如设置容器内进程的最小权限,使用 USER 指令或者启动脚本来切换用户,以及处理机器码获取等技巧。还包括不同容器镜像的修改和构建过程,以满足非 root 启动要求,特别提到了 CoreDNS 和 C...
docker版本升级为20.10.9
08-08
离线升级docker,首先制作本地yum源方式升级docker版本。以下是操作步骤,需要的安装包已压缩到包里: 首先关闭docker服务 1、手动安装repo-local-rpm里面的rpm 2、复制docker-rpm到/mnt 3、执行createrepo /mnt/update-docker/ 4、手动安装docker-rpm中的fuse-overlayfs、fuse3-libs、libcgroup(Kylin才需安装)、slirp4netns、docker-scan-plugin、docker-ce-rootless-extras 5、复制update.repo到/etc/yum.repos.d 6、执行yum clean all && yum makecache 7、分别执行yum update docker-ce、yum update docker-ce-cli、yum update containerd 8、启动docker验证业务是否正常
Docker 20.10.14通过rpm包离线安装
03-31
在解压目录执行:rpm -ivhU *.rpm --nodeps --force 部分包如下 audit-libs-python-2.8.5-4.el7.x86_64.rpm checkpolicy-2.5-8.el7.x86_64.rpm containerd.io-1.5.11-3.1.el7.x86_64.rpm container-selinux-2.119.2-1.911c772.el7_8.noarch.rpm docker-ce-20.10.14-3.el7.x86_64.rpm docker-ce-cli-20.10.14-3.el7.x86_64.rpm docker-ce-rootless-extras-20.10.14-3.el7.x86_64.rpm docker-scan-plugin-0.17.0-3.el7.x86_64.rpm fuse3-libs-3.6.1-4.el7.x86_64.rpm fuse-overlayfs-0.7.2-6.el7_8.x86_64.rpm iptables-1.4.21-35.el7.x86_64.rpm
使用 Rootless Docker 运行 Minikube
最新发布
学习与分享
12-19 999
Rootless 驱动 Minikube 的部署指南,比官方文档更加流畅
dbus-user-session_1.12.20.9-deepin1_mips64el.deb
09-04
uos mips 支持库
Docker Rootless 在非特权模式下运行 Docker
cr7258的博客
12-26 4559
Docker Rootless 基本概念 Rootless 模式允许以非 root 用户身份运行 Docker 守护进程(dockerd)和容器,以缓解 Docker 守护进程和容器运行时中潜在的漏洞。Rootless 模式是在 Docker v19.03 版本作为实验性功能引入的,在 Docker v20.10 版本 GA。 Rootless 模式目前对 Cgroups 资源控制,Apparmor 安全配置,Overlay 网络,存储驱动等还有一定的限制,暂时还不能完全取代 “Rootful” Dock
docker系列】使用非root用户安装及启动docker(rootless模式运行)
热门推荐
字母哥博客
05-20 2万+
字母哥只出精品原创,使用非root用户安装及启动docker(rootless模式运行)
如何用 Rootless 模式实现普通用户运行 Docker 容器
easylife206的专栏
09-01 665
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !Docker Rootless 基本概念Rootless 模式允许以非 root 用户身份运行Docker 守护进程(dockerd)和容器,以缓解 Docker 守护进程和容器运行时中潜在的漏洞。Rootless 模式是在 Docker v19.03 版本作为实验性功能引入的,在 Docker v20.10 版本...
Docker 学习总结(78)—— Docker Rootless 让你的容器更安全
科技D人生
09-19 531
Docker Rootless 模式是官方提供的一种安全解决方案,可以让 Docker 守护进程以普通用户身份运行,从而避免容器应用利用 Docker 漏洞获得宿主机 root 权限的风险。另外,要注意的是因为Docker 作为容器本身需要利用很多系统高级特性,因此 Docker 守护进程以非 Root 身份运行实际上也会导致一些功能受限。这点可以参与官方文档详细了解。
docker-rootless
03-17
码头无根
docker-ce-rootless-extras-20.10.14-3.el8.x86_64.rpm
04-26
docker-ce-rootless-extras-20.10.14-3.el8.x86_64.rpm
在线安装docker和离线安装docker步骤详解
韩利巍
07-17 3887
重新加载某个服务的配置文件,如果新安装了一个服务,归属于 systemctl 管理,要是新服务的服务程序配置文件生效,需重新加载。在/usr/lib/systemd/system/目录下,创建docker.service文件。我这里下载的是docker-19.03.9.tgz ,一般我们需要下载社区版 -ce;进入opt目录解压docker-19.03.9.tgz。复制内容到docker.service中。到此docker离线版就部署完成!编辑docker.service文件。
ubuntu docker 安装以及无需root运行
fanghailiang2016的博客
09-29 697
dockerroot运行
docker服务端是否一定需要以root用户运行?
十年运维开发经验的王义杰在此分享自己的知识和经验
09-13 1153
Docker 默认是以root用户运行的,这主要是因为 Docker 需要进行一系列需要高权限的操作,例如操作系统级别的虚拟化(例如网络配置、进程空间隔离等)。然而,这样的设计确实引发了一些关于安全性的问题和讨论。
Run the Docker daemon as a non-root user (Rootless mode)
m0_66570838的博客
08-30 880
本文主要介绍了docker rootless安装过程。
docker 离线安装
weixin_39651041的博客
05-28 1万+
制作安装包,来离线安装 doker 和 docker-compose。
root用户离线安装docker
qq_28323595的博客
09-09 4116
root用户离线安装docker1.创建非root用户2.设置普通用户密码3.给普通用户添加sudo权限4.切换到非root用户,创建docker组5.把当前用户加入到docker组6.切换到root,再进入qwtest7.解压8.将解压出来的docker目录下的指令复制到 /usr/bin/ 目录下9./usr/bin/目录下docker有关指令的所属用户和所属组(必做,不然非root用户使用docker指令报错:权限不够)10.查看一下是否改变所属用户和所属组(得到和解压出来的docker目录下的一样
OpenShift 容器平台社区版 OKD 4.10.0部署
IT
04-05 1万+
红帽 OpenShift 是一个领先的企业级 Kubernetes 容器平台,OpenShift 将原生 Kubernetes 扩展为专为企业大规模使用而设计的应用程序平台。OpenShift控制台具有面向开发人员和管理员的视图,能让开发人员轻松构建、部署和运行应用,OpenShift 还提供了一个CLI,该CLI支持Kubernetes CLI提供的操作的超集。
docker rootless 无法拉取镜像
05-15
如果您在使用 Docker Rootless 时遇到了无法拉取镜像的问题,可能是由于权限问题导致的。以下是一些可能的解决方案: 1. 确保您具有拉取镜像所需的权限。您可以尝试使用 `sudo` 命令运行 Docker 命令,或者将当前用户添加到 `docker` 用户组中。 2. 您可以尝试在 Docker Rootless 模式下使用 `--insecure-registry` 参数来拉取不受信任的镜像。例如,您可以运行以下命令来拉取 Docker Hub 上的 hello-world 镜像: ``` $ docker -H tcp://localhost:2375 --tls --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem --insecure-registry registry-1.docker.io pull hello-world ``` 3. 如果您使用的是 Docker Compose,请确保在 `docker-compose.yml` 文件中设置了正确的镜像名称和标签。 4. 您还可以尝试更新 Docker Rootless 版本。最新版本可能包含修复拉取镜像问题的更新。 希望这些解决方案能够帮助您解决问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值