以非 root 用户身份运行 Docker 守护进程(无根模式)

无根模式允许以非 root 用户身份运行 Docker 守护进程和容器,以减轻守护进程和容器运行时中潜在的漏洞。

只要满足 先决条件,即使在安装 Docker 守护进程期间,无根模式也不需要 root 权限。

工作原理

无根模式在用户命名空间内执行 Docker 守护进程和容器。这与 userns-remap 模式 非常相似,不同之处在于,使用 userns-remap 模式,守护进程本身使用 root 权限运行,而在无根模式下,守护进程和容器都以无 root 权限运行。

无根模式不使用具有 SETUID 位或文件功能的二进制文件,除了 newuidmapnewgidmap,它们是允许在用户命名空间中使用多个 UID/GID 所必需的。

先决条件

  • 您必须在主机上安装 newuidmapnewgidmap。在大多数发行版上,这些命令由 uidmap 包提供。

  • /etc/subuid/etc/subgid 应为用户包含至少 65,536 个从属 UID/GID。在以下示例中,用户 testuser 具有 65,536 个从属 UID/GID(231072-296607)。

$ id -u
1001
$ whoami
testuser
$ grep ^$(whoami): /etc/subuid
testuser:231072:65536
$ grep ^$(whoami): /etc/subgid
testuser:231072:65536

发行版特定提示

提示

建议您使用 Ubuntu 内核。


  • 如果未安装,请安装 dbus-user-session 包。运行 sudo apt-get install -y dbus-user-session 并重新登录。

  • 如果未安装,请安装 uidmap 包。运行 sudo apt-get install -y uidmap

  • 如果在用户未直接登录的终端中运行,则需要使用 sudo apt-get install -y systemd-container 安装 systemd-container,然后使用命令 sudo machinectl shell TheUser@ 切换到 TheUser。

  • overlay2 存储驱动程序默认启用(Ubuntu 特定内核补丁)。

  • Ubuntu 24.04 及更高版本默认启用受限的无特权用户命名空间,这会阻止无特权进程在创建用户命名空间,除非配置 AppArmor 配置文件以允许程序使用无特权用户命名空间。

    如果使用 deb 包安装 docker-ce-rootless-extrasapt-get install docker-ce-rootless-extras),则 rootlesskit 的 AppArmor 配置文件已与 apparmor deb 包捆绑在一起。使用这种安装方法,您无需添加任何手动 AppArmor 配置。如果您使用 安装脚本 安装 rootless extras,但您必须手动添加 rootlesskit 的 AppArmor 配置文件

    1. 创建并安装当前登录用户的 AppArmor 配置文件

      $ filename=$(echo $HOME/bin/rootlesskit | sed -e s@^/@@ -e s@/@.@g)
      $ cat <<EOF > ~/${filename}
      abi <abi/4.0>,
      include <tunables/global>
      
      "$HOME/bin/rootlesskit" flags=(unconfined) {
        userns,
      
        include if exists <local/${filename}>
      }
      EOF
      $ sudo mv ~/${filename} /etc/apparmor.d/${filename}
      
    2. 重新启动 AppArmor。

      $ systemctl restart apparmor.service
      
  • 如果未安装,请安装 dbus-user-session 包。运行 sudo apt-get install -y dbus-user-session 并重新登录。

  • 对于 Debian 10,将 kernel.unprivileged_userns_clone=1 添加到 /etc/sysctl.conf(或 /etc/sysctl.d)并运行 sudo sysctl --system。在 Debian 11 上,不需要此步骤。

  • 对于 Debian 11,建议安装 fuse-overlayfs。运行 sudo apt-get install -y fuse-overlayfs。在 Debian 12 上,不需要此步骤。

  • 无根 docker 需要 slirp4netns 版本大于 v0.4.0(当未安装 vpnkit 时)。使用以下命令检查您是否已拥有此版本

    $ slirp4netns --version
    

    如果您没有此版本,请使用 sudo apt-get install -y slirp4netns 下载并安装,或下载最新的 版本.

