PVE8 虚拟机下,特权容器LXC无法运行Docker的问题的解决

已于 2025-02-24 23:37:58 修改
阅读量504 收藏 10
点赞数 5
分类专栏: 虚拟化 文章标签: docker 容器 运维开发 运维
于 2025-02-16 18:04:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Kwans/article/details/145667736
版权

问题描述

因项目需求,在PVE8环境下创建了无特权LXC容器,模板是Ubuntu 22.04,在可以正常安装Docker但无法运行,运行时报错

Error response from daemon: AppArmor enabled on system but the docker-default profile could not be loaded: running `/usr/sbin/apparmor_parser apparmor_parser -Kr /var/lib/docker/tmp/docker-default641263055` failed with output: apparmor_parser: Unable to replace "docker-default".  Permission denied; attempted to load a profile while confined? error: exit status 243.

经查原因是:AppArmor启用了,但 Docker 默认的 AppArmor 配置文件无法加载导致。
搜索网络,看到给出的简单解决方案是配置 /etc/pve/lxc/XXX.conf文件,增加:

lxc.cgroup2.devices.allow: a
lxc.cap.drop:

经测试的确能够正常运行DOCKER。

但是由于

lxc.cgroup2.devices.allow

是基于 Linux 控制组(cgroup v2)的一个配置项,主要用于控制容器对设备的访问权限。在 Linux 系统中,设备以文件的形式存在于 `/dev` 目录下,通过这个配置项,你可以指定容器允许访问哪些设备。显然`a`:是一个特殊的参数,表示允许容器访问所有设备。配置文件中设置 `lxc.cgroup2.devices.allow: a` 时,意味着该 LXC 容器可以访问宿主机上的所有设备文件,包括块设备(如硬盘)、字符设备(如串口)等。

这显然是**不安全**的。因而考虑替换为:

lxc.apparmor.profile: unconfined

经测试可以正常运行DOCKER。

lxc.apparmor.profile: unconfined`:这一配置会让容器不受 AppArmor 配置文件的常规限制,意味着容器可以使用 AppArmor 所管理的全部能力。

