我正在运行一个基于 image 的容器linuxserver/radarr:3.0.0.3095-ls12。
一旦我将标签/版本更新到linuxserver/radarr:3.0.0.3807-ls24应用程序停止工作。
经过一点调试后,我注意到date这张图片中的行为很奇怪:
$ docker run --rm --entrypoint "" linuxserver/radarr:3.0.0.3807-ls24 date
Fri 20 Feb 1970 03:17:15 AM UTC
$ docker run --rm --entrypoint "" linuxserver/radarr:3.0.0.3807-ls24 date
Sun 01 Mar 1970 09:09:15 AM UTC
$ docker run --rm --entrypoint "" linuxserver/radarr:3.0.0.3807-ls24 date
Thu 19 Feb 1970 09:04:59 AM UTC
但老不
$ docker run --rm --entrypoint "" linuxserver/radarr:3.0.0.3095-ls12 date
Sat 10 Oct 2020 12:15:09 AM UTC
冥想了一段时间后,假设时钟中有某种奇怪的黑魔法,决定运行它以--privileged获得完全/原始访问权限
$ docker run --rm --entrypoint "" --privileged linuxserver/radarr:3.0.0.3807-ls24 date
Sat 10 Oct 2020 12:16:22 AM UTC
它运行良好(应用程序也运行良好,但对这个问题并不重要)。
我已经浏览docker history了这两个图像,但是很多COPY并且RUN curl在构建之间可能会产生不同的结果。尽管如此,我认为没有人(图像维护者)会想要破坏日期,所以它一定是他们无法控制的(没有libfaketime找到)......
这是一个多架构图像,这些结果来自树莓派(因此图像的 arm 构建)。在我的 amd64 linux 笔记本电脑中,date即使没有特权,最新的图像也能正确报告...
会是什么呢?由于无法使用该--privileged标志,我什至如何开始调试它?
跟进Adrian的评论(这应该是一个答案):
根据linuxserver FAQ,这是2020 年 3 月以来 docker 和 ubuntu 焦点镜像的一个已知问题。
它似乎与过时的 libseccomp(除了内核本身之外的唯一依赖项)有关,这解释了为什么
privileged容器不受影响(禁用系统调用过滤)。他们列出了可能的解决步骤。
就我而言(作为 OP),我使用的是 Buster,因此从 buster-backports 安装最新的 libseccomp 解决了这个问题