การปรับแต่งเคอร์เนลพร้อมสิทธิพิเศษ Docker Container

10

ฉันกำลังสร้างที่เก็บเพื่อปรับการตั้งค่าเคอร์เนลสำหรับตัวโหลดบาลานซ์ ฉันต้องการปรับใช้การเปลี่ยนแปลงเหล่านั้นกับโฮสต์ในภาพโดยใช้คอนเทนเนอร์ที่มีสิทธิ์เดียว ตัวอย่างเช่น:

docker run --rm --privileged ubuntu:latest sysctl -w net.core.somaxconn=65535

ในการทดสอบการเปลี่ยนแปลงจะมีผล แต่เฉพาะกับคอนเทนเนอร์นั้น ฉันอยู่ภายใต้การแสดงผลที่มีการเปลี่ยนแปลงที่เก็บสิทธิ์อย่างเต็มที่ไปที่ / proc จริง ๆ แล้วจะเปลี่ยนระบบปฏิบัติการพื้นฐาน

$docker run --rm --privileged ubuntu:latest \
    sysctl -w net.core.somaxconn=65535
net.core.somaxconn = 65535

$ docker run --rm --privileged ubuntu:latest \
    /bin/bash -c "sysctl -a | grep somaxconn"
net.core.somaxconn = 128

นี่เป็นวิธีที่คอนเทนเนอร์ที่มีสิทธิใช้งานควรทำงานหรือไม่

ฉันแค่ทำอะไรโง่ ๆ

วิธีที่ดีที่สุดในการเปลี่ยนแปลงที่ยั่งยืนคืออะไร?

ข้อมูลรุ่น:

Client version: 1.4.1
Client API version: 1.16
Go version (client): go1.3.3
Git commit (client): 5bc2ff8
OS/Arch (client): linux/amd64
Server version: 1.4.1
Server API version: 1.16
Go version (server): go1.3.3
Git commit (server): 5bc2ff8

ตัวอย่างคำสั่งที่เมาท์ / proc:

$ docker run -v /proc:/proc ubuntu:latest \
    /bin/bash -c "sysctl -a | grep local_port"
net.ipv4.ip_local_port_range = 32768    61000

$ docker run -v /proc:/proc --privileged ubuntu:latest \
    /bin/bash -c "sysctl -p /updates/sysctl.conf"
net.ipv4.ip_local_port_range = 2000 65000

$ docker run -v /proc:/proc ubuntu:latest \
    /bin/bash -c "sysctl -a | grep local_port"
net.ipv4.ip_local_port_range = 32768    61000

$ docker run -v /proc:/proc --privileged ubuntu:latest \
    /bin/bash -c "sysctl -a | grep local_port"
net.ipv4.ip_local_port_range = 32768    61000
linux  docker  su  sysctl 
allingeek
แหล่งที่มา
ฉันต้องทำอะไรที่โง่ ๆ เช่น mount / proc เป็นโวลุ่มหรือไม่?
allingeek
พยายามติดตั้ง / proc: / proc โดยไม่มีโชค การเรียก sysctl -a ที่ตามมาส่งคืนค่าดั้งเดิม
allingeek
ดูเหมือนว่าตอนนี้มันจะทำงานบน Docker 18.09
Jairo Andres Velasco Romero

คำตอบ:

8

การตั้งค่าเฉพาะนี้อยู่ภายใต้อิทธิพลของเนมสเปซเครือข่ายที่นักเทียบท่าทำงาน

ตามกฎทั่วไป/procจะเปลี่ยนแปลงการตั้งค่าที่เกี่ยวข้องทั้งระบบการพูดทางเทคนิค แต่คุณกำลังเปลี่ยนแปลงการตั้งค่า/proc/netซึ่งจะให้ผลลัพธ์ในแต่ละเนมสเปซเครือข่าย

โปรดทราบว่า/proc/netนี่คือ symlink จริง ๆ/proc/self/netเพราะมันสะท้อนถึงการตั้งค่าของ namespace ที่คุณกำลังทำงานอยู่

