proxmox docker en apparmor resulteert in permission denied - Linux en overige clients

zondag 19 augustus 2018 09:44

Acties:

0 Henk 'm!

jasper199069

Topicstarter

Goedendag,

Ik ben al een aantal dagen aan het worstelen met AppArmor om een docker container te starten.
Ik zelf ben ingelogd via de root user.

Zodra ik een docker container wil starten (maakt niet uit welk commando) krijg ik de volgende error:

code:

1	failed to register layer: ApplyLayer exit status 1 stdout: stderr: permission denied

Als ik daarna kijk in de dmesg krijg ik deze melding te zien:

code:

[1395018.708145] audit: type=1400 audit(1534663564.858:598): apparmor="DENIED" operation="mount" info="failed flags match" error=-13 profile="lxc-container-default-cgns" name="/" pid=20811 comm="exe" flags="rw, rslave"

Ik heb ook al geprobeerd om te kijken welke profielen er zijn geladen via aa-status,
Alleen hier wordt het vreemd, de volgende meldingen krijg ik:

code:

1 2	apparmor module is loaded. You do not have enough privilege to read the profile set.

Ook heb ik voor het idee geprobeerd om het process te stoppen en een teardown te doen van alle profielen,
alleen dit helaas ook tot geen resultaat met de volgende error:

code:

1 2	/etc/init.d/apparmor: 256: /etc/init.d/apparmor: cannot open /sys/kernel/security/apparmor/.ns_stacked: Permission denied * Not tearing down AppArmor in container

Nog even wat details over de server
Distro: ubunutu 16.04
Kernel version: 4.4.35-1-pve

Verder heb ik helaas geen details van de server zelf,
al begin ik zelf het idee te krijgen dat deze vps zelf al een container is.

hebben jullie ideeën hoe ik dit op kan lossen?

Bij voorbaat dank,

zondag 19 augustus 2018 13:03

Acties:

0 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

Door je laatste twijfel zou je natuurlijk eerst in een eigen omgeving kunnen gaan testen om te zien of je daar hetzelfde probleem krijgt. Dus installeer Ubuntu 16.04 in een VM en probeer het daar uit. Bij Ubuntu ken ik ook de -pve kernel smaak niet. Dit was altijd -generic. Het is ook nog eens een oudere kernel, de laatste die ik even snel zie op de packages.ubuntu.com site zie is 4.4.0.133-139.

Commandline FTW | Tweakt met mate

zondag 19 augustus 2018 13:37

Acties:

0 Henk 'm!

jasper199069

Topicstarter

@Hero of Time Dank je voor het duwtje in de juiste richting.

Op een schone (generic) ubuntu installatie werkt alles gewoon zoals verwacht.
Ook heb ik opgezocht waar dat pve voor staat en dit is Proxmox VE dus denk dat er op de host van deze server iets verkeerd is ingesteld voor deze server.

Denk dat ik deze het beste verder met de hoster kan oppakken.

Dit thread kan worden gesloten.

Dank aan allen.

zondag 19 augustus 2018 14:33

Acties:

0 Henk 'm!

bassiej19

Wil je docker niet liever in een VM draaien dan op de host?

zondag 19 augustus 2018 15:00

Acties:

0 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

bassiej19 schreef op zondag 19 augustus 2018 @ 14:33:
Wil je docker niet liever in een VM draaien dan op de host?

Waarom? Het hele idee van Docker is juist dat je het op de host draait voor aparte afbakening van zaken. Waarom zou je dan nog eens de extra overhead van een VM nemen? Daarbij, de TS draait al op een VPS, dat is een VM. Alleen omdat het in Proxmox draait met een aangepaste kernel werkt er blijkbaar het een en ander niet icm Docker.

Commandline FTW | Tweakt met mate

zondag 19 augustus 2018 15:11

Acties:

0 Henk 'm!

powerboat

Proxmox lxc ondersteund geen docker instances mede omdat jezelf ook al aangaf dat dit vermoedelijk een container gebaseerde vm is.

Dit is overigens wel te omzeilen mits je toegang hebt tot de pve host zelf.

zondag 19 augustus 2018 16:40

Acties:

0 Henk 'm!

bassiej19

Hero of Time schreef op zondag 19 augustus 2018 @ 15:00:
[...]

Waarom? Het hele idee van Docker is juist dat je het op de host draait voor aparte afbakening van zaken. Waarom zou je dan nog eens de extra overhead van een VM nemen? Daarbij, de TS draait al op een VPS, dat is een VM. Alleen omdat het in Proxmox draait met een aangepaste kernel werkt er blijkbaar het een en ander niet icm Docker.

Ik ben het met je eens dat op een fysieke node beter is. Echter in mijn ogen niet als het een hypervisor node betreft.

zondag 19 augustus 2018 17:07

Acties:

0 Henk 'm!

jasper199069

Topicstarter

Ik heb met mijn hoster gepraat en er wordt inderdaad een aparte server geregeld,
alleen was het idee eerder om het op een VPS te draaien aangezien deze sneller opgeleverd was.

zondag 19 augustus 2018 21:48

Acties:

0 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

bassiej19 schreef op zondag 19 augustus 2018 @ 16:40:
[...]

Ik ben het met je eens dat op een fysieke node beter is. Echter in mijn ogen niet als het een hypervisor node betreft.

Als je een hypervisor node hebt, is die bedoelt om VMs te draaien. Om daarbinnen dan weer docker te draaien is in zekere zin niet echt nadenken over het doel van je hardware. Stel dat je zelf een server hebt. Daarop zet je KVM of VMWare ESXi. Daarbinnen maak je een VM met genoeg resources en vervolgens ga je in die VM alleen maar docker containers draaien. Dan ben je gewoon fout bezig.

Ben je dienstverlener en hostingprovider, dan bied je in feite alleen maar VMs aan en wat je klanten er dan in draaien is niet jouw grootste zorg.

Commandline FTW | Tweakt met mate