Можно ли использовать сокет докера, смонтированный с хоста внутри контейнера докера, при использовании пространств имен пользователей?
У меня есть следующая конфигурация:
/etc/subuid
user:100000:65536
/etc/субгид
user:100000:65536
/etc/докер/daemon.json
{
"userns-remap": "ns-user"
}
Я создал пользователя ns-user с UID 100000 и группу ns-user с GID 100000. Дополнительно Я добавил ns-user в группу docker. Когда я вхожу в систему как ns-user на хост-компьютере, я могу использовать докер через сокет.
Проблема в том, что когда я запускаю контейнер с установленным сокетом докера, мне отказывают в разрешении на сокет. Привилегии сокетов внутри док-контейнера:
srw-rw---- 1 nobody nogroup 0 Jun 26 15:00 /var/run/docker.sock
РЕДАКТИРОВАТЬ 1:
Чтобы уточнить, я думал, что корень (uid 0) внутри контейнера сопоставляется с ns-user (uid 100000) на хосте, у которого есть разрешение на сокет докера. но на самом деле мне отказывают в разрешении. Почему?
Я не хочу использовать параметр --userns=host.
-v /var/run/docker.sock:/var/run/docker.sock
?? - person OscarAkaElvis   schedule 26.06.2017