如何将 Linux 功能 SYS_NICE 和 DAC_READ_SEARCH 添加到 AWS Fargate 中的容器？

Posted 2023-02-19

【中文标题】如何将 Linux 功能 SYS_NICE 和 DAC_READ_SEARCH 添加到 AWS Fargate 中的容器？

【英文标题】：How do I add Linux capabilities SYS_NICE and DAC_READ_SEARCH to container in AWS Fargate?

【发布时间】：2021-03-14 21:22:26

【问题描述】：

我正在尝试在 ECS Fargate 中设置任务定义以运行 Koha 容器，但 Fargate 不接受

--cap-add=SYS_NICE --cap-add=DAC_READ_SEARCH

（或除SYS_PTRACE 之外的任何其他内核功能）在 task definition json file 中。我尝试将 "linuxParameters": "capabilities": "add": [ "SYS_NICE", "DAC_READ_SEARCH"], 添加到任务定义 json 文件中，但 Fargate 只是删除了代码。 如果没有此选项，mpm_itk 模块将失败（并且我的容器会在日志中引发 500 错误并显示以下警告/错误

[mpm_itk:warn] [pid 17146] (itkmpm: pid=17146 uid=33, gid=33) itk_post_perdir_config(): setgid(1000): Operation not permitted

我该如何解决这个问题？有没有办法在容器启动后传递这些功能？任何帮助将不胜感激，谢谢！

【参考方案1】：

根据AWS Fargate 仅允许您添加 SYS_PTRACE 内核功能。目前无法添加任何其他功能。我认为唯一可行的解​​决方法是使用 ECS EC2。