  • 建议安装 fuse-overlayfs。运行 sudo pacman -S fuse-overlayfs

  • kernel.unprivileged_userns_clone=1 添加到 /etc/sysctl.conf(或 /etc/sysctl.d)并运行 sudo sysctl --system

  • 对于 openSUSE 15 和 SLES 15,建议安装 fuse-overlayfs。运行 sudo zypper install -y fuse-overlayfs。在 openSUSE Tumbleweed 上,不需要此步骤。

  • 需要 sudo modprobe ip_tables iptable_mangle iptable_nat iptable_filter。这在其他发行版上也可能需要,具体取决于配置。

  • 已知在 openSUSE 15 和 SLES 15 上有效。

  • 对于 RHEL 8 和类似发行版,建议安装 fuse-overlayfs。运行 sudo dnf install -y fuse-overlayfs。在 RHEL 9 和类似发行版上,不需要此步骤。

  • 您可能需要 sudo dnf install -y iptables


已知限制

  • 仅支持以下存储驱动程序
    • overlay2(仅当使用内核 5.11 或更高版本运行时,或 Ubuntu 风格的内核)
    • fuse-overlayfs(仅当使用内核 4.18 或更高版本运行时,并且已安装 fuse-overlayfs
    • btrfs(仅当使用内核 4.18 或更高版本运行时,或 ~/.local/share/docker 使用 user_subvol_rm_allowed 挂载选项挂载)
    • vfs
  • 仅当使用 cgroup v2 和 systemd 运行时,才支持 Cgroup。请参阅 限制资源
  • 不支持以下功能
    • AppArmor
    • 检查点
    • 覆盖网络
    • 暴露 SCTP 端口
  • 要使用 ping 命令,请参阅 路由 ping 数据包
  • 要暴露特权 TCP/UDP 端口(< 1024),请参阅 暴露特权端口
  • docker inspect 中显示的 IPAddress 在 RootlessKit 的网络命名空间内是命名空间的。这意味着,如果不使用 nsenter 进入网络命名空间,则无法从主机访问该 IP 地址。
  • 主机网络(docker run --net=host)也在 RootlessKit 内部进行命名空间。
  • 不支持将 NFS 挂载为 docker "data-root"。此限制不是无根模式特有的。

安装

注意

如果系统范围内的 Docker 守护进程已在运行,请考虑将其禁用

$ sudo systemctl disable --now docker.service docker.socket
$ sudo rm /var/run/docker.sock

如果您选择不关闭 docker 服务和套接字,则需要在下节中使用 --force 参数。没有已知问题,但在您关闭和禁用之前,您仍在运行有根 Docker。


如果您使用 RPM/DEB 软件包 安装了 Docker 20.10 或更高版本,则您应该在 /usr/bin 中拥有 dockerd-rootless-setuptool.sh

以非 root 用户身份运行 dockerd-rootless-setuptool.sh install 以设置守护进程

$ dockerd-rootless-setuptool.sh install
[INFO] Creating /home/testuser/.config/systemd/user/docker.service
...
[INFO] Installed docker.service successfully.
[INFO] To control docker.service, run: `systemctl --user (start|stop|restart) docker.service`
[INFO] To run docker.service on system startup, run: `sudo loginctl enable-linger testuser`

[INFO] Make sure the following environment variables are set (or add them to ~/.bashrc):

export PATH=/usr/bin:$PATH
export DOCKER_HOST=unix:///run/user/1000/docker.sock

如果不存在 dockerd-rootless-setuptool.sh,您可能需要手动安装 docker-ce-rootless-extras 软件包,例如:

$ sudo apt-get install -y docker-ce-rootless-extras

如果您没有运行包管理器(例如 `apt-get` 和 `dnf`)的权限,请考虑使用位于 https://get.docker.com/rootless 的安装脚本。由于 `s390x` 不提供静态包,因此 `s390x` 不支持无根模式。

