Данная статья применима к:
Описание особенности
При запуске контейнеров Podman с низким уровнем целостности может возникать ошибка следующего вида:
(тут должен быть текст ошибки)
Рекомендации
Для того, чтобы можно было запускать контейнеры Podman с низким уровнем целостности выполнить следующие действия:
- В файле конфигурации
/etc/containers/containers.confв секцииdefault_sysctlубрать строку "net.ipv4.ping_group_range=0 0", приведя секцию к следующему видуdefault_sysctls = []
- Для запуска контейнеров использовать опцию
--network slirp4netns:enable_ipv6=false, например:podman run -it --network slirp4netns:enable_ipv6=false registry.astralinux.ru/alse:latest
Ограничения
Опция --network slirp4netns:enable_ipv6=false
Опция --network slirp4netns:enable_ipv6=false отключает поддержку IPv6 внутри контейнера, вынуждая для всех сетевых соединений использовать только IPv4. Большинство приложений при невозможности использовать IPv6 автоматически переключаются на IPv4, так что в большинстве случаев использование опции не вызывает побочных эффектов. Однако, работа приложения, работающих исключительно с IPv6, может быть нарушена. Также приложениям в контейнере будут недоступны внешние службы, использующие только IPv6. Ограничения работы могут возникнуть в средах, где используется IPv6 NAT или IPv6-ориентированные балансировщики нагрузки.
Опция net.ipv4.ping_group_range=0 0
Опция net.ipv4.ping_group_range=0 0 определяет диапазон идентификаторов групп (GID), которым разрешено отправлять запросы ICMP Echo Request (ping) без использования Linux-привилегий CAP_NET_RAW и CAP_NET_ADMIN. Указание диапазона 0 0 предоставляет право отправлять запросы группе root, и только этой группе. Обычные пользователи внутри контейнера не смогут использовать ping без повышения привилегий, также некоторые приложения (например, traceroute, mtr, или сервисы мониторинга) могут зависеть от ICMP. Без этой настройки они могут не работать без CAP_NET_RAW или дополнительных прав.