Unprivileged versus privileged containers

[Saylles]

Also ich versuche das grade zu verstehen.
Ich traf auf dieses Problem das erstemal als ich versucht habe auf eine NFS Freigabe zu Zugreifen. Im default ist ein CT unprivileged, besitzt somit keine root rechte und kann nur in seinem Container agieren. Logisch kann er dann auch nicht auf andere Ressourcen zugreifen.

Jetzt stehe ich aber viel mehr vor der Frage wie und wo kann ich sagen das eine CT mit seinen "unprivileged" Rechten auf eine ganz bestimmte Ressoruce zugreifen kann ? Ich habe jetzt schon ein paar Tage und gefühlt 100 Artikel durch forstet und try and error bringt mich nicht mehr weiter.
Ich bekomme es nicht in meine Birne. Ich hoffe das mir jemand das auf Deutsch mal erklären kann und mein Brett vor dem Kopf endlich verschwindet.

 

[Dunuin]

Was meinst du genau mit "Ressource"? Willst z.B. das der unprivilegierte LXC Zugriff auf einen Ordner vom Host bekommt, dann kannst du einen bind-mount erstellen. Dann musst du aber vermutlich noch das User gemapping editieren, da UID/GID 0-65365 im LXC in wirlichkeit UID/GID 100000-165365 auf dem Host sind. Ein User mit UID 1000 im LXC hat also keine Rechte auf dem Host etwas zuzugreifen was dort UID 1000 gehört, da dann ja in Wirklichkeit mit UID 101000 versucht wird auf die Datei zuzugreifen auf die nur UID 1000 Zugriffsrechte hat. Siehe hier für ein Beispiel bezüglich bind-mount + user remapping: https://pve.proxmox.com/wiki/Unprivileged_LXC_containers

Falls du mit Ressources Dinge wie eine GPU, USB Geräte und Co meinst...da musst du manuell die Konfig-Datei des LXCs in /etc/pve/lxc/DeineVMID.conf bearbeiten. Was genau hängt dann stark davon ab was du machen willst. Du musst halt die Isolation teils aushebeln,was den LXC dann wieder unsicherer macht.