$ curl -fsSL https://get.docker.com/rootless | sh
...
[INFO] Creating /home/testuser/.config/systemd/user/docker.service
...
[INFO] Installed docker.service successfully.
[INFO] To control docker.service, run: `systemctl --user (start|stop|restart) docker.service`
[INFO] To run docker.service on system startup, run: `sudo loginctl enable-linger testuser`

[INFO] Make sure the following environment variables are set (or add them to ~/.bashrc):

export PATH=/home/testuser/bin:$PATH
export DOCKER_HOST=unix:///run/user/1000/docker.sock

二进制文件将安装在 `~/bin` 中。


如果您遇到错误,请参阅 故障排除

卸载

要删除 Docker 守护程序的 systemd 服务,请运行 `dockerd-rootless-setuptool.sh uninstall`。

$ dockerd-rootless-setuptool.sh uninstall
+ systemctl --user stop docker.service
+ systemctl --user disable docker.service
Removed /home/testuser/.config/systemd/user/default.target.wants/docker.service.
[INFO] Uninstalled docker.service
[INFO] This uninstallation tool does NOT remove Docker binaries and data.
[INFO] To remove data, run: `/usr/bin/rootlesskit rm -rf /home/testuser/.local/share/docker`

如果您已将 PATH 和 DOCKER_HOST 环境变量添加到 `~/.bashrc`,请取消设置它们。

要删除数据目录,请运行 `rootlesskit rm -rf ~/.local/share/docker`。

要删除二进制文件,如果您使用包管理器安装了 Docker,请删除 `docker-ce-rootless-extras` 包。如果您使用 https://get.docker.com/rootless无需包安装)安装 Docker,请删除 `~/bin` 下的二进制文件。

$ cd ~/bin
$ rm -f containerd containerd-shim containerd-shim-runc-v2 ctr docker docker-init docker-proxy dockerd dockerd-rootless-setuptool.sh dockerd-rootless.sh rootlesskit rootlesskit-docker-proxy runc vpnkit

使用

守护进程


systemd 单元文件安装为 `~/.config/systemd/user/docker.service`。

使用 `systemctl --user` 管理守护程序的生命周期。

$ systemctl --user start docker

要在系统启动时启动守护程序,请启用 systemd 服务和持久化。

$ systemctl --user enable docker
$ sudo loginctl enable-linger $(whoami)

即使使用 `User=` 指令,也不支持将无根 Docker 作为系统范围的服务(`etc/systemd/system/docker.service`)运行。

要直接运行守护程序而不使用 systemd,您需要运行 `dockerd-rootless.sh` 而不是 `dockerd`。

必须设置以下环境变量:

  • $HOME:主目录
  • $XDG_RUNTIME_DIR:一个临时的目录,只能由预期的用户访问,例如 `~/.docker/run`。该目录应在每次主机关闭时删除。该目录可以位于 tmpfs 上,但不能位于 `/tmp` 下。将此目录放在 `/tmp` 下可能会容易受到 TOCTOU 攻击。

有关目录路径的说明

  • 默认情况下,套接字路径设置为 `$XDG_RUNTIME_DIR/docker.sock`。`$XDG_RUNTIME_DIR` 通常设置为 `/run/user/$UID`。
  • 默认情况下,数据目录设置为 `~/.local/share/docker`。数据目录不能位于 NFS 上。
  • 默认情况下,守护程序配置目录设置为 `~/.config/docker`。此目录与客户端使用的 `~/.docker` 不同。

客户端

您需要显式指定套接字路径或 CLI 上下文。

要使用 `$DOCKER_HOST` 指定套接字路径

$ export DOCKER_HOST=unix://$XDG_RUNTIME_DIR/docker.sock
$ docker run -d -p 8080:80 nginx

