Docker.dotnet ListImages 失败，在 Redhat 中 /var/run/docker.sock 的权限被拒绝

Question

免责声明：我知道 /var/run/docker.sock 问题很常见，并且有很多关于它的帖子（尽管不是全部可以概括为将 运行ning 用户添加到 docker 权限组）。我尝试了所有这些说明，但它仍然对我没有帮助，在 redhat.

我有两个容器，一个Ubuntu和一个运行宁Redhat 7.9。 我的问题特别是无法 运行 - 仅在 redhat 容器中 - 调用 Docker.Dotnet's ListImages （因 /var/run/docker.sock 中的权限被拒绝而失败）。一开始，我无法在没有前缀 sudo 的情况下发出任何 docker 命令。然后我将 运行ning 用户添加到 docker 权限组，并且可以在没有 sudo 的情况下发出 docker 命令。 但是 Docker.Dotnet ListImages（它只是 docker api 的 images/json 端点的包装器）仍然失败，并出现 docker.sock 上的权限被拒绝错误。我尝试了所有推荐的 here，但没有用。

我想也许我应该添加 User=root（虽然这不存在于我的 Ubuntu 服务文件中，因此没有多大意义）。然后我意识到 ubuntu 和 redhat docker 服务文件有很大不同。

Ubuntu:

[Unit]
Description=Docker Application Container Engine
Documentation=https://docs.docker.com
After=network-online.target docker.socket firewalld.service
Wants=network-online.target
Requires=docker.socket

[Service]
Type=notify
# the default is not to use systemd for cgroups because the delegate issues still
# exists and systemd currently does not support the cgroup feature set required
# for containers run by docker
ExecStart=/usr/bin/dockerd -H fd://
ExecReload=/bin/kill -s HUP $MAINPID
LimitNOFILE=1048576
# Having non-zero Limit*s causes performance problems due to accounting overhead
# in the kernel. We recommend using cgroups to do container-local accounting.
LimitNPROC=infinity
LimitCORE=infinity
# Uncomment TasksMax if your systemd version supports it.
# Only systemd 226 and above support this version.
TasksMax=infinity
TimeoutStartSec=0
# set delegate yes so that systemd does not reset the cgroups of docker containers
Delegate=yes
# kill only the docker process, not all processes in the cgroup
KillMode=process
# restart the docker process if it exits prematurely
Restart=on-failure
StartLimitBurst=3
StartLimitInterval=60s

[Install]
WantedBy=multi-user.target 

红帽:

[Unit]
Description=Docker Application Container Engine
Documentation=http://docs.docker.com
After=network.target rhel-push-plugin.service registries.service
Wants=docker-storage-setup.service
Requires=rhel-push-plugin.service registries.service
Requires=docker-cleanup.timer

[Service]
Type=notify
NotifyAccess=main
EnvironmentFile=-/run/containers/registries.conf
EnvironmentFile=-/etc/sysconfig/docker
EnvironmentFile=-/etc/sysconfig/docker-storage
EnvironmentFile=-/etc/sysconfig/docker-network
Environment=GOTRACEBACK=crash
Environment=DOCKER_HTTP_HOST_COMPAT=1
Environment=PATH=/usr/libexec/docker:/usr/bin:/usr/sbin
ExecStart=/usr/bin/dockerd-current \
          --add-runtime docker-runc=/usr/libexec/docker/docker-runc-current \
          --default-runtime=docker-runc \
          --authorization-plugin=rhel-push-plugin \
          --exec-opt native.cgroupdriver=systemd \
          --userland-proxy-path=/usr/libexec/docker/docker-proxy-current \
          --init-path=/usr/libexec/docker/docker-init-current \
          --seccomp-profile=/etc/docker/seccomp.json \
          $OPTIONS \
          $DOCKER_STORAGE_OPTIONS \
          $DOCKER_NETWORK_OPTIONS \
          $ADD_REGISTRY \
          $BLOCK_REGISTRY \
          $INSECURE_REGISTRY \
          $REGISTRIES
ExecReload=/bin/kill -s HUP $MAINPID
LimitNOFILE=1048576
LimitNPROC=1048576
LimitCORE=infinity
TimeoutStartSec=0
Restart=on-abnormal
KillMode=process

[Install]
WantedBy=multi-user.target

更新： 在 ubuntu 中，我可以使用 curl --unix-socket /run/docker.sock http://docker/images/json 从其中一个应用程序容器中成功 运行 docker 引擎 api 命令。在 redhat returns curl: (7) Couldn't connect to server.

中做同样的事情

这里有进一步的指导吗？ redhat 授权插件看起来很可疑...

Answer 1

最后...我的问题是在我的 Redhat 安装中，与我的 Ubuntu 不同，我们启用了 SELinux。

Disabling it 终于 curl --unix-socket /run/docker.sock http://docker/images/json 在我的 composer 容器中工作了。

要禁用 Selinux：编辑（您可能需要使用 sudo su root 模拟 root）文件 /etc/selinux/config - 将 SELINUX=enforcing 替换为 SELINUX=disabled。 重启 linux 服务器就可以了。

备注：这显然不是生产环境中可以接受的解决方案。如果是这种情况，您将需要正确配置 SELinux 权限设置。我只是被分配了一项任务来确定为什么这个问题会在我们的一台开发机器上发生，所以禁用它就可以满足我现在的需要。

更新：理想的解决方案是遵循说明 here and here