タグ検索の該当結果が少ないため、タイトル検索結果を表示しています。
複数人で共有して使う研究室のサーバでは、rootfulなDockerを用いると権限周りでさまざまな問題が発生します。 Docker rootlessで権限関係の諸問題を解決し、最強の研究室サーバ環境を作りましょう。 筆者の研究室の環境 Docker rootlessとは Set Up 前提 管理者が一括で行うこと 必要なパッケージのインストール Dockerのインストール nvidia-docker2のインストール uidmapの設定 各ユーザで行うこと 運用上のtips data-rootの場所 DOCKER_HOST環境変数の一括設定 subuid/subgidの一括設定 セットアップの自動化 ファイルの所有権 さいごに Special Thanks 筆者の研究室の環境 筆者は東京大学 相澤・山肩・松井研、山﨑研で、院生鯖缶をしています。コンピュータビジョン・マルチメディアを主な研究分
インターンレポート: RootlessコンテナのTCP/IP高速化
はじめまして、インターン生の松本直樹と申します。 この記事では、私がNTT研究所におけるインターン「コンテナランタイムの実装と評価」のインターン期間中に取り組んだ「bypass4netns」について紹介させていただきます。 自己紹介私は京都大学 情報学研究科に所属し、 普段は次世代型ホームネットワークと称してホームネットワークとSDNの融合や計算処理オフロードに関する研究に取り組んでいます。 コンテナ技術やその周辺のネットワーク技術に関しては普段から興味があったものの、 時間をかけて取り組む機会がありませんでした。 その折に、今回のインターンの募集を見つけ、実装を中心に触れることができる良い機会だと思い応募させていただきました。 インターン期間中はRootlessコンテナとネットワーク周りにどっぷりと浸ることができ、 非常に貴重な体験ができました。 はじめに: Rootless コンテナに
自宅の nerdctl + containerd 環境を rootless にした際のトラブル対応だが、 docker の場合もおおよそ似たものだろうと思う。 rootless とは 通常のままだと docker / nerdctl は root 権限で動作してしまう。 sudo usermod -aG docker <USER> などして sudo 不要にしていても実際には sudo しているのと同じことである。 rootless にすると各ユーザごとにコンテナが起動することになる。ホストマシンでの各ユーザの権限を最高としてコンテナ内では root として扱うことができるため、例えば volume mount の中にホストマシンで root 権限を要するファイルがあった場合、コンテナからは触ることができない。 これにより脆弱性が突かれた場合でも root 権限による操作を防ぐことができる
This post is also available in: English (英語) 概要 クラウドコンピューティングの発展に伴いコンテナ人気はますます高まっており、コンテナ実装方法のソリューションやアイデアが新たに導入されはじめています。そうした新しいアイデアの1つがrootlessコンテナです。 rootlessコンテナはコンテナの新しい概念で、編成のさいroot権限を必要としません。権限のないユーザーがコンテナを作成する上での技術的課題を克服するために多くのソリューションが提案されており、その中には開発中のものもあればすでに本番環境に対応しているものもあります。ただし(主にセキュリティ上のメリットはあるものの)rootlessコンテナはまだその形成期にあると言えるでしょう。 本稿では、Unit 42のリサーチャーである筆者Aviv Sassonが、rootlessコンテナの内部を
GitHub - containerd/nerdctl: contaiNERD CTL - Docker-compatible CLI for containerd, with support for Compose, Rootless, eStargz, OCIcrypt, IPFS, ...
