debian10/buster proxmox Failed to set up mount namespacing: Permission denied

[Marc-marc-marc]

Failed to set up mount namespacing: Permission denied Failed at step NAMESPACE spawning /usr/sbin/mysqld: Permission denied Main process exited, code=exited, status=226/NAMESPACE affecte en autre munin-node https://github.com/osm-fr/infrastructure/issues/200 https://forum.proxmox.com/threads/problem-lxc-mariadb-debian-10.55926/ https://bugzilla.proxmox.com/show_bug.cgi?id=2281

question :

• on passe tous les CT debian buster en unprivileged (unprivileged: 1)? cela semble être la valeur par défaut maintenant
• si cela ne suffit pas, on active Nesting lors que le CT est en debian buster ? expose /proc et /sys

[jocelynj]

Pour passer en unprivileged, il faut réinstaller le containeur si j'ai bien compris.

Pour les mises à jour que j'ai effectué pour le moment, j'ai activé le nesting dans la config du CT.

[cquest]

As-tu essayé un backup/restore du container ? On peut choisir unpriviledge au restore (mais j'ai pas essayé)

[Marc-marc-marc]

test avec osm148 : backup/restore en unprivileged + maj buster : Jun 29 11:03:00 osm148 systemd[1]: Started Munin Node.

@jocelynj tu veux dire que nesting suffit pour une maj debian buster sans devoir faire un backup/restore ? sur quelle vm cela a été testé ?

[cquest]

@Marc-marc-marc ton test de restore pour passer en unpriviledged avec osm148 semble concluant, non ? Je vois que l'option nesting n'est pas cochée, elle n'est donc pas nécessaire ?

[Marc-marc-marc]

le test backup/restore est concluant pour munin, sans avoir touché nesting. ma question était de savoir si le test de @jocelynj permettait d'éviter cette étape, pour éviter de couper le service sur certains CT

[jocelynj]

Je ne sais plus sur quelles VMs j'ai dû mettre le nesting - en tout cas pour toutes celles que j'ai passé en buster sur osm26/27/28.

À noter qu'il faut quand même rebooter la VM pour utiliser la config nesting après mise à jour - d'où une coupure du service, mais plus courte que sur un backup/restore.

[Marc-marc-marc]

grep -il nesting=1 /etc/pve/nodes/osm*/lxc/*.conf /etc/pve/nodes/osm26/lxc/118.conf /etc/pve/nodes/osm26/lxc/127.conf /etc/pve/nodes/osm26/lxc/132.conf /etc/pve/nodes/osm26/lxc/136.conf /etc/pve/nodes/osm27/lxc/172.conf /etc/pve/nodes/osm28/lxc/134.conf /etc/pve/nodes/osm28/lxc/141.conf /etc/pve/nodes/osm28/lxc/154.conf /etc/pve/nodes/osm28/lxc/160.conf /etc/pve/nodes/osm28/lxc/169.conf

[cquest]

Toujours d'actualité ? Ces problèmes étaient liés à proxmox v5, non ?

[Marc-marc-marc]

le lien dans le premier message a tjs plein de ko, par ex osm147