要使用 `docker context` 指定 CLI 上下文

$ docker context use rootless
rootless
Current context is now "rootless"
$ docker run -d -p 8080:80 nginx

最佳实践

无根 Docker in Docker

要在“有根”Docker 中运行无根 Docker,请使用 `docker:<version>-dind-rootless` 映像,而不是 `docker:<version>-dind`。

$ docker run -d --name dind-rootless --privileged docker:25.0-dind-rootless

`docker:<version>-dind-rootless` 映像以非 root 用户(UID 1000)运行。但是,需要 `--privileged` 来禁用 seccomp、AppArmor 和挂载掩码。

通过 TCP 暴露 Docker API 套接字

要通过 TCP 公开 Docker API 套接字,您需要使用 `DOCKERD_ROOTLESS_ROOTLESSKIT_FLAGS="-p 0.0.0.0:2376:2376/tcp"` 启动 `dockerd-rootless.sh`。

$ DOCKERD_ROOTLESS_ROOTLESSKIT_FLAGS="-p 0.0.0.0:2376:2376/tcp" \
  dockerd-rootless.sh \
  -H tcp://0.0.0.0:2376 \
  --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem

通过 SSH 暴露 Docker API 套接字

要通过 SSH 公开 Docker API 套接字,您需要确保在远程主机上设置了 `$DOCKER_HOST`。

$ ssh -l <REMOTEUSER> <REMOTEHOST> 'echo $DOCKER_HOST'
unix:///run/user/1001/docker.sock
$ docker -H ssh://<REMOTEUSER>@<REMOTEHOST> run ...

路由 ping 数据包

在某些发行版中,`ping` 默认情况下无法使用。

将 `net.ipv4.ping_group_range = 0 2147483647` 添加到 `etc/sysctl.conf`(或 `etc/sysctl.d`)并运行 `sudo sysctl --system` 以允许使用 `ping`。

暴露特权端口

要公开特权端口(< 1024),请在 `rootlesskit` 二进制文件上设置 `CAP_NET_BIND_SERVICE` 并重新启动守护程序。

$ sudo setcap cap_net_bind_service=ep $(which rootlesskit)
$ systemctl --user restart docker

或者将 `net.ipv4.ip_unprivileged_port_start=0` 添加到 `etc/sysctl.conf`(或 `etc/sysctl.d`)并运行 `sudo sysctl --system`。

限制资源

仅当使用 cgroup v2 和 systemd 运行时,才支持使用与 cgroup 相关的 `docker run` 标志(如 `--cpus`、`--memory`、`--pids-limit`)限制资源。请参阅 更改 cgroup 版本 以启用 cgroup v2。

如果 `docker info` 显示 `none` 作为 `Cgroup Driver`,则不满足这些条件。当不满足这些条件时,无根模式会忽略与 cgroup 相关的 `docker run` 标志。请参阅 无需 cgroup 限制资源 以了解解决方法。

如果 `docker info` 显示 `systemd` 作为 `Cgroup Driver`,则满足这些条件。但是,通常情况下,默认情况下只有 `memory` 和 `pids` 控制器被委托给非 root 用户。

$ cat /sys/fs/cgroup/user.slice/user-$(id -u).slice/user@$(id -u).service/cgroup.controllers
memory pids

要允许委托所有控制器,您需要更改 systemd 配置,如下所示:

# mkdir -p /etc/systemd/system/[email protected]
# cat > /etc/systemd/system/[email protected]/delegate.conf << EOF
[Service]
Delegate=cpu cpuset io memory pids
EOF
# systemctl daemon-reload

注意

委托 `cpuset` 需要 systemd 244 或更高版本。

无需 cgroup 限制资源

即使 cgroup 不可用,您仍然可以使用传统的 `ulimit` 和 cpulimit,尽管它们在进程粒度而不是容器粒度上工作,并且可以被容器进程任意禁用。

例如

  • 要将 CPU 使用率限制为 0.5 个核心(类似于 `docker run --cpus 0.5`):`docker run <IMAGE> cpulimit --limit=50 --include-children <COMMAND>`

