Docker/Userns-remap - Beschreibung

Beschreibung

Isolation laufender Prozesse

Anwendungen von Containern mit nicht privilegierten Benutzern ausführen

Können einem Benutzer mit weniger Privilegien auf dem Docker-Host zugeordnet werden

Dem Benutzer wird ein Bereich von UIDs zugewiesen

Vorbereitung

Nach dem Aktivieren von userns-remap erstellt Docker einen Unterordner wie folgt:

/var/lib/docker/<uid>.<gid>/

Neue Entitäten (Bilder, Container, Volumes, Overlay-Ebenen) werden nun dort gespeichert.

docker ps, docker images, docker volume ls funktionieren nur mit dem aktuellen namepace

Der Eigentümer der Dateien in overlay2 und volumes ist nun nicht mehr root, sondern der remapped-Benutzer

Images und Container lassen sich einfacher und schneller neu laden als migrieren.

Bei aktiviertem userns-remap

--pid=host und --network=host können nicht verwendet werden.
Einige externe Volume-/Speichertreiber verstehen möglicherweise remap nicht und funktionieren nicht mehr.
--privileged ohne --userns=host funktioniert nicht mehr wie zuvor, einige Funktionen sind eingeschränkt.
Es ist besser, userns-remap bei einer sauberen Docker-Installation zu aktivieren: Alte Image-Layer und Container werden ausgeblendet, da Docker einen separaten Ordner für den neuen Namespace in /var/lib/docker/ erstellt.

Alle erforderlichen Daten werden in den Ordner /var/lib/docker/<uid.guid> verschoben

Nach der Migration nicht mehr benötigte Dateien löschen

systemctl stop docker
cd /var/lib/docker
rm -rf containers image network plugins swarm tmp trust volumes

{
  "userns-remap": "default"
}

Oder Sie können den Benutzer manuell eingeben:

{
  "userns-remap": "testuser"
}

Sie können den Namen, die UID oder user:group angeben

Nach dem Speichern der Datei den Dienst neu starten:

sudo systemctl restart docker

docker info | grep -i userns

Userns mode: private