docker - Portainer:尝试连接到 Docker 守护进程套接字时权限被拒绝

Question

我正在使用 Docker 版本 19.03.11 附带的全新 Fedora CoreOS。
我的 core用户在 docker团体:

[core@localhost ~]$ groups
core adm wheel sudo systemd-journal docker

关注 deployment instructions for portainer ，我创建了一个像这样的新 Portainer 容器(如 core 或 root ，这甚至无关紧要):

$ docker volume create portainer_data
$ docker run -d -p 9000:9000 -p 8000:8000 --name portainer --restart always -v /var/run/docker.sock:/var/run/docker.sock -v portainer_data:/data portainer/portainer

当我尝试连接到本地守护进程时:
/var/run/docker.sock的权限:

[core@localhost ~]$ ll /var/run/docker.sock
srw-rw----. 1 root docker 0 Aug  2 10:02 /var/run/docker.sock

即使我 chmod o+rw /var/run/docker.sock它不起作用。这表明问题可能出在容器本身，所以我试图访问它，但我不能:

[core@localhost ~]$ docker exec -it portainer sh
OCI runtime exec failed: exec failed: container_linux.go:349: starting container process caused "exec: \"sh\": executable file not found in $PATH": unknown

到目前为止我发现的所有资源都建议将用户添加到 docker组，我做了，重新启动机器，我做了，或者在 /var/run/docker.sock 上设置 666 ，我做了但不想这样做。没有任何帮助。
知道出了什么问题以及如何解决吗？

Answer 1

如果是 SELinux 问题，请先尝试关注 portainer/portainer issue 849

Correct way is to add :z to the volume mapping, so you're not defeating the purpose of docker.

Like so:

docker run -d -p 9000:9000 -v /var/run/docker.sock:/var/run/docker.sock:z portainer/portainer

Also we need a way to add the z or Z flag in Portainer for new containers. This has been a feature since 1.7 e.g. 2015 in Docker.

那个，或者使用 dpw/selinux-dockersock