Docker GitHub Actions Runner中解决binfmt_misc权限问题

在使用myoung34/docker-github-actions-runner项目时，用户可能会遇到一个常见的权限问题：当尝试在Docker容器中运行跨架构构建（如ARM架构）时，系统会报错"mount: /proc/sys/fs/binfmt_misc: permission denied"。这个问题主要与Linux内核的二进制格式支持子系统有关。

问题背景

binfmt_misc是Linux内核提供的一个功能，它允许系统识别并执行非本机架构的二进制文件。当在Docker容器中运行跨架构构建时，这个功能尤为重要。默认情况下，Docker容器出于安全考虑，不会授予容器足够的权限来挂载或访问这个特殊的文件系统。

解决方案

要解决这个问题，需要从两个方面对Docker容器进行配置：

1. 启用特权模式：通过添加--privileged参数运行容器，这将给予容器几乎与主机相同的权限级别。

2. 挂载设备目录：通过-v /dev:/dev将主机的设备目录挂载到容器中，使得容器能够访问必要的设备文件。

完整配置示例

对于使用systemd管理服务的环境，可以在服务配置文件中这样设置：

ExecStart=/usr/bin/docker run --rm --privileged \
                              --env-file /etc/ephemeral-github-actions-runner.env \
                              -e RUNNER_NAME=%H \
                              -v /var/run/docker.sock:/var/run/docker.sock \
                              -v /dev:/dev \
                              --name %N \
                              myoung34/github-runner:ubuntu-jammy

注意事项

1. 使用特权模式会降低安全性，应仅在可信环境中使用。

2. 对于生产环境，可以考虑更精细化的权限控制，而不是直接使用--privileged。

3. 推荐使用特定的发行版标签（如ubuntu-jammy），以确保兼容性。

通过以上配置，GitHub Actions Runner将能够正确处理跨架构的构建任务，解决binfmt_misc相关的权限问题。