主页 / server / 问题 / 824516
Accepted
volvox
Asked: 2017-01-06 15:38:06 +0800 CST

如何在 docker swarm 模式服务调用上设置 Linux 功能

  • 772

我正在研究在 swarm (1.12.x) 下运行的保险库的概念。

单个容器将以以下方式启动: docker run -d --cap-add IPC_LOCK -p 8200:8200 -p 8215:8125 --name vault --volume /vagrant/vault:/vagrant/vault vault server -config=/path/to/vault.hcl

但是当我想在 swarm 中将其作为服务运行时,似乎无法指定IPC_LOCK功能,以便在这种情况下锁定 Vault 服务的加密交换。

使用命令启动群模式服务时如何设置 --cap-add 标志docker service create

docker docker-swarm

4 个回答

  1. Best Answer

    从 20.10 开始,可通过以下方式docker service create获得--cap-add

    $ docker service create --help
...
      --cap-add list                       Add Linux capabilities
      --cap-drop list                      Drop Linux capabilities

    或者在使用与docker stack deploy版本 2 文件相同语法的 compose 文件中:

    version: "3.9"
services:
  app:
    image: your-image:tag
    cap_add:
    - CAP_NAME1
    - CAP_NAME2
    cap_drop:
    - CAP_NAME3
    - CAP_NAME4

    [ 20.10 之前的原始答案 ]

    目前不支持,但 Docker 正在研究解决方案。不盲目包含该--cap-add选项背后的逻辑是在大型集群中,管理员向工作人员提交具有附加权限的容器可能存在安全问题。工作人员可能信任正在运行的无法访问主机的安全容器,但不希望通过特权容器允许远程根访问主机。

    关于这个的讨论已经在 github 上结束了:

    https://github.com/docker/docker/pull/26849#issuecomment-252704844

    https://github.com/docker/swarmkit/issues/1030

    https://github.com/docker/swarmkit/pull/1722

    https://github.com/moby/moby/issues/25885#issuecomment-557790402https://github.com/docker/cli/pull/2199

    • 11

  2. 这里的所有其他答案都是旧的。Docker 20.10.0 和更新版本现在支持通过docker service命令行Docker Stack YAML 文件格式为 Swarm 服务指定功能。

    在命令行上,您只需指定--cap-add [capability]or --cap-drop [capability]

    下面是在 Docker Stack YAML 文件中添加功能的示例:

    version: "3.9"
services:
  your-service:
    cap_add:
      - CAP_SYS_ADMIN
    • 9

  3. 我找到了解决问题的方法,我可以cap_net_admin在 swarm 模式下使用。

    您可以修改运行时源代码以添加您需要的功能(这将是本地默认设置)。

    例如,我将wanyvic/nvidia-container-runtimeCAP_NET_ADMIN添加到我的运行时(使用nvidia-container-runtime) 。

    之后我重建了它,启动了一个容器(使用 swarm 模式),输入:capsh --print和 CAP_NET_ADMIN 可以找到:

    root@25303a54ebb3:/# capsh --print
Current:=cap_chown,cap_dac_override,cap_fowner,cap_fsetid,cap_kill,cap_setgid,cap_setuid,cap_setpcap,cap_net_bind_service,cap_net_admin,cap_net_raw,cap_sys_chroot,cap_mknod,cap_audit_write,cap_setfcap+eip
Bounding set =cap_chown,cap_dac_override,cap_fowner,cap_fsetid,cap_kill,cap_setgid,cap_setuid,cap_setpcap,cap_net_bind_service,cap_net_admin,cap_net_raw,cap_sys_chroot,cap_mknod,cap_audit_write,cap_setfcap
Securebits: 00/0x0/1'b0
 secure-noroot: no (unlocked)
 secure-no-suid-fixup: no (unlocked)
 secure-keep-caps: no (unlocked)
uid=0(root)
gid=0(root)
groups=

    但这种方法并不好。

    我也无法设置cap_addor cap_dropin docker-compose.yml,但我找不到解决方法。

    • -1

  4. https://hub.docker.com/r/ixdotai/swarm-launcher

    该回购基于此评论/想法:https ://github.com/moby/moby/issues/25885#issuecomment-573355530

    根据用例,一种解决方法是/var/run/docker.sock从 swarm 主机绑定挂载到服务,然后运行docker run --privileged ...docker run --cap-add ...从服务执行您的实际特权命令。(您必须在该服务的映像中安装 docker cli。)您以这种方式运行 docker 的最里面的容器将具有 swarm 主机而不是服务的权限/功能,并且服务只是变得瘦了容器层。

    • -1

相关问题