环境
- MacOS 塞拉利昂 10.12.6
- Docker 版本 17.09.0-ce,构建 afdb6d4
- 乌班图16.04
- XQuartz 2.7.9
我想从 Docker 容器在我的 Mac 桌面上打开 Chromium 浏览器。
docker run -i -t ubuntu:16.04 /bin/bash
apt-get update
apt-get install alsa-base chromium-browser xauth
adduser myuser
犯罪
docker commit 2862a7bfcc2f acme/mycontainer:0.1
myuser从容器运行 chromium 浏览器失败
docker run --user myuser -i -t acme/mycontainer:0.1 /usr/bin/chromium-browser
Failed to move to new namespace: PID namespaces supported, Network namespace supported, but failed: errno = Operation not permitted
我敢打赌还有更多内容
有什么指点吗?
UDPATE-使用--privileged
消除错误请参阅服务器故障上的线程但 UI 不显示
docker run \
--privileged \
--user mysuer \
-i -t acme/mycontainer:0.1 /usr/bin/chromium-browser
和这个
docker run \
--privileged \
--net host \
-v /tmp/.X11-unix:/tmp/.X11-unix \
-e DISPLAY=$DISPLAY \
-e XAUTHORITY=/.Xauthority \
-v ~/.Xauthority:/.Xauthority:ro \
--name chromium \
--user mysuser \
-i -t acme/mycontainer:0.1 /usr/bin/chromium-browser
铬不显示
更新20171011
docker run \
--privileged \
--net host \
-v /tmp/.X11-unix \
-e DISPLAY \
--name chromium \
--user myuser \
-i -t acme/mycontainer:0.1 \
bash
起始铬 Gtk: cannot open display: [...] org.macosforge.xquartz:0错误
$ chromium-browser --verbose
[37:37:1011/154632.348303:VERBOSE1:breakpad_linux.cc(1978)] Breakpad disabled
[1:1:1011/154632.378280:VERBOSE1:zygote_main_linux.cc(537)] ZygoteMain: initializing 0 fork delegates
[1:1:1011/154632.378653:INFO:cpu_info.cc(50)] Available number of cores: 4
[37:37:1011/154632.381303:WARNING:browser_main_loop.cc(275)] Gtk: cannot open display: \
/private/tmp/com.apple.launchd.Y2wR3QWw57/org.macosforge.xquartz:0
在我的 Mac 上编辑过sshd_config
sudo vim /etc/ssh/sshd_config
X11Forwarding yes
X11DisplayOffset 10
XAuthLocation /opt/X11/bin/xauth
在我的 Mac 上DISPLAY
$ env | grep DISPLAY
DISPLAY=/private/tmp/com.apple.launchd.Y2wR3QWw57/org.macosforge.xquartz:0
在磁盘上
ls -al /private/tmp/com.apple.launchd.gCYQToI4lb/*
srw-rw-rw- 1 joel wheel 0B Oct 11 17:50
/private/tmp/com.apple.launchd.gCYQToI4lb/org.macosforge.xquartz:0=
答案1
你的需要提醒了我子用户。它被设计为在 Docker 容器中运行最终用户应用程序,以保护隐私并提高安全性。
答案2
我没有 Mac 可供试验,但这里有一些一般性建议:
X11 通常受密钥文件的保护,该文件只能由拥有显示器的用户读取,因此使用文件系统权限来断言只有可以读取该文件的其他程序才能连接。客户端读取该文件,然后通过套接字将其内容重复给服务器。所以,我认为你的说法是正确的
-e XAUTHORITY=/.Xauthority \
-v ~/.Xauthority:/.Xauthority:ro \
接下来,您显示 SSH X11 转发设置,但没有指示您通过 ssh 进入 docker 容器。 SSH 转发通常用于:
ssh $HOST -X program-which-launches-gui
为了做到这一点,你需要在 docker 容器内运行 SSH 服务器,这需要一些努力......
接下来,你展示一个DISPLAY=/path/to/socket我以前没有使用过的。如果这是 MacOS 的发明,那么 Docker 化的 Ubuntu 可能无法理解该格式。
最后,您可以使用 docker 容器内部的“strace”命令查看 chrome 实际上正在尝试执行的操作。
strace chromium-browser 2>&1 | egrep "open|stat|connect|bind"
这可能会帮助您在放弃之前缩小哪些特定操作失败的范围。