LINUX.ORG.RU
ФорумAdmin

Хочется странного: докер контейнер без демона

 , ,


0

4

Хочется странного: докер контейнер без демона.

Т.е. есть докер образ, из него хочется запустить программулинку.

Но докер или любой другой демон не хочется использовать (нельзя). Т.е. фактически нужен функционал наподобие чрута, который бы транслировал запросы к определённым путям на хост, а все остальные - внутрь read-only файловой системы образа с бинарными зависимостями (его можно распаковать/перепаковать в какой нужно формат).

Вангую, что подобное можно сделать с помощью просто systemd-container. Но сходу не нагуглил примеров чего-то похожего.

Может кто-то делал что-то похожее и есть что-то типа инструкции?

dovecot maildir LAYOUT=fs не образует древо
Проблемы при развертывании tor-шлюза

Это не «странное». Ты описал принцип работы podman-а

beka
()

Подман. Только вчера о нём узнал.

ox55ff ★★★★★
()

Присоединяюсь к ораторам выше!

Я правда его на домашнем сервере использую, но придраться не к чему, всё работает.

ssh2 ★★★★★
()

Podman уже назвали, да?

/thread

intelfx ★★★★★
()

нужен функционал наподобие чрута, который бы транслировал запросы к определённым путям на хост, а все остальные - внутрь read-only файловой системы

systemd-nspawn с опциями --bind= или --overlay=

No ★★
()
Последнее исправление: No (всего исправлений: 1)

Я понятия не имею что такое Podman и никогда не сталкивался с докером и его контейнерами, но ты попробуй Podman. Возможно это именно то, что тебе нужно.

Usruser
()

Так много комментариев и никто не догадался Podman предложить !

suffix ★★
()

bubblewrap. Делается так:

$ bwrap --ro-bind путь_к_смонтированному_образу / \
        --dev-bind /dev /dev \
        --ro-bind /sys /sys \
        --proc /proc \
        --bind /var /var \
        --bind /run /run \
        --bind /tmp /tmp \
        --bind /home /home \
         ./app_binary
Kron4ek ★★★★★
()
Последнее исправление: Kron4ek (всего исправлений: 2)

буду оригинален - посмотри на firejail, по умолчанию он делает не это, но думаю можно сконфигурировать.

sergej ★★★★★
()

яннп, если тебе нужен чрут и ты даже написал это, то почему бы не использовать чрут?

Anoxemian ★★★★★
()
Ответ на: комментарий от Anoxemian

Потому что для чрута нужен рут (и ещё несколько неприятных моментов есть).

Огромное спасибо всем ответившим!

Действительно, похоже, судя по описаниям мне больше всего подошёл бы bubblewrap/firejail

podman интересная штука, но с его помощью можно затаскивать контейнеры, т.е. с точки зрения того, почему мне нельзя докер, это примерно одно и то же.

Сейчас, правда, я пока пытаюсь скомпилить/запаковать мою софтинку как нативные пакеты.

allter149
() автор топика
Ответ на: комментарий от allter149

Потому что для чрута нужен рут (и ещё несколько неприятных моментов есть).

Есть PRoot. По факту - чрут на стероидах из под непривилегированного пользователя.

Pinkbyte ★★★★★
()
Последнее исправление: Pinkbyte (всего исправлений: 1)
Ответ на: комментарий от allter149

podman интересная штука, но с его помощью можно затаскивать контейнеры, т.е. с точки зрения того, почему мне нельзя докер, это примерно одно и то же.

ЯННП. Ты написал, что у тебя есть докер образ, и тебе нужно из него запустить программу, но при этом нельзя запускать никакие демоны.

Podman — это программа для запуска докер образов, которая не использует служебного демона.

Каким боком с этой точки зрения docker и podman это «одно и то же»?

intelfx ★★★★★
()
Последнее исправление: intelfx (всего исправлений: 2)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
dovecot maildir LAYOUT=fs не образует древо
Admin
Проблемы при развертывании tor-шлюза