运行Ubuntu 20的Docker桌面macOS和bpf不允许的命中操作

Question

设置详细信息：

macoS 12.1, docker desktop: 4.3.2
Linux nsipsecinst-0 5.10.76-linuxkit #1 SMP Mon Nov 8 10:21:19 UTC 2021 x86_64 x86_64 x86_64 GNU/Linux

容器内的表格

lsb_release -a
No LSB modules are available.
Distributor ID: Ubuntu
Description:    Ubuntu 20.04.3 LTS
Release:    20.04
Codename:   focal

我使用特权和CAP_NET_ADMIN + CAP_SYS_ADMIN运行容器

"CapAdd": [
                "NET_ADMIN",
                "SYS_ADMIN"
            ],
            "CapDrop": null,
            "CgroupnsMode": "private",

现在，当我尝试加载一个简单的bpf程序时，我在容器中得到以下错误

bpf_prog_load() failed: [1] Operation not permitted

当我在运行内核5.4的VM上运行完全相同的代码时，它运行得很好。我不知道还需要什么才能让这件事奏效。你有什么建议？在这里，我无法从docker或linuxkit文档中收集任何有用的信息。

Answer 1

根据CAP_DAC_OVERRIDE，您需要、CAP_SYS_ADMIN、、、CAP_NET_ADMIN、和CAP_SYS_ADMIN功能。

此外，您可能需要将cgroup安装在容器中。