Re: Rootless docker
пн, 3 нояб. 2025 г. в 21:20, Maksim Dmitrichenko <dmitrmax@gmail.com>:
> В моём же случае речь про запуск системных сервисов с пониженными
> привилегиями. То есть конфиги в моем представлении будут браться из
> условного /etc, где они лежат с правами рута и для сервиса они
> являются read only. Если сервис сам вырабатывает какие-то данные, то
> они будут храниться в каком-нибудь промапленном каталоге с правами
> этого специального докерного юзера.
Тогда это не rootless docker. Просто обычный.
Вот контейнеры — таки должны чуть отличаться в смысле запуска от
указанного юзера, а не рута.
> Немного оффтоп, но коли вы в этом имеете опыт, то может быть
> сталкивались с такой проблемкой - я пытался запускать zoom в докере, и
> всё бы хорошо, но он не видит камеры. Сокет pipewire прокидывал в
> контейнер, девайсы камер тоже. Но не видит и всё. Пробовал ему даже
> strace делать, но особо не увидел в этой тонне логов, куда он пытается
> тыкаться, чтобы подцепить камеры.
Не запускал за ненадобностью, но репозиторий
https://github.com/mdouchement/docker-zoom-us выглядит годным и там
есть скрипт-враппер, который будет запускать с пробросом нужного.
Вероятно, как минимум, скрипт точно подойдёт, возможно, после
доработки напильником, так как репозиторий давно не обновлялся.
А вообще, если бы пришло в голову использовать zoom как приложение,
смотрел бы либо в сторону flatpack, либо в сторону обычных пакетов +
firejail. Докер всё ж странный выбор для гуя.
--
Stanislav
Reply to: