问题
我正在构建一个基于RHEL的Docker容器,其中包含来自第三方存储库的自定义二进制文件。在容器中执行该二进制文件时,我收到一个不明确的错误:“操作不允许
”。
分析
Dockerfile
Dockerfile非常简单。
FROM dockerregistry.example.com/rhel7:latest
RUN yum -y install \
curl \
custom-package && \
curl -Lsq https://github.com/Yelp/dumb-init/releases/download/v1.2.0/dumb-init_1.2.0_amd64 > /sbin/dumb-init && \
chmod 755 /sbin/dumb-init && \
yum clean all
ADD custom-package.conf /etc/custom-package/custom-package.conf
ENTRYPOINT ["/sbin/dumb-init", "--"]
CMD ["/usr/local/custom-package/bin/custom-package", "--config", "/etc/custom-package/custom-package.conf"]
构建镜像
我在工作站上使用以下命令构建并进入容器。
$ docker build -t custom-package:v1 .
$ docker run --security-opt seccomp:unconfined -d custom-package:v1 tail -f /dev/null
$ docker exec -it <image ID> /bin/bash
“操作不允许”
当我进入镜像后,如果尝试执行二进制文件,则会收到非常无用的错误。运行strace
也会给出混乱的输出。在检查文件权限和元数据时,它似乎是正常的。
# /usr/local/telegraf/bin/telegraf
bash: /usr/local/telegraf/bin/telegraf: Operation not permitted
# strace -f /usr/local/telegraf/bin/telegraf
execve("/usr/local/telegraf/bin/telegraf", ["/usr/local/telegraf/bin/telegraf"], [/* 17 vars */]) = -1 EPERM (Operation not permitted)
write(2, "strace: exec: Operation not perm"..., 38strace: exec: Operation not permitted
) = 38
exit_group(1) = ?
+++ exited with 1 +++
# ls -l /usr/local/telegraf/bin/telegraf
-rwxr-xr-x 1 telegraf telegraf 38664736 Jun 3 15:41 /usr/local/telegraf/bin/telegraf
# getcap -v /usr/local/telegraf/bin/telegraf
/usr/local/telegraf/bin/telegraf = cap_sys_rawio+ep
我无法收集足够的信息来调试我的容器,也不知道为什么可执行二进制文件无法正常工作。是否有明显的错误或者原因导致我收到这样一个无用的错误提示?
谢谢!