Запуск systemd внутри Docker-контейнера (Arch Linux)

Я пытаюсь выяснить, могу ли я запустить systemd внутри контейнера докера (который запускает arch linux в контейнере).

Я запускаю docker со всеми возможностями и связываю mount в cgroups:

docker run -it --rm --privileged -v /sys/fs/cgroup:/sys/fs/cgroup:ro ..

однако, если я попытаюсь запустить бинарный файл systemd:

Trying to run as user instance, but the system has not been booted with systemd.

Попытка выяснить, как правильно инициировать вещи для запуска systemd.

Чтобы запустить systemd в контейнере Docker, хост- система также должна запустить systemd. Это означает, что вы не можете использовать Ubuntu в качестве хоста. В настоящее время я знаю только о дистрибутивах хостов Fedora (в отличие от Ubuntu, имеющей последнюю версию Docker) или RHEL 7.

Вот мой главный пример: D запуск systemd внутри контейнера Docker с Ubuntu: D Я получил Ubuntu, работающий с Systemd внутри Docker

GitHub Repo для моего контейнера docker-systemd

$ docker run -it --cap-add SYS_ADMIN -v /sys/fs/cgroup:/sys/fs/cgroup:ro dockerimages/docker-systemd

Выход:

systemd 218 running in system mode. (+PAM +AUDIT +SELINUX +IMA +APPARMOR +SMACK +SYSVINIT +UTMP +LIBCRYPTSETUP +GCRYPT -GNUTLS +ACL +XZ -LZ4 -SECCOMP +BLKID -ELFUTILS +KMOD -IDN)
Detected virtualization 'docker'.
Detected architecture 'x86-64'.

Welcome to Ubuntu Vivid Vervet (development branch)!

Set hostname to <502ec40509a5>.
[  OK  ] Created slice Root Slice.
[  OK  ] Created slice System Slice.
         Starting Emergency Shell...
[  OK  ] Started Emergency Shell.
Startup finished in 5ms.
Welcome to emergency mode! After logging in, type "journalctl -xb" to view
system logs, "systemctl reboot" to reboot, "systemctl default" or ^D to
try again to boot into default mode.
root@502ec40509a5:~# exit

В настоящее время systemd работает неправильно в контейнере Docker из-за целого ряда причин, то есть отсутствия правильных привилегий. Вы можете прочитать об этом во множестве проблем github в проекте docker, таких как запуск systemd внутри зависания контейнера docker arch или segfaults и связанных с этим вопросов, касающихся мониторинга init / process. (Я хотел бы связать больше проблем здесь, но я не могу, поскольку у меня очевидно нет достаточной репутации).

Как видите, эта тема в настоящее время разрабатывается, и несколько патчей уже объединены для улучшения поведения, поэтому мы можем ожидать, что это сработает довольно скоро.

По-видимому, некоторым разработчикам уже удалось заставить его работать на системах Fedora, как они зафиксировали в своем блоге .

Вы можете запустить systemd внутри док-контейнера. ОС хоста не имеет значения, хотя вам необходимо смонтировать том хоста / sys / fs / cgroup. Я получил его на работу, следуя этому руководству: http://developerblog.redhat.com/2014/05/05/running-systemd-within-docker-container/

Я смог работать в обратном направлении от этого: https://registry.hub.docker.com/u/codekoala/arch/

Docker 1.1 делает это проще, так как groups (ro) уже предоставлен в контейнерах - мне все еще нужен привилегированный доступ, чтобы он мог создавать монтирования PrivateTmp, но в остальном, если вы укажете cmd для запуска в качестве бинарного файла systemd - он работает хорошо.

Нашел этот вопрос при попытке сделать это в официальном контейнере debian: 8. Для всех, кто пытается сделать это на официальном контейнере debian: 8 (debian: jessie), ответ @ Frank-from-DSPEED работает с небольшой модификацией, как описано в предыдущем посте git hub :

docker run -d \
    -v /sys/fs/cgroup:/sys/fs/cgroup:ro \
    --cap-add SYS_ADMIN \
    debian:jessie  /sbin/init
docker exec -it <your-new-container-name-or-ID> bash

Затем из контейнера:

systemctl show-environment

Это прекрасно работает для меня, и поскольку это всего лишь среда разработки, проблема безопасности не имеет для меня значения.

Примечание. Команда / sbin / init переводит / sbin / init в Процесс 1, который является ключевой частью этой работы.

Начиная с 2018 года, теперь это работает для меня: docker run -it -e container=docker your-image-name /sbin/init

Однако это не даст вам оболочки, поэтому вам нужно сначала включить в образе некоторую службу systemd (например, sshd), если это еще не сделано, чтобы сделать что-нибудь полезное.