无法将 NFS 文件共享挂载到 Azure VM 上运行的 Docker 容器
问题描述 投票:0回答:1
我们希望将在多个 Docker 容器中运行的应用程序部署到 Azure 虚拟机。我们希望 Docker 容器能够直接从 Azure 文件 NFS 共享挂载卷。
NFS 共享可以轻松安装到虚拟机本身,但不能安装到容器。我们尝试了适用于 Docker 的 CNI 和 CNM 网络插件(插件安装和设置是按照 Microsoft/Github 文档上的建议完成的),但它们都不适合我们。
我们总是收到“连接超时”或“权限被拒绝”错误。
我们发现的唯一解决方案是使用“--privileged”和“--network=host”选项运行 Docker 容器,但根据我们发现的安全指南,它既不是实用的也不是安全的长期解决方案。
我们还尝试将 blobfuse2 与另一个存储帐户和 blob 容器一起使用,但结果是相同的。 Blob 容器可安装到 VM,但不能直接安装到 Docker 容器,除非设置了“--privileged”和“--network=host”选项。
还有什么我们应该尝试/检查的吗? Azure 虚拟网络设置、Docker 设置或者我们可能错过了配置 Azure 文件 NFS 共享的功能?
Ubuntu 20.04.6 LTS
Docker 24.0.5
该环境目前处于早期状态,因此不存在特殊的网络安全规则,仅存在 Azure 默认值。
1个回答
投票
还有什么我们应该尝试/检查的吗? Azure 虚拟网络设置。
必要的防火墙规则和网络安全组 (NSG) 应允许进出 VM 和 Azure 文件服务的 NFS 流量(端口 2049)。
- 为了安全实用的 Docker 容器网络,请避免使用
和--privileged
选项。相反,请考虑使用 Docker 的桥接网络模式或自定义用户定义的网络。--network=host
使用该网络启动了docker容器
docker run --network mynetwork -d myimage - 将
指定为volume-driver
。该驱动程序专门设计用于与 Azure 文件配合使用。azurefile
docker volume create --driver azurefile \
-o share=myshare \
-o username=myusername \
-o password=mypassword \
myvolume
- 如果您的虚拟机正在运行 SELinux(在 CentOS/RHEL 上常见),请检查它们是否阻止 Docker 容器访问 NFS 共享。我们也可以通过 AppArmor 运行(在 Ubuntu 上很常见),但是如果你在我的下图中看到它不支持 Image。
正确配置 Azure 文件、虚拟网络、Docker 网络和容器卷挂载,将能够在 Docker 容器中安全挂载 Azure 文件 NFS 共享,而无需求助于
--privileged--network=host最新问题
- 有没有正确的方法来克隆 JavaScript 中对象的某些原始属性?
- 在sql中使用if-else条件选择状态
- 如何在 Julia 中实现(派生)异常类型?
- 有条件地创建当前或空可选的紧凑方法
- 如何在构造函数中只注入一个参数(其余为普通参数)?
- 如果我在 C++ 脚本中将 C 与 C++ 混合会发生什么?
- Ruby Spawn 不接受 IO.pipe
- Bootstrap 折叠导航栏切换按钮不起作用(角度)
- 桥接 React Native 的 Swift 委托
- 如何使用cmake(cpprest-sdk)创建特定目标
- 选择提供哪些相关代码块作为 VS Code Github Copilot 的上下文
- 如何将空手道测试结果输出到自定义文件夹而不是目标?
- SQL VERTICA 按间隔分组
- R:setGeneric 具有两个不同的 S4 类(B 继承 A),具有相同的方法名称和签名
- 在 iOS 框架中嵌入 .dylib
- 需要多个字符串
- 我需要为 .net mvc 项目中使用的 ckeditor 使用下划线工具选项
- Ortools 无法评估 LinearExpr 边缘情况
- React DOM 渲染组件时崩溃
- “.net Core 托管”Blazor WASM 解决方案 Web API 项目上的 Swagger UI