  • 要将最大 VSZ 限制为 64MiB(类似于 `docker run --memory 64m`):`docker run <IMAGE> sh -c "ulimit -v 65536; <COMMAND>" `

  • 要将每个命名空间 UID 2000 的最大进程数限制为 100(类似于 `docker run --pids-limit=100`):`docker run --user 2000 --ulimit nproc=100 <IMAGE> <COMMAND>`

故障排除

系统上存在 systemd 时无法使用 systemd 进行安装

$ dockerd-rootless-setuptool.sh install
[INFO] systemd not detected, dockerd-rootless.sh needs to be started manually:
...

如果您通过 `sudo su` 切换到您的用户,`rootlesskit` 无法正确检测到 systemd。对于无法登录的用户,您必须使用 `machinectl` 命令,该命令是 `systemd-container` 包的一部分。安装 `systemd-container` 后,使用以下命令切换到 `myuser`

$ sudo machinectl shell myuser@

其中 `myuser@` 是您想要使用的用户名,`@` 表示这台机器。

启动 Docker 守护进程时出现错误

[rootlesskit:parent] error: failed to start the child: fork/exec /proc/self/exe: operation not permitted

此错误主要发生在 `proc/sys/kernel/unprivileged_userns_clone` 的值为 0 时

$ cat /proc/sys/kernel/unprivileged_userns_clone
0

要解决此问题,请将 `kernel.unprivileged_userns_clone=1` 添加到 `etc/sysctl.conf`(或 `etc/sysctl.d`)并运行 `sudo sysctl --system`。

[rootlesskit:parent] error: failed to start the child: fork/exec /proc/self/exe: no space left on device

此错误主要发生在 `proc/sys/user/max_user_namespaces` 的值过小时

$ cat /proc/sys/user/max_user_namespaces
0

要解决此问题,请将 `user.max_user_namespaces=28633` 添加到 `etc/sysctl.conf`(或 `etc/sysctl.d`)并运行 `sudo sysctl --system`。

[rootlesskit:parent] error: failed to setup UID/GID map: failed to compute uid/gid map: No subuid ranges found for user 1001 ("testuser")

此错误发生在未配置 `etc/subuid` 和 `etc/subgid` 时。请参阅 先决条件

无法获取 XDG_RUNTIME_DIR

此错误发生在未设置 `$XDG_RUNTIME_DIR` 时。

在非 systemd 主机上,您需要创建一个目录,然后设置路径

$ export XDG_RUNTIME_DIR=$HOME/.docker/xrd
$ rm -rf $XDG_RUNTIME_DIR
$ mkdir -p $XDG_RUNTIME_DIR
$ dockerd-rootless.sh

注意

您必须在每次注销时删除该目录。

在 systemd 主机上,使用 `pam_systemd` 登录主机(见下文)。该值会自动设置为 `/run/user/$UID`,并在每次注销时清理。

`systemctl --user` 失败,显示“无法连接到总线:没有此类文件或目录”

此错误主要发生在您使用 `sudo` 从 root 用户切换到非 root 用户时

# sudo -iu testuser
$ systemctl --user start docker
Failed to connect to bus: No such file or directory

您需要使用 `pam_systemd` 登录,而不是使用 `sudo -iu <USERNAME>`。例如

  • 通过图形控制台登录
  • ssh <USERNAME>@localhost
  • machinectl shell <USERNAME>@

守护程序不会自动启动

您需要 `sudo loginctl enable-linger $(whoami)` 来启用守护程序自动启动。请参阅 用法

iptables 失败:iptables -t nat -N DOCKER: 致命错误:无法打开锁文件 /run/xtables.lock:权限被拒绝

当主机上启用了 SELinux 时,此错误可能会发生在较旧版本的 Docker 中。

Docker 20.10.8 中已修复此问题。对于较旧版本的 Docker,已知的解决方法是运行以下命令来禁用 `iptables` 的 SELinux

$ sudo dnf install -y policycoreutils-python-utils && sudo semanage permissive -a iptables_t

