Estou executando o chromedriver + chrome no Docker no meu ambiente de teste.
Tudo estava funcionando bem até a atualização mais recente do CoreOS.
Estas são as versões que parecem funcionar:
VERSION=1185.5.0
VERSION_ID=1185.5.0
BUILD_ID=2016-12-07-0937
E esta é uma versão mais recente que faz com que o chrome coredump:
VERSION=1235.4.0
VERSION_ID=1235.4.0
BUILD_ID=2017-01-04-0450
Observando as mudanças, parece que o docker foi atualizado de 1.11.x para 1.12.x, que interrompeu a setns()
chamada dentro do contêiner. setns()
é usado pelo Chrome para criar espaços para nome.
Estes são os exemplos de saídas:
jsosic-coreos-test-20161207 ~ # docker --version
Docker version 1.11.2, build bac3bae
De dentro de um contêiner nesta caixa:
[root@2939f21ecfaa /]# /opt/google/chrome/google-chrome
[57:57:0107/015130:ERROR:browser_main_loop.cc(261)] Gtk: cannot open display:
É assim que a nova versão o quebrou:
jsosic-coreos-test-2017-01-04 ~ # docker --version
Docker version 1.12.3, build 34a2ead
[root@13ab34c36c82 /]# /opt/google/chrome/chrome
Failed to move to new namespace: PID namespaces supported,
Network namespace supported,
but failed: errno = Operation not permitted
Aborted (core dumped)
O que descobri é que, se eu iniciar o contêiner com --cap-add=SYS_ADMIN
ou --privileged
- o Chrome funcionará conforme o esperado.
Qual é a diferença entre esses dois switches? Quais recursos são ativados por --privileged
?
E posso permitir o setns()
contêiner interno sem comprometer a segurança?
fonte
Respostas:
AFAICS, a documentação sugere conceder os recursos necessários para um contêiner, em vez de usar o
--privileged
comutador. A execução no modo privilegiado parece conceder ao contêiner todos os recursos (exatamente os que estão listados no primeiro URL, desde que os documentos estejam atualizados).Em resumo, eu diria que
--cap-add=SYS_ADMIN
concede um subconjunto menor de recursos ao contêiner, comparado ao--privileged
switch. Caso os exemplos na documentação do Docker (primeira URL) pareçam preferir apenas adicionar o recursoSYS_ADMIN
ouNET_ADMIN
quando necessário.fonte
exec_linux.go
ajudou. Tentei clonagem repo janela de encaixe para grep através dele, mas desde que ele me levou duas horas Eu apenas esqueci :)Uma diferença é que --privileged monta / dev e / sys como RW, onde SYS_ADMIN os monta como RO. Isso significa que um contêiner privilegiado tem acesso total aos dispositivos no sistema. SYS_ADMIN não fornece isso a você.
fonte