下一步就是优化并进一步控制AppArmor的能力,在尽可能安全的情况下运行。

# 基本容器配置 
lxc.include: /usr/share/lxc/config/common.conf lxc.arch: amd64

# 启用 AppArmor 支持 
lxc.apparmor.profile: generated 

# 允许特定的 AppArmor 能力 
lxc.apparmor.allow: netwodrk lxc.apparmor.allow: file

这需要根据自己的需求来调整能力而进一步设置权限

PVE (Proxmox) 虚拟机系统企业级实战(附PVE镜像)
悦分享
01-07 880
PVE 是能让你在一台机器上同时跑 N 个不同操作系统虚拟机的统一管理平台 (宿主系统)。Proxmox VE 是一款开源免费的服务器虚拟化环境,你可以将它想象成一个专门用于跑虚拟机的宿主系统 (虚拟机管理平台),它同时支持两种虚拟化技术:KVM 虚拟机LXC 容器。你能在 VPS 服务器或普通 PC 电脑上安装它,就能随意创建多个虚拟机,同时运行各种各样操作系统。
PVELXC > Ubuntu 下docker运行报错问题解决
最新发布
新手上道的博客
03-05 640
系统环境:Proxmox Virtual Environment 8.3.4 在 LXC 容器中安装 Ubuntu 24.10。运行命令:docker run hello-world。出现的问题:在容器运行docker时报错。3、编辑 containerd 服务。这样,docker应该可以启动了。2、启动此LXC容器
lxc容器无法访问宿主机物理设备问题解决
a2591748032的博客
05-31 2013
lxc容器无法访问宿主机物理设备问题解决
执行 Docker 命令 提示 permission denied解决
热门推荐
IMXF
08-29 1万+
执行docker 命令权限不足处理
PVE虚拟机 LXC容器 安装docker 2024年7月最新教程
qq_16651077的博客
07-21 4839
不知道为什么,现在PVE LXC安装docker难度变得比较大,这里记录一下我的安装过程,以免后续忘记了。这里没有该文件的就新建一个文件,使用mkdir和touch指令就行。
pve上使用lxc容器安装k3s,rancher
tuonian的博客
03-22 1061
暂时仅列出关键点步骤,其它步骤待之后补全。
PVE安装ikuai、openwrt以及lxc容器安装docker
FBIx0024的博客
12-13 5576
pve安装openwrt以及ikuai路由系统,lxc容器安装docker
Proxmox LXC 容器安装docker
11-29
Proxmox LXC 容器安装docker 在 Proxmox 环境中,LXC 容器可以用来安装 Docker,并使用 Rancher 来组建 K8s 集群。在这个过程中,我们需要注意一些限制条件,例如只能在 Ubuntu 容器中安装 Docker,CentOS 容器测试...
pve运行docker出错及解决方法
qq_41176037的博客
02-25 2160
pve运行docker出错及解决方法1. 出错现象2. 解决方案 1. 出错现象 docker 下载镜像或运行镜像时出错提示: docker: Error response from daemon: OCI runtime create failed: container_linux.go:345: starting container process caused "process_linux.go:430: container init caused \"rootfs_linux.go:58: moun
(一)PVELXC运行openwrt
Algorithm的博客
02-17 6782
(一)PVELXC运行openwrt支持fullconeNat,拔号等更新内核5.4.78-21.lxc运行openwrt 1.lxc运行openwrt op用的是 homelede 0905版本 https://github.com/xiaoqingfengA … C%E5%8F%91%E5%B8%83 解压网盘中其中一个内核的压缩包 安装新内核xxx就是具体的内核版本tar -xvf xxxxx.tar.gz:例如 tar -xvf pve-kernel-5.4.78-2-pve.tar.
pve lxc docker
08-08
PVE代表Proxmox Virtual Environment,是一种开源的虚拟化管理平台,允许用户在服务器上创建和管理虚拟机容器等虚拟环境。PVE提供了多种虚拟化技术的支持,其中包括LXCDockerLXC(Linux Containers)是一种...
PVE LXC Intel/AMD核显拆分 支持Jellyfin硬解
INT15的博客
01-08 5091
是的你没听错,amd核显也可以很简单的拆分。
pve lxc容器探索,陆续完善中
lwprain的专栏
10-10 338
执行完成后 不需要重启 即可生效。上面的命令等同 在 /etc/pve/lxc/100.conf 添加一行。说明:容器附加主机目录,/myweb/src为主机目录,/src为lxc中目录,100为容器ID。注意:创建lxc容器时,不要勾选“无特权容器”,才可以使用如下命令进行挂载。可以在这里单独下载镜像,上传到模板中使用。
pve中的磁盘目录挂载到lxc容器
DONG999的专栏
02-06 8646
本处的出发点是,pve中有一块磁盘已挂载用于网络共享,但其中的文件需要被docker某些程序访问。不记得设置了多少个,在pve对应的ID中,里面有资源选项卡会显示挂载的情况。实际案例:pct set 105 -mp1 /mnt/st2,mp=/home/jellyfin/media/st2。mp=/home/jellyfin/media/st2: 这是要挂载到容器中的目录位置。nano /etc/pve/lxc/105.conf #100是对应的容器ID。/mnt/st2: 这是pve上的目录位置。
ubuntu 14.04 体验LXC特权容器
weixin_34220963的博客
07-23 297
LXC 1.0 最大的特性是非特权容器,通过巧妙的uidmap,将物理机的普通用户(uid和gid)映射成容器里的root(uid=0,gid=0),极大的提高了lxc的安全性。LXC 1.0 对内核和python版本有要求,故下文以 ubuntu 14.04 为例,使用普通用户dell创建非特权lxc容器。(以下操作,非特别说明,均为root权限操作,命令提示符为#号)1、安装lxcapt-g...
pve中的lxc centos7安装docker
phrnet的博客
02-15 4204
首先设置 1、取消勾选无特权容器,签名选择-嵌套。 2、为了让网络使用 需要设置宿主机 需要到宿主机的shell中输入 echo 1 > /proc/sys/net/ipv4/ip_forward 参考:echo 1 > /proc/sys/net/ipv4/ip_forward 3、安装,然后启动就行了,如果有问题那只能输入这个 看日志: journalctl -xe | grep docker systemctl stutas docker systemctl restart
浅谈Docker安全性支持
Docker的专栏
10-18 1538
Docker作为最重视安全的容器技术之一,在很多方面都提供了强安全性的默认配置,其中包括:容器root用户的Capability能力限制、Seccomp系统调用过滤、Ap...
lxc 配置参数详解
yiyeguzhou100的专栏
12-01 1964
Create and start “lxc-example” by lxctool(version:2.0.9),  it generatesseveral subsystems, we mainly focus on the configuration of below threesubsystem: /sys/fs/cgroup/cpu/lxc/lxc-example/… /sys/fs/
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值