Docker Rootless模式在RHEL8中创建Unix Socket失败问题解析

问题现象

在Red Hat Enterprise Linux 8系统中使用Docker Rootless模式时，用户遇到了无法创建Unix Socket的问题。具体表现为dockerd进程启动时报错："can't create unix socket /run/user/2192521/docker.sock: chown /run/user/2192521/docker.sock: invalid argument"。

问题背景

Rootless模式是Docker提供的一种无需root权限即可运行容器的方式，它通过用户命名空间和RootlessKit等技术实现。这种模式虽然功能有限制，但能显著提高安全性。

根本原因分析

经过排查，该问题通常与Linux系统的用户子UID/GID分配有关。Rootless模式需要正确的subuid和subgid配置才能正常工作：

1. 系统缺少对应用户的子UID/GID范围分配
2. 分配的范围不足（小于65536）
3. 用户命名空间权限未正确配置

解决方案

检查当前配置

首先检查系统中是否已为用户配置了足够的子UID/GID：

cat /etc/subuid
cat /etc/subgid

正确配置方法

1. 使用usermod命令为用户分配子UID/GID：

sudo usermod --add-subuids 100000-165535 <用户名>
sudo usermod --add-subgids 100000-165535 <用户名>

2. 或者直接编辑配置文件：

# 在/etc/subuid中添加
<用户名>:100000:65536

# 在/etc/subgid中添加相同内容
<用户名>:100000:65536

验证配置

配置完成后，需要：

1. 确保用户已注销并重新登录
2. 验证配置是否生效
3. 再次尝试启动Docker Rootless模式

注意事项

1. 分配的子UID/GID范围必须足够大（至少65536个）
2. 不同用户的范围不能重叠
3. 修改配置后需要重新登录才能生效
4. 在RHEL/CentOS系统上可能需要额外配置用户命名空间权限

总结

Docker Rootless模式在RHEL8系统中的Unix Socket创建问题通常源于不正确的子UID/GID配置。通过正确配置这些参数，可以解决大多数类似的权限问题，使Rootless模式能够正常工作。这种配置不仅适用于Docker，也是其他容器运行时在Rootless模式下工作的基础要求。