GNU/Linux >> Tutoriels Linux >  >> Linux

Utiliser perf dans un conteneur docker sans --privileged

Après quelques recherches, le problème ne vient pas du perf_event_paranoid , mais avec le fait que perf_event_open (syscall) a été mis sur liste noire dans docker :https://docs.docker.com/engine/security/seccomp/ "Docker v17.06 :profils de sécurité Seccomp pour Docker"

Appels système importants bloqués par le profil par défaut

perf_event_open Appel système de traçage/profilage, qui pourrait divulguer de nombreuses informations sur l'hôte.

Ma première solution consiste à avoir un script qui télécharge le fichier seccomp officiel https://github.com/moby/moby/blob/master/profiles/seccomp/default.json, et ajoute perf_event_open à la liste des appels système en liste blanche.

Je lance ensuite docker avec --security-opt seccomp=my-seccomp.json


Exécutez docker avec --cap-add SYS_ADMIN


Linux

  1. Comment quitter un conteneur Docker

  2. Comment exécuter Nginx dans un conteneur Docker sans s'arrêter ?

  3. Comment déterminer si un processus s'exécute dans lxc/Docker ?

  4. Docker peut-il s'exécuter dans un conteneur Linux ?

  5. Que contient une image/un conteneur Docker ?

Comment utiliser la commande Docker Run avec des exemples

Comment installer et utiliser le conteneur Rocky Linux Docker

Comment inspecter le contenu d'une image Docker sans démarrer un conteneur

Utilisez les conteneurs Docker Stop sans tout gâcher !

Comment utiliser Docker Commit pour modifier les images de conteneur

Rendre un montage NFS sur l'hôte visible et en lecture-écriture dans le conteneur Docker