userns-在Docker群(现有)安装中重新映射选项

Question

我决定增加安全性通过启用用户-重新映射选项在码头运行在蜂群模式。

安装并不是什么新鲜事，有很多正在运行的服务。

遵循官方手册的配置：https://docs.docker.com/engine/security/userns-remap/

码头服务正在启动，但码头服务ls抛出错误：

GET /v1.40/

处理程序返回错误:此节点不是群集管理器。使用停靠群集或停靠群连接连接此节点，然后再试一次。

获取服务时出错:此节点不是群集管理器。使用停靠群集或停靠群连接连接此节点，然后再试一次。

cat /etc/docker/daemon.json很简单，因为

{
  "userns-remap": "default"
}

cat /etc/subuid /etc/subgid

dockremap:100000:65536
dockremap:100000:65536

id码头图

uid=1000(dockremap) gid=1000(dockremap) groups=1000(dockremap)

ls -ld /var/lib/docker/100000.100000/

drwx------ 11 231072 231072 26 Mar 21 20:19 /var/lib/docker/100000.100000/

从配置中删除userns--重新映射使服务恢复正常。

运行CentOS 7.7和码头19.03.8

我怎么才能让它起作用？

Answer 1

来自https://docs.docker.com/engine/security/userns-remap/

重新映射有效地屏蔽了现有的图像和容器层，以及/var/lib/ Docker /中的其他docker对象。这是因为Docker需要调整这些资源的所有权，并将它们实际存储在/var/lib/docker/中的子目录中。最好是在新的Docker安装上启用此功能，而不是在现有的安装中启用。

因此，在启用用户名称空间后，所有现有的图像和容器都将不可用。