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
Rootless mode
Rootless mode allows running the Docker daemon and containers as a non-root user to mitigate potential vulnerabilities in the daemon and the container runtime. Rootless mode does not require root privileges even during the installation of the Docker daemon, as long as the prerequisites are met. How it worksRootless mode executes the Docker daemon and containers inside a user namespace. This is ver
Docker デーモンをルート以外のユーザで実行(Rootless モード) — Docker-docs-ja 24.0 ドキュメント
Rootless モード(Rootless mode)は Docker デーモンとコンテナを root 以外のユーザが実行できるようにするもので、デーモンやコンテナ・ランタイムにおける潜在的な脆弱性を回避します。 Rootless モードは Docker デーモンのインストールに root 権限を必要としないだけでなく、 事前準備 においても不要です。 Rootless モードは Docker Engine v19.03 から導入されました。
世の中では,Dockerの利用者がかなり増えてきていますね.ただ,Dockerはまだまだ発展途上?なのかユーザが多くなって開発が盛んになったためか,日々機能が更新されています. 今回は,Dockerのユーザ権限周りに関してのまとめてみました. Dockerでは,通常管理者権限(root)を通じて操作します.そのため,Root以外のユーザはDockerを使用することができません. しかし,一般ユーザであったとしてもDockerを使用したいといった要望は割と多いです.その方法として,以前までは,Dockerの実行許可を与えるユーザにグループに追加する方法が一般的でした.ただ,セキュリティ面に問題があったため,あまり推奨される方法ではありませんでした. そこで,Docker Engine v19.03で実験的にRootlessモードが導入され,Docker Engine v20.10から実験的な
GitHub - nestybox/sysbox: An open-source, next-generation "runc" that empowers rootless containers to run workloads such as Systemd, Docker, Kubernetes, just like VMs.
Sysbox is an open-source and free container runtime (a specialized "runc"), originally developed by Nestybox (acquired by Docker on 05/2022), that enhances containers in two key ways: Improves container isolation: Linux user-namespace on all containers (i.e., root user in the container has zero privileges on the host). Virtualizes portions of procfs & sysfs inside the container. Hides host info in
1行まとめ Dockerのモードは、docker infoコマンドのSecurity Options:にrootless、usernsが含まれているかどうかで確認できる。 概要 通常のDocker、RootlessモードのDocker、userns-remapモードのDocker・・・と、いろいろなDocker環境を触っていると、「今触っているDockerはどのモードだったかな?」となりますよね。 そんな時はdocker infoコマンドの出力を見ることで、モードを確認することができます。(より正確には、CLIであるdockerコマンドが接続しているDockerデーモンのモード) Rootlessモード DockerがRootlessモードで動作している場合、docker infoコマンドのSecurity Options:にrootlessが含まれています。 $ docker info
DockerCon 2021 にあわせて、ひさびさに開催された「Docker Meetup Tokyo」 DockerConの振り返りのほか、Docker 20.10の新機能や、大幅に新しくなったDocker Composeについてお知らせします。須田氏は、2020年12月にリリースされたDocker20.10の変更点について発表しました。 Docker20.10のリリースに伴う変更点 須田瑛大氏:改めまして、NTTの須田と申します。もう半年近く前のニュースですが、Docker20.10がリリースされたので、その新機能について紹介します。 まず簡単に自己紹介をしたいと思います。私は、コンテナ関連オープンソースのコミッタをやっていて、オープンソース版のDockerのことをMobyと言うのですが、そのMobyのコミッタとか、containerdのコミッタとかをやっています。 それと2020年の
Rootless Docker とは Rootless モード(Rootless mode)は Docker デーモンとコンテナを root 以外のユーザが実行できるようにするもので、デーモンやコンテナ・ランタイムにおける潜在的な脆弱性を回避します。 Docker 公式ドキュメント 今回の環境 Ubuntu Server 20.04 on VMware ESXi いざ挑戦 まずは事前準備 uidmap 導入 ホスト上に newuidmap と newgidmap のインストールが必要です。 とのことなので、インストールしておきます。 # Installing stable version 19.03.12 # Missing system requirements. Please run following commands to # install the requirements an
