<div dir="ltr"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br>
So this may get fixed with cgroup namespaces,<br>
<br>
(i.e. <a href="https://git.kernel.org/cgit/linux/kernel/git/sergeh/linux-security.git/log/?h=2015-11-10/cgroupns" rel="noreferrer" target="_blank">https://git.kernel.org/cgit/linux/kernel/git/sergeh/linux-security.git/log/?h=2015-11-10/cgroupns</a>,<br>
<a href="http://github.com/hallyn/lxcfs" rel="noreferrer" target="_blank">github.com/hallyn/lxcfs</a> #2015-11-10/cgns and <a href="http://github.com/lxc/" rel="noreferrer" target="_blank">github.com/lxc/</a> #2015-11-09/cgns)<br></blockquote><div><br></div></div></div><p dir="ltr">This is great! Using this patch would mean that we don't need cgmanager or lxcfs, is that correct? Does it already work for unprivileged containers?<br></p>
<p dir="ltr">If so, I can spend some time trying to generate a deb for the branch, create an unprivileged container and then try to start up the docker daemon inside the container to see the next step where it fails. I need to see if the process of generating debs is documented somewhere.</p>
<div dir="ltr"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
but of course for backward compatability that should still be fixed.  Which<br>
requires choosing a way for docker to decide whether cgroups are in fact<br>
mounted.<br></blockquote><div><br></div></div></div><p dir="ltr">For the backward compatibility, it would mean changing docker such that it can run without checking if the right cgroups are mounted?</p>