docker pull 错误

docker: 无法注册层:错误处理 tar 文件(退出状态 1):lchown <FILE>: 无效参数

此错误发生在 `etc/subuid` 或 `etc/subgid` 中可用条目数量不足时。所需的条目数量因映像而异。但是,对于大多数映像来说,65,536 个条目就足够了。请参阅 先决条件

docker: 无法注册层:ApplyLayer 退出状态 1 stdout: stderr: lchown <FILE>: 操作不被允许

此错误主要发生在 `~/.local/share/docker` 位于 NFS 上时。

一个解决方法是在 `~/.config/docker/daemon.json` 中指定非 NFS 的 `data-root` 目录,如下所示:

{"data-root":"/somewhere-out-of-nfs"}

docker run 错误

docker: 来自守护程序的错误响应:OCI 运行时创建失败:...: 读取 unix @->/run/systemd/private: 读取:连接被对端重置:未知。

此错误主要发生在 cgroup v2 主机上,当用户的 dbus 守护程序未运行时。

$ systemctl --user is-active dbus
inactive

$ docker run hello-world
docker: Error response from daemon: OCI runtime create failed: container_linux.go:380: starting container process caused: process_linux.go:385: applying cgroup configuration for process caused: error while starting unit "docker
-931c15729b5a968ce803784d04c7421f791d87e5ca1891f34387bb9f694c488e.scope" with properties [{Name:Description Value:"libcontainer container 931c15729b5a968ce803784d04c7421f791d87e5ca1891f34387bb9f694c488e"} {Name:Slice Value:"use
r.slice"} {Name:PIDs Value:@au [4529]} {Name:Delegate Value:true} {Name:MemoryAccounting Value:true} {Name:CPUAccounting Value:true} {Name:IOAccounting Value:true} {Name:TasksAccounting Value:true} {Name:DefaultDependencies Val
ue:false}]: read unix @->/run/systemd/private: read: connection reset by peer: unknown.

要解决此问题,请运行 `sudo apt-get install -y dbus-user-session` 或 `sudo dnf install -y dbus-daemon`,然后重新登录。

如果错误仍然存在,请尝试运行 `systemctl --user enable --now dbus`(无需 sudo)。

`--cpus`、`--memory` 和 `--pids-limit` 被忽略

这是 cgroup v1 模式下的预期行为。要使用这些标志,主机需要配置为启用 cgroup v2。有关更多信息,请参阅 限制资源

网络错误

本节提供无根模式下网络故障排除的提示。

无根模式下的网络通过 RootlessKit 中的网络和端口驱动程序支持。网络性能和特性取决于您使用的网络和端口驱动程序的组合。如果您遇到与网络相关的意外行为或性能问题,请查看下表,该表显示了 RootlessKit 支持的配置,以及它们之间的比较

网络驱动程序端口驱动程序网络吞吐量端口吞吐量源 IP 传播无 SUID注意
slirp4netns内置快 ✅典型设置中的默认值
vpnkit内置快 ✅slirp4netns未安装时的默认值
slirp4netnsslirp4netns
pasta隐式快 ✅实验性;需要 pasta 版本 2023_12_04 或更高版本
lxc-user-nic内置快 ✅快 ✅实验性
bypass4netnsbypass4netns快 ✅快 ✅注意:未集成到 RootlessKit,因为它需要自定义 seccomp 配置文件

有关解决特定网络问题的详细信息,请参阅

docker run -p 失败,出现 无法公开特权端口

当指定特权端口(< 1024)作为主机端口时,docker run -p 会出现此错误。

$ docker run -p 80:80 nginx:alpine
docker: Error response from daemon: driver failed programming external connectivity on endpoint focused_swanson (9e2e139a9d8fc92b37c36edfa6214a6e986fa2028c0cc359812f685173fa6df7): Error starting userland proxy: error while calling PortManager.AddPort(): cannot expose privileged port 80, you might need to add "net.ipv4.ip_unprivileged_port_start=0" (currently 1024) to /etc/sysctl.conf, or set CAP_NET_BIND_SERVICE on rootlesskit binary, or choose a larger port number (>= 1024): listen tcp 0.0.0.0:80: bind: permission denied.

