无法以非root用户的身份在docker容器中打开vfio设备。

Question

我在BIOS中启用了虚拟化，并在内核命令行(intel_iommu=on)上启用了IOMMU。

我将太阳光NIC绑定到vfio-pci设备，并添加了udev规则以确保vfio设备可由非根用户访问(例如，/etc/udev/rules.d/10-vfio-docker-users.rules)：)。

SUBSYSTEM=="vfio", OWNER="myuser", GROUP=="myuser"

我用-u 1000和映射/dev (-v /dev:/dev)启动了我的容器。运行在容器中的交互式shell中，我能够验证设备是否存在，并具有我的udev规则设置的权限：

bash-4.2$ whoami
whoami: unknown uid 1000
bash-4.2$ ls -al /dev/vfio/35
crw-rw----    1 1000     1000      236,   0 Jan 25 00:23 /dev/vfio/35

但是，如果我尝试打开它(例如，python -c "open('/dev/vfio/35', 'rb')"，我得到了IOError: [Errno 1] Operation not permitted: '/dev/vfio/35' )。但是，相同的命令在容器外工作，与具有用户id 1000的普通非根用户一样！

似乎还有一些额外的安全措施不允许我访问容器中的vfio设备。我遗漏了什么？

Answer 1

默认情况下，Docker取消了许多特权，包括访问大多数设备的能力。可以使用--device标志显式地授予对设备的访问权限，该标志看起来如下所示：

docker run --device /dev/vfio/35 ...

或者，您可以要求Docker不要放弃任何特权：

docker run --privileged ...

您将注意到，在上述两个示例中，没有必要显式地绑定挂载/dev；在第一种情况下，使用--device公开的设备将显示出来，在第二种情况下，默认情况下将看到主机的/dev。