<div dir="ltr">Hey Serge,<div><br></div><div>This is something I'm interested in as well. Anyway I could help with the implementation of the graphdriver proxy?</div></div><br><div class="gmail_quote"><div dir="ltr">On Fri, Oct 16, 2015 at 12:10 PM Serge Hallyn <<a href="mailto:serge.hallyn@ubuntu.com">serge.hallyn@ubuntu.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Quoting Tamas Papp (<a href="mailto:tompos@martos.bme.hu" target="_blank">tompos@martos.bme.hu</a>):<br>
><br>
><br>
> On 08/31/2015 03:59 PM, Serge Hallyn wrote:<br>
> >Quoting Tamas Papp (<a href="mailto:tompos@martos.bme.hu" target="_blank">tompos@martos.bme.hu</a>):<br>
> >><br>
> >>On 08/28/2015 03:48 PM, Serge Hallyn wrote:<br>
> >>>Quoting Tamas Papp (<a href="mailto:tompos@martos.bme.hu" target="_blank">tompos@martos.bme.hu</a>):<br>
> >>>>hi,<br>
> >>>><br>
> >>>>I would like to achieve, what is in subject.<br>
> >>>><br>
> >>>><br>
> >>>>However, I cannot get over on this apparmor issue:<br>
> >>>><br>
> >>>>[7690496.246952] type=1400 audit(1440757904.938:1130):<br>
> >>>>apparmor="DENIED" operation="mount" info="failed flags match"<br>
> >>>>error=-13 profile="lxc-docker" name="/var/lib/docker/aufs/"<br>
> >>>>pid=32534 comm="docker" flags="rw, private"<br>
> >>>><br>
> >>>><br>
> >>>>I read some post on various forums, that I need to run the lxc<br>
> >>>>container with unconfined profile.<br>
> >>>>Is still the case?<br>
> >>>Excellent, I've been wanting to bring this up here :)<br>
> >>><br>
> >>>Maxim at Odin has been working on a proxy graphdriver for<br>
> >>>docker.  The PR is at<br>
> >>><br>
> >>><a href="https://github.com/docker/docker/pull/15594" rel="noreferrer" target="_blank">https://github.com/docker/docker/pull/15594</a><br>
> >>><br>
> >>>I'm hoping to test that today and see what else is still<br>
> >>>needed.  I would assume a custom apparmor policy will still<br>
> >>>be needed, but since the host is doing most of the mounting<br>
> >>>you should be able to avoid just being unconfined.<br>
> >>hi,<br>
> >><br>
> >>For the first look it seems to be a big change, that requires a more<br>
> >>qualified one for testing.<br>
> >>Did you take a look?<br>
> >I've taken a look at the code but haven't built it yet.  (having<br>
> >some toolchain issues)<br>
><br>
> <a href="https://github.com/docker/docker/pull/13777" rel="noreferrer" target="_blank">https://github.com/docker/docker/pull/13777</a><br>
><br>
> This was merged, does it mean, that docker should be usable in LXC<br>
> from this point?<br>
<br>
Not exactly.  As you can see from the final comment in<br>
<br>
<a href="https://github.com/docker/docker/pull/15924" rel="noreferrer" target="_blank">https://github.com/docker/docker/pull/15924</a><br>
<br>
it now means that we can write a graphdriver proxy.  The original<br>
openvz pull request would have been almost all we needed - allowing<br>
the graphdriver to talk over a unix socket to the host where the<br>
requested actions could be done.  The pull request which was accepted<br>
does less - only allowing you to implement your own proxy to talk to<br>
a service on the host.  (that service *also* needs to be written)<br>
_______________________________________________<br>
lxc-users mailing list<br>
<a href="mailto:lxc-users@lists.linuxcontainers.org" target="_blank">lxc-users@lists.linuxcontainers.org</a><br>
<a href="http://lists.linuxcontainers.org/listinfo/lxc-users" rel="noreferrer" target="_blank">http://lists.linuxcontainers.org/listinfo/lxc-users</a></blockquote></div>