Почему dockerd запрашивает root-права, когда они уже имеются?

Question

[silasibiri]

Добрый день. Сразу говорю - я не до конца знаю, для чего нужен докер и как его правильно использовать. Просто эта чтука нужна для Outline - хочу поднять свой VPN сервер.
Такс, есть удаленная машина на ubuntu, на нее надо поставить докер и запустить его, с чем у меня собсна проблемы.
При запуске по-человечески ошибок не выдает, однако запущенным он не становится:

spoiler

root@goorm:/home/sergey# service docker start
 * Starting Docker: docker                                               [ OK ]
root@goorm:/home/sergey# service docker status
 * Docker is not running

Пытаюсь привести его в дествие командой dockerd:

spoiler

failed to start daemon: Error initializing network controller: error obtaining controller instance: failed to create NAT chain DOCKER: iptables failed: iptables -t nat -N DOCKER: iptables v1.6.0: can't initialize iptables table `nat': Permission denied (you must be root)
Perhaps iptables or your kernel needs to be upgraded.
 (exit status 3)

На всяк случ вот полный вывод от dockerd:
dockerd.txt

Что скажете, господа?

Comments

[Дмитрий]

Добрый вечер.
Вот Вам пару ссылок, вполне доступно объясняется что и как делать с docker.
https://deworker.pro/edu/series/interactive-site/w...
https://deworker.pro/edu/series/interactive-site/u...

Сам docker установить не так уж и сложно, инструкций в инете валом.

Не совсем понятно, зачем для vpn Вы собираетесь использовать docker?

[silasibiri]

Дмитрий, докер стоит у меня уже
я сам без понятия, его требует outline, сервис для подключения vpn-сервера
как только я ввожу на сервере команду, которая должна выдать ключ для подключения outline, она сразу проверяет наличие и запущенность докера

[Дмитрий]

silasibiri, а outline как Вы ставили?

[silasibiri]

Дмитрий, до меня дошло, что эта команда - и есть команда установки.
вот она

spoiler

sudo bash -c "$(wget -qO- https://raw.githubusercontent.com/Jigsaw-Code/outl...)"

[Drno]

silasibiri, ну вообще то да…
А ошибка выдается потому что надо от root запускать или через sudo
А зачем нужен именно оутлайн? Его ж можно передать кому угодно и юзать по 100500чел через 1 ссылку

[silasibiri]

Drno, я же отметил и в самом вопросе, и специально оставил в выводах в консоль строки с вводом команд, там везде решётки и root@goorm.
вы думаете, я б не смог прочитать что от меня требуется? я потому и задал вопрос, что докер рут прав просит, когда и так запущен из под рута.

[Drno]

silasibiri, да, не посмотрел. но у тебя почему то status выдает что докер не запущен...
да и во втором спойлере ругается что нет прав)

[silasibiri]

Drno, именно поэтому я здесь)
все что вы мне сказали и есть суть всего моего вопроса
кстате почитайте dockerd.txt пожалуйста, может там че интересное найдёте

[silasibiri]

Drno, помогите мне, пожалуйста

[Drno]

silasibiri, ну тож самое. Что ты не root ))
Вообще докер лично я использую только compose и то в паре мест.

Мне больше lxc контейнеры нравятся

[silasibiri]

Drno, я все понял, тут во всей системе рут баганный, вот еще пример

root@goorm:~# sudo umount /
umount: /: must be superuser to unmount

может можно чтото сделать чтоб докер рута не требовал?

[Drno]

silasibiri, в документации докер, установки, есть графа как добавить права юзеру. Но команды от рута надо делать

Лучше починить рут, а то будет проблема на проблеме. Только как - я не подскажу. Лучше отдельный ыопрос сделать. Наверняка понадобится какой то конфиг, логи

[silasibiri]

Drno, извините, я без понятия как его чинить
к тому же, у сервиса правила жеские, тут даже перезагрузить сервер нельзя

[Drno]

silasibiri, чет эт за сервис такой конченный.
Уйдите на нормальный хостинг)

[silasibiri]

Drno, денег б кто дал.. ха-ха.
сервис - онлайн ide, в ней на онлайн кодинг дается сервер, ну и халявщики типа меня активно пользуются этим не по назначению)
ide.goorm.io

[silasibiri]

Drno, может быть cmod'ом можно че нить сделать с этим?

[Drno]

silasibiri, незнаю... не сподскажу

[Денис]

modprobe": executable file not found in $PATH...
у вас докер установлен в докере что ли?

[silasibiri]

Денис, я не знаю, выше говорил что хостинг не самый стандартный...

[silasibiri]

Денис, чето слышал про DinD, может в нем кроется ответ?

Answer 1

[ifgeny87]

Приветствую!

Краткий ответ
Нельзя запустить докер внутри докер-контейнера.
Goormide запускается внутри докер-контейнера. А система безопасности Docker не позволит Вам запустить докер внутри докера.

Дальше приведу экспертизу
Для начала попробуем запустить сервис Docker вручную и посмотреть на наличие ошибок:
> sudo dockerd

В моем случае я получаю такой результат:

INFO[2023-07-25T03:39:25.466513684Z] stopping event stream following graceful shutdown error="context canceled" module=libcontainerd namespace=plugins.moby
failed to start daemon: Error initializing network controller: error obtaining controller instance: failed to create NAT chain DOCKER: iptables failed: iptables -t nat -N DOCKER: iptables v1.6.1: can't initialize iptables table `nat': Permission denied (you must be root)
Perhaps iptables or your kernel needs to be upgraded.

Эта ошибка информирует нас о том, что NAT не поддерживается операционной системой, в которой мы пытаемся запустить Docker.
Дальше можем попробовать узнать статус сервиса docker:

> systemctl status docker
System has not been booted with systemd as init system (PID 1). Can't operate.

Похоже на то, что пользователь systemd не поддерживается операционной системой, которую поднимает goorm.

Проверим, какой процесс занимает pid 1:

> ps -p 1 -o comm=
sshd

Делаем вывод, что ОС не поддерживает systemd и NAT.

Означает ли это, что Docker не будет запускаться? Не знаю, дальше уже не копался.