Мы пытаемся смонтировать файловую систему lustre внутри работающего контейнера и успешно сделали это через контейнеры, работающие в привилегированном режиме.
Однако для тех контейнеров, которые работают в непривилегированном режиме, не удалось установить lustre, даже если Linux предоставляет все возможности -- десятки возможностей -- были включены!
затем
- в чем разница между priviledged: True и cap_add: все возможности?
- Почему монтирование блеска по-прежнему не удается, когда в контейнер добавлены все возможности?
Контейнер непривилегированного режима:
version: "3"
services:
aiart:
cap_add:
- AUDIT_CONTROL
- AUDIT_READ
- AUDIT_WRITE
- BLOCK_SUSPEND
- CHOWN
- DAC_OVERRIDE
- DAC_READ_SEARCH
- FOWNER
- FSETID
- IPC_LOCK
- IPC_OWNER
- KILL
- LEASE
- LINUX_IMMUTABLE
- MAC_ADMIN
- MAC_OVERRIDE
- MKNOD
- NET_ADMIN
- NET_BIND_SERVICE
- NET_BROADCAST
- NET_RAW
- SETGID
- SETFCAP
- SETPCAP
- SETUID
- SYS_ADMIN
- SYS_BOOT
- SYS_CHROOT
- SYS_MODULE
- SYS_NICE
- SYS_PACCT
- SYS_PTRACE
- SYS_RAWIO
- SYS_RESOURCE
- SYS_TIME
- SYS_TTY_CONFIG
- SYSLOG
- WAKE_ALARM
image: test_lustre:1.1
#privileged: true
ports:
- "12345:12345"
volumes:
- /home/wallace/test-lustre/docker/lustre-client:/lustre/lustre-client