Matthew Ife
แหล่งที่มา
ดังนั้นถ้าฉันทำการเปลี่ยนแปลงนี้ในคอนเทนเนอร์ที่มี / proc mount และ --net host ฉันสามารถทำการเปลี่ยนแปลงกับโฮสต์ได้ แต่ถ้าฉันเข้าใจคำตอบของคุณคอนเทนเนอร์ที่ตามมาจะรักษาค่าเก่า (bootstrapped จากการตั้งค่าคงที่ของโฮสต์) ในเนมสเปซของตัวเอง ฉันต้องการเรียกใช้คอนเทนเนอร์นั้นด้วย CAP_NET_ADMIN เพื่อทำการเปลี่ยนแปลงแบบเดียวกันกับรันไทม์ในคอนเทนเนอร์ของโหลดบาลานเซอร์ ใช่มั้ย
allingeek
ใช่การรันด้วย CAP_NET_ADMIN ไม่ควรทำให้เกิดปัญหาเมื่อคุณสร้างอินสแตนซ์ของเนมสเปซ
Matthew Ife
Matthew_Ife ไม่ใช่ปัญหาในกรณีนี้ที่คาดว่าจะได้รับการยกเว้น ดูเหมือนว่าสำหรับฉันแล้ว CAP_NET_ADMIN อาจยอมให้มีการหลบหนีจากการรวมนักเทียบท่า (อย่างน้อยคอนเทนเนอร์สามารถกำหนดค่าอินเทอร์เฟซใหม่เพื่อเลียนแบบคอนเทนเนอร์อื่น)
Ángel
@Angel นั้นจะขึ้นอยู่กับว่าลิงก์ออกตั้งค่าอะไรไว้ภายใน Docker โดยทั่วไปเราควรบังคับใช้ทราฟฟิกในเนมสเปซหลัก เป็นไปไม่ได้ที่จะเปลี่ยนเนมสเปซเป็นอย่างอื่นเนื่องจากคุณต้องการ CAP_SYS_ADMIN
Matthew Ife
ดังนั้นการใช้ --net = host จะทำงานอย่างไร
Jairo Andres Velasco Romero
7

นักเทียบท่า 1.12+ มีการสนับสนุนแบบเนทีฟสำหรับการปรับแต่งค่า sysctl ภายในคอนเทนเนอร์ นี่คือข้อความที่ตัดตอนมาจากเอกสาร :

กำหนดค่าพารามิเตอร์เคอร์เนล namespaced (sysctls) ที่รันไทม์

--sysctl ตั้งค่าพารามิเตอร์เคอร์เนล namespaced (sysctls) ในภาชนะ ตัวอย่างเช่นหากต้องการเปิดการส่งต่อ IP ในเนมสเปซเครือข่ายคอนเทนเนอร์ให้รันคำสั่งนี้:

docker run --sysctl net.ipv4.ip_forward=1 someimage

ใช้ตัวอย่างของคุณวิธีการยกที่net.core.somaxconnถูกต้องคือ:

docker run ... --sysctl net.core.somaxconn=65535 ...
hyperknot
แหล่งที่มา
3

ภาชนะที่มีสิทธิพิเศษยังคงใช้ namespace /procกระบวนการของตัวเองสำหรับ สิ่งที่คุณสามารถทำได้คือติดตั้งของจริง/procภายในคอนเทนเนอร์:

docker run --rm --privileged -v /proc:/host-proc ubuntu:latest \
  'echo 65535 > /host-proc/sys/net/core/somaxconn'
นางฟ้า
แหล่งที่มา
ลองใช้วิธีนี้ แต่ใช้ไม่ได้
allingeek
จากสิ่งเล็กน้อยที่ฉันรู้เกี่ยวกับนักเทียบท่า; มันควรจะเป็นอินสแตนซ์ที่มีอยู่ในตัวเองเช่นคุกใน FreeBSD ดังนั้นจึงสามารถเคลื่อนย้ายได้ง่ายปรับใช้ซ้ำ ฯลฯ ... คุณไม่ควรรวม docklet เข้ากับโฮสต์ระบบปฏิบัติการ
DutchUncle
2
มีหลายกรณีที่ถูกต้องสำหรับการใช้งาน - คอนเทนเนอร์แบบเรียบง่ายและดูเหมือนว่าเป็นกรณีที่สมบูรณ์แบบ คอนเทนเนอร์ทั้งหมดใช้เคอร์เนลพื้นฐานเดียวกัน คอนเทนเนอร์มาตรฐานเมานต์ / proc เป็นแบบอ่านอย่างเดียว
allingeek
@allingeek CAP_NET_ADMIN อาจเป็นบิตที่หายไป
Ángel
1
พยายามกับ NET_ADMIN และยังใช้งานไม่ได้ - นักเทียบท่าวิ่ง --cap-add NET_ADMIN --net = host -v / proc: / proc_host อูบุนตู: 14.04 bash -c 'echo 1> / proc_host / sys / net / ipv4 / ip_forward '&& sysctl net.ipv4.ip_forward net.ipv4.ip_forward = 0
tomdee
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.