环境

环境

环境

  • MacOS 塞拉利昂 10.12.6
  • Docker 版本 17.09.0-ce,构建 afdb6d4
  • 乌班图16.04
  • XQuartz 2.7.9

我想从 Docker 容器在我的 Mac 桌面上打开 Chromium 浏览器。

docker run -i -t ubuntu:16.04 /bin/bash
apt-get update
apt-get install alsa-base chromium-browser xauth
adduser myuser

犯罪

docker commit 2862a7bfcc2f  acme/mycontainer:0.1

myuser从容器运行 chromium 浏览器失败

docker run --user myuser -i -t acme/mycontainer:0.1 /usr/bin/chromium-browser
Failed to move to new namespace: PID namespaces supported, Network namespace supported, but failed: errno = Operation not permitted

我敢打赌还有更多内容

有什么指点吗?

UDPATE-使用--privileged

消除错误请参阅服务器故障上的线程但 UI 不显示

docker run \
       --privileged \
       --user mysuer \
       -i -t acme/mycontainer:0.1 /usr/bin/chromium-browser

和这个

docker run \
   --privileged \
   --net host \
   -v /tmp/.X11-unix:/tmp/.X11-unix \
   -e DISPLAY=$DISPLAY \
   -e XAUTHORITY=/.Xauthority \
   -v ~/.Xauthority:/.Xauthority:ro \
   --name chromium \
   --user mysuser \
   -i -t acme/mycontainer:0.1 /usr/bin/chromium-browser

铬不显示

更新20171011

docker run \
   --privileged \
   --net host \
   -v /tmp/.X11-unix \
   -e DISPLAY \
   --name chromium \
   --user myuser \
   -i -t acme/mycontainer:0.1 \
   bash

起始铬 Gtk: cannot open display: [...] org.macosforge.xquartz:0错误

$ chromium-browser --verbose
[37:37:1011/154632.348303:VERBOSE1:breakpad_linux.cc(1978)] Breakpad disabled
[1:1:1011/154632.378280:VERBOSE1:zygote_main_linux.cc(537)] ZygoteMain: initializing 0 fork delegates
[1:1:1011/154632.378653:INFO:cpu_info.cc(50)] Available number of cores: 4
[37:37:1011/154632.381303:WARNING:browser_main_loop.cc(275)] Gtk: cannot open display: \
      /private/tmp/com.apple.launchd.Y2wR3QWw57/org.macosforge.xquartz:0

在我的 Mac 上编辑过sshd_config

sudo vim /etc/ssh/sshd_config
X11Forwarding yes
X11DisplayOffset 10
XAuthLocation /opt/X11/bin/xauth

在我的 Mac 上DISPLAY

$ env | grep DISPLAY
DISPLAY=/private/tmp/com.apple.launchd.Y2wR3QWw57/org.macosforge.xquartz:0

在磁盘上

ls -al /private/tmp/com.apple.launchd.gCYQToI4lb/*
srw-rw-rw-  1 joel  wheel     0B Oct 11 17:50 
/private/tmp/com.apple.launchd.gCYQToI4lb/org.macosforge.xquartz:0=

答案1

你的需要提醒了我子用户。它被设计为在 Docker 容器中运行最终用户应用程序,以保护隐私并提高安全性。

答案2

我没有 Mac 可供试验,但这里有一些一般性建议:

X11 通常受密钥文件的保护,该文件只能由拥有显示器的用户读取,因此使用文件系统权限来断言只有可以读取该文件的其他程序才能连接。客户端读取该文件,然后通过套接字将其内容重复给服务器。所以,我认为你的说法是正确的

-e XAUTHORITY=/.Xauthority \
-v ~/.Xauthority:/.Xauthority:ro \

接下来,您显示 SSH X11 转发设置,但没有指示您通过 ssh 进入 docker 容器。 SSH 转发通常用于:

ssh $HOST -X program-which-launches-gui

为了做到这一点,你需要在 docker 容器内运行 SSH 服务器,这需要一些努力......

接下来,你展示一个DISPLAY=/path/to/socket我以前没有使用过的。如果这是 MacOS 的发明,那么 Docker 化的 Ubuntu 可能无法理解该格式。

最后,您可以使用 docker 容器内部的“strace”命令查看 chrome 实际上正在尝试执行的操作。

strace chromium-browser 2>&1 | egrep "open|stat|connect|bind"

这可能会帮助您在放弃之前缩小哪些特定操作失败的范围。

相关内容