![[Docker] Rootless Docker を試してみた - Qiita](https://cdn-ak-scissors.b.st-hatena.com/image/square/b1c110b66277930b22f59f432b838f9ef99c5d1a/height=288;version=1;width=512/https%3A%2F%2Fqiita-user-contents.imgix.net%2Fhttps%253A%252F%252Fcdn.qiita.com%252Fassets%252Fpublic%252Farticle-ogp-background-412672c5f0600ab9a64263b751f1bc81.png%3Fixlib%3Drb-4.0.0%26w%3D1200%26mark64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZ3PTk3MiZoPTM3OCZ0eHQ9JTVCRG9ja2VyJTVEJTIwUm9vdGxlc3MlMjBEb2NrZXIlMjAlRTMlODIlOTIlRTglQTklQTYlRTMlODElOTclRTMlODElQTYlRTMlODElQkYlRTMlODElOUYmdHh0LWFsaWduPWxlZnQlMkN0b3AmdHh0LWNvbG9yPSUyMzFFMjEyMSZ0eHQtZm9udD1IaXJhZ2lubyUyMFNhbnMlMjBXNiZ0eHQtc2l6ZT01NiZzPWZjMzFkMGQyMWM4MDQ2Nzc5YmMxODEwYjk5YjJkMmFi%26mark-x%3D142%26mark-y%3D57%26blend64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZoPTc2Jnc9NzcwJnR4dD0lNDBib29jc2FuJnR4dC1jb2xvcj0lMjMxRTIxMjEmdHh0LWZvbnQ9SGlyYWdpbm8lMjBTYW5zJTIwVzYmdHh0LXNpemU9MzYmdHh0LWFsaWduPWxlZnQlMkN0b3Amcz1kZWRkN2MwMzE0ZWIzZmUyOTM0MDEwNGY3N2JjY2U4Yg%26blend-x%3D142%26blend-y%3D486%26blend-mode%3Dnormal%26s%3D6dcf5ff77b9277fa621b59f6e81f58d7)
Rootless containers with Podman: The basics | Red Hat Developer
Try Red Hat products and technologies without setup or configuration fees for 30 days with this shared Openshift and Kubernetes cluster.
WSL 2がWindows 1909にバックポートされたおかげで、多くの人がWSL 2を体験できる状態になったと思います。 WSL 2のメリットにはDockerが使えるというものがありましたが、Rootless Dockerは使えないという問題がありました。 そこで、WSL 2に色々なものを加えてRootless Dockerをインストール、実行できるようにしました。 注意事項 動作環境 やること 具体的な手順 手順 1. daemonize/dbus/policykit-1をインストールする 2. dotnet-runtime-3.1をインストールする 3. Genieをインストールする 4. Genieを自動起動するようにする 5. Rootless Dockerをインストールする 6. .bashrcにRootless Dockerの設定を追記する コンテナ起動時の引数に--net=
3行まとめ RootlessモードでもGPUは使用できる。 RootlessモードでGPUを使用するためにはnvidia-container-runtimeの設定を変更する必要がある。 Rootlessモードと通常モードを共存する方法はまだ未解決。 1. はじめに 機械学習分野では、Docker/Kubernetes上でNVIDIAのGPU(以下、単に「GPU」)を使うということがよく行われます。 複数人で共有するGPUマシンのセキュリティをより高めるため、RootlessモードのDockerでGPUが使用できるかどうか調査してみました。 結果から言えば、簡単な設定変更を行うだけで使用できました。(少なくともPyTorchから認識できました) 2. 環境 今回、調査に使用した環境は以下の通りです。 OS: Ubuntu 19.10(Eoan Ermine) GPU: GeForce GTX
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Docker rootlessで研鯖運用 - drgripa1
自宅サーバを rootless に移行した際のトラブル対応
rootlessコンテナ: コンテナセキュリティの次なるトレンド
【Rootless Docker】 Dockerを安全に一般ユーザで実行する | ぺんぎんや
Dockerのモードを確認する方法(Rootless、userns-remap) - Qiita
RHEL8系OSでも動く"Docker 20.10" 正式機能に昇格したRootlessモード
[Docker] Rootless Docker を試してみた - Qiita
WSL 2でRootless Dockerを使う - チラシの裏からうっすら見える外枠の外のメモ書き
DockerのRootlessモードでNVIDIAのGPUを使用する - Qiita
syatyou.jp
tomokutchi.hatenablog.com
www.sucharaka-zaren.com
nikkan-spa.jp
bambooborny.hatenablog.com
www.comic-ryu.jp