遇到此错误时,请考虑使用非特权端口。例如,使用 8080 而不是 80。

$ docker run -p 8080:80 nginx:alpine

要允许公开特权端口,请参阅 公开特权端口

Ping 不起作用

/proc/sys/net/ipv4/ping_group_range 设置为 1 0 时,Ping 不起作用

$ cat /proc/sys/net/ipv4/ping_group_range
1       0

有关详细信息,请参阅 路由 Ping 数据包

docker inspect 中显示的 IPAddress 不可达

这是预期的行为,因为守护进程在 RootlessKit 的网络命名空间内命名空间化。请改用 docker run -p

--net=host 不会在主机网络命名空间中监听端口

这是预期的行为,因为守护进程在 RootlessKit 的网络命名空间内命名空间化。请改用 docker run -p

网络速度慢

无根模式下的 Docker 使用 slirp4netns 作为默认网络堆栈,如果安装了 slirp4netns v0.4.0 或更高版本。如果未安装 slirp4netns,Docker 将回退到 VPNKit。安装 slirp4netns 可以提高网络吞吐量。

有关 RootlessKit 网络驱动程序的更多信息,请参阅 RootlessKit 文档

此外,更改 MTU 值可能会提高吞吐量。MTU 值可以通过创建 ~/.config/systemd/user/docker.service.d/override.conf 来指定,其内容如下

[Service]
Environment="DOCKERD_ROOTLESS_ROOTLESSKIT_MTU=<INTEGER>"

然后重启守护进程

$ systemctl --user daemon-reload
$ systemctl --user restart docker

docker run -p 不会传播源 IP 地址

这是因为无根模式下的 Docker 默认使用 RootlessKit 的 内置 端口驱动程序,该驱动程序不支持源 IP 传播。要启用源 IP 传播,您可以

  • 使用 slirp4netns RootlessKit 端口驱动程序
  • 使用 pasta RootlessKit 网络驱动程序,以及 隐式 端口驱动程序

pasta 网络驱动程序是实验性的,但与 slirp4netns 端口驱动程序相比,它提供了更高的吞吐量性能。pasta 驱动程序需要 Docker Engine 版本 25.0 或更高版本。

要更改 RootlessKit 网络配置

  1. ~/.config/systemd/user/docker.service.d/override.conf 中创建一个文件。

  2. 根据您想要使用的配置添加以下内容

    • slirp4netns

      [Service]
      Environment="DOCKERD_ROOTLESS_ROOTLESSKIT_NET=slirp4netns"
      Environment="DOCKERD_ROOTLESS_ROOTLESSKIT_PORT_DRIVER=slirp4netns"
    • pasta 网络驱动程序,以及 隐式 端口驱动程序

      [Service]
      Environment="DOCKERD_ROOTLESS_ROOTLESSKIT_NET=pasta"
      Environment="DOCKERD_ROOTLESS_ROOTLESSKIT_PORT_DRIVER=implicit"
  3. 重启守护进程

    $ systemctl --user daemon-reload
    $ systemctl --user restart docker
    

有关 RootlessKit 网络选项的更多信息,请参阅

调试技巧

进入 dockerd 命名空间

dockerd-rootless.sh 脚本在其自己的用户、挂载和网络命名空间中执行 dockerd

为了调试,您可以通过运行 nsenter -U --preserve-credentials -n -m -t $(cat $XDG_RUNTIME_DIR/docker.pid) 进入命名空间。