yum版のMySQL 8.0をCentOSなコンテナーにインストールすると Operation not permitted って言われる… (ビルド時にsetcap cap_sys_nice+ep されてた)

TL;DR

• docker run する時に --cap-add=SYS_NICE を付け加えてやると上手くいく

---

• 少なくとも Docker Hub公式のCentOS で
• MySQL公式のYumリポジトリー を設定し
• yum install mysql-community-server でMySQL 8.0.11を入れると
• mysqld が Operation not permitted で転ける

$ docker run -it centos:centos7 bash
[root@457e75eaa657 /]# yum install -y https://dev.mysql.com/get/mysql80-community-release-el7-1.noarch.rpm
[root@457e75eaa657 /]# yum install -y mysql-community-server
[root@457e75eaa657 /]# mysqld --version
bash: /usr/sbin/mysqld: Operation not permitted

なんだこりゃ。
MySQL 5.7では起こらない。

$ docker run -it centos:centos7 bash
[root@05b4d1450b64 /]# yum install -y https://dev.mysql.com/get/mysql80-community-release-el7-1.noarch.rpm
[root@05b4d1450b64 /]# yum install -y --disablerepo="mysql80-community" --enablerepo="mysql57-community" mysql-community-server
[root@05b4d1450b64 /]# mysqld --version
mysqld  Ver 5.7.22 for Linux on x86_64 (MySQL Community Server (GPL))

MySQL 8.0.11でも、”Linux Generic” のtarボールでは起こらない。

$ docker run -it centos:centos7 bash
[root@cb720d43d956 /]# yum install -y wget tar libaio numactl
[root@cb720d43d956 /]# wget https://dev.mysql.com/get/Downloads/MySQL-8.0/mysql-8.0.11-linux-glibc2.12-x86_64.tar.gz
[root@cb720d43d956 /]# tar xf mysql-8.0.11-linux-glibc2.12-x86_64.tar.gz
[root@cb720d43d956 /]# mv -i mysql-8.0.11-linux-glibc2.12-x86_64 /usr/local/mysql
[root@cb720d43d956 /]# /usr/local/mysql/bin/mysqld --version
/usr/local/mysql/bin/mysqld  Ver 8.0.11 for linux-glibc2.12 on x86_64 (MySQL Community Server - GPL)

straceで叩いてみたりしたけど、最初の execve で直接EPERMが返ってきちゃって何をしようとした時に権限が足りないのか全く分からない…。

[root@cb720d43d956 /]# strace -f mysqld --version
execve("/usr/sbin/mysqld", ["mysqld", "--version"], [/* 8 vars */]) = -1 EPERM (Operation not permitted)
write(2, "strace: exec: Operation not perm"..., 38strace: exec: Operation not permitted
) = 38
exit_group(1)                           = ?
+++ exited with 1 +++

取り敢えず地味な切り分けの結果、 SYS_NICE を追加すれば動くことはわかった。
何だろう。 mbind もこのケーパビリティーで制御されるっぽいから ヌゥ馬 かしら。

$ docker run -it --cap-add=SYS_NICE centos:centos7 bash
[root@2c042726caa1 /]# yum install -y https://dev.mysql.com/get/mysql80-community-release-el7-1.noarch.rpm
[root@2c042726caa1 /]# yum install -y mysql-community-server
[root@2c042726caa1 /]# mysqld --version
/usr/sbin/mysqld  Ver 8.0.11 for Linux on x86_64 (MySQL Community Server - GPL)

MySQL公式のDockerリポジトリー で使ってる、 mysql-community-server-minimal のパッケージではこれは起きない。

$ docker run -it centos:centos7 bash
[root@6ff99c37bb08 /]# yum install -y https://repo.mysql.com/yum/mysql-8.0-community/docker/x86_64/mysql-community-server-minimal-8.0.11-1.el7.x86_64.rpm
[root@6ff99c37bb08 /]# mysqld --version
/usr/sbin/mysqld  Ver 8.0.11 for Linux on x86_64 (MySQL Community Server - GPL)

いまいち原因ははっきりしないけど、コンテナーでほげほげしようとしている誰かに届けば幸い。


【2018/05/22 10:08】
@withgod さんに教えていただいた。

普段ubuntu使ってるのであんまり自信無いんですけど、パッケージングするときにsetcapしてるだけのように見えます。https://t.co/jsxkJHOkNs

— withgod (@withgod) 2018年5月21日

おお…どうやらその通りのようです…！ ありがとうございます！！！https://t.co/DmMPzV5m0x

— yoku0825 (@yoku0825) 2018年5月21日

そしてsetcapしている理由はやはりリソースグループでした！https://t.co/WbC7Jck3Ki

— yoku0825 (@yoku0825) 2018年5月21日

MySQL :: MySQL 8.0 Reference Manual :: 8.12.5 Resource Groups

微妙に書いてあった。