E
Size: a a a
2020 October 02
E
Nomad clients must be run as root due to the OS isolation mechanisms that require root privileges
D
Ну я имею ввиду продакшн, естественно
У меня под отдельным юзером работает
D
Nomad clients must be run as root due to the OS isolation mechanisms that require root privileges
А второе предложение?
D
In all cases, it is recommended you create a nomad user with the minimal set of required privileges.
E
Denis
А второе предложение?
Противоречит первому, очевидно. Так что я рассматриваю его как относящееся к серверу
D
На мой взгляд не противоречит. Создаешь юзера выдаешь ему только нужные права, а не всего root
D
Возможность в целом есть, если очень надо.
VS
Ну вот у меня началось с банального:
failed to setup alloc: pre-run hook "network" failed: failed to configure networking for alloc: failed to initialize table forwarding rules: failed to list iptables chains: running [/usr/sbin/iptables -t filter -S --wait]: exit status 4: Fatal: can't open lock file /run/xtables.lock: Permission denied
:)
Кто бы вот описал этот минимальный набор привилегий было бы прям прекрасно
failed to setup alloc: pre-run hook "network" failed: failed to configure networking for alloc: failed to initialize table forwarding rules: failed to list iptables chains: running [/usr/sbin/iptables -t filter -S --wait]: exit status 4: Fatal: can't open lock file /run/xtables.lock: Permission denied
:)
Кто бы вот описал этот минимальный набор привилегий было бы прям прекрасно
m
к чему страдания такие ?
VS
ну так хобби такое просто)) запускать не от рута))
не знаю даже к чему
не знаю даже к чему
AY
Ну вот у меня началось с банального:
failed to setup alloc: pre-run hook "network" failed: failed to configure networking for alloc: failed to initialize table forwarding rules: failed to list iptables chains: running [/usr/sbin/iptables -t filter -S --wait]: exit status 4: Fatal: can't open lock file /run/xtables.lock: Permission denied
:)
Кто бы вот описал этот минимальный набор привилегий было бы прям прекрасно
failed to setup alloc: pre-run hook "network" failed: failed to configure networking for alloc: failed to initialize table forwarding rules: failed to list iptables chains: running [/usr/sbin/iptables -t filter -S --wait]: exit status 4: Fatal: can't open lock file /run/xtables.lock: Permission denied
:)
Кто бы вот описал этот минимальный набор привилегий было бы прям прекрасно
с чего бы nomad полез в iptables?
VS
с чего бы nomad полез в iptables?
network {
mode = "bridge"
}
mode = "bridge"
}
AY
И какой в этом смысл?
VS
https://www.nomadproject.io/docs/job-specification/network#network-stanza
This is a prerequisite for Consul Connect
This is a prerequisite for Consul Connect
VS
и в целом для CNI нужно ставить network.mode
и nomad полезет в iptables
и nomad полезет в iptables
AY
Просто интересно было. Я фанат nomad, потому что можно network_mode host без сетевой абстракции 😄
VS
По моей проблеме далее
Nomad Server может обойтись без root, а вот nomad clients требуют рута
Так что наверное так и попробую выкрутится
Скажу вот Hashicorp так в 2016 году писали в Issue
https://github.com/hashicorp/nomad/issues/948#issuecomment-199373507
Nomad Server может обойтись без root, а вот nomad clients требуют рута
Так что наверное так и попробую выкрутится
Скажу вот Hashicorp так в 2016 году писали в Issue
https://github.com/hashicorp/nomad/issues/948#issuecomment-199373507
D
Я тоже использую
network_mode = host. Сделал как в инструкции If you do not run Nomad as root, make sure you add the Nomad user to the Docker group so Nomad can communicate with the Docker daemon.И всё работает.
D
root ещё наверное нужен если использовать task driver = exec