Re: Запуск гуевых приложений в контейнере (was: Debian 7 и intel hd graphics 500)

To: debian-russian@lists.debian.org
Subject: Re: Запуск гуевых приложений в контейнере (was: Debian 7 и intel hd graphics 500)
From: Victor Wagner <vitus@wagner.pp.ru>
Date: Wed, 3 Jun 2020 12:45:11 +0300
Message-id: <[🔎] 20200603124511.6a431993@antares.wagner.home>
In-reply-to: <[🔎] 1rmwtxn1.321942@gmail.com>
References: <dd887138-f60f-441c-3eac-6c603584ec3a@yandex.ru> <alpine.DEB.2.22.394.2005302211460.34225@jura104.jinr.ru> <CAOQdWPFk9Z+fG-_bv8JiW-fxfRX_fec15deRwwVY=MrBysFTsQ@mail.gmail.com> <[🔎] 1rmwtxn1.321942@gmail.com>

В Wed, 03 Jun 2020 10:29:54 +0300
Dmitry Alexandrov <321942@gmail.com> пишет:

> Stanislav Vlasov <stanislav.v.v@gmail.com> wrote:
> > Честно говоря, не в курсе, можно ли в контейнерах штатным образом
> > запускать гуёвый софт с отображением его окон на локальных иксах
> > без всяких ssh -X в контейнер  
> 
> Да, естественно, ибо с каких это пор Иксам стали требоваться всякие
> костыли типа ssh для отрисовки окон на другой машине?
> 
> > простым конфигурированием контейнера.  
> 
> Скорее уж хоста.  А конкретно:

Вот лучше контейнера. Ибо безопаснее будет в нашу параноидальную эпоху.

> 1. Включить ‘-listen tcp’ у Икс-сервера.  Как — см. в документации
> экранного диспетчера, который его собственно по-умолчанию и отключает.

Ага, а потом еще убедиться, что это надежно заткнуто файрволлом и
пустят туда только из контейнера, а не изо всей локальной сети.

Лучше уж как ниже описано смонтировать в контейнер юникс-домен сокеты из
/tmp/.X11-unix

> 2. разрешить к нужной инстанции доступ для нужного контейнера:
> 
> 	$ xhost +inet:192.168.122.11
> 	$ xhost +inet6:fd34:fe56:7891:2f3a::11

Ой, не рекомендую использовать xhost.  В принципе, в сочетании с
предыдущим советом достаточно просто ~/.Xauthority в контейнер
скопировать. Потому что при этом значение DISPLAY внутри и снаружи
будет совпадать, и магическое печенье подойдет.

> Другое дело, что толку-то?  Одних Иксов далеко не всякому гую
> достаточно.  Доступа к отрисовке на GPU Иксы же сами по себе не дают.
> 
Вот-вот

> Если ее надо, то придется проламывать стенку контейнера.  На примере
> LXC (строчки из configʼа):
> 
> 	lxc.mount.entry = /tmp/.X11-unix tmp/.X11-unix none
> bind,optional,create=dir,ro lxc.cgroup.devices.allow = c 226:* rwm
> 	lxc.mount.entry = /dev/dri dev/dri none
> bind,optional,create=dir lxc.cgroup.devices.allow = c 116:* rwm
> 	lxc.mount.entry = /dev/snd dev/snd none
> bind,optional,create=dir
> 
> Первая строчка заменяет сетевую прозрачность Иксов, четвертая-пятая —
> Пульсы, ну а вторая-третья — это про тот самый доступ к графике.  226
> и 116 — это мажорные номера устройств, см. ‘$ ls -l /dev/dri/’ в
> колонке размера.
> 
> Авторизация на Икс-сервере будет по UIDʼу, так что если не совпадают,

А вот не стоит делать так, чтобы не совпадали. Есть куча разных причин
по которым лучше uid-ы синхронизировать, и это отнюдь не толко доступ к
X-ам. Это еще по крайней мере кардинально упрощает обмен файлами с
контейнером. 
А то опять окажется что ssh проще.

--

Reply to:

Follow-Ups:
- Re: Запуск гуевых приложений в контейнере
  - From: Dmitry Alexandrov <321942@gmail.com>

References:
- Re: Запуск гуевых приложений в контейнере (was: Debian 7 и intel hd graphics 500)
  - From: Dmitry Alexandrov <321942@gmail.com>

Prev by Date: Re: Точки монтирования внешних носителей
Next by Date: Re: Точки монтирования внешних носителей
Previous by thread: Re: Запуск гуевых приложений в контейнере
Next by thread: Re: Запуск гуевых приложений в контейнере
Index(es):
- Date
- Thread