我试图以非 root 用户身份在 docker 容器内运行 google-chrome --headless 以执行一些测试。
每次我尝试启动它时,它都会引发以下错误:
google-chrome --headless
无法移动到新命名空间:支持 PID 命名空间,支持网络命名空间,但失败:errno = 不允许操作
生成 minidump 失败。非法指令
它是一个运行在 k8s 集群中的 docker 容器。
操作系统是 Ubuntu 16.04。
命名空间已启用,用户是非 root
我不想使用 --no-sandbox 选项,因为这是一个安全问题。
我不能使用 docker run --security-opt=syscomp:unconfined 因为它是使用 helm 部署的。
是否缺少我需要在容器本身中为 chrome 设置的系统权限?
最佳答案
在广泛研究互联网后,我想我找到了答案:
沙盒
出于安全原因,Google Chrome 在基于容器的环境中运行时无法提供沙盒。
要在基于容器的环境中使用 Chrome,请将 --no-sandbox 标志传递给 chrome 可执行文件
所以看起来没有比 --no-sandbox 更好的解决方案了在以任何方式受到额外保护的容器内。
关于linux - google-chrome 无法移动到新的命名空间,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/59087200/