непривелегированный lxc - как создать и запустить?

[ASte]

Пытаюсь запустить непривилегированный lxc-контейнер (root контейнера - обычный пользователь хоста).
Руководствовался вот этой статьей - http://programming086.blogspot.ru/2014/01/lxc-1-0-unprivileged-containers.html
Под-диапазоны пользователю добавил:

Код: [Выделить]

$ cat /etc/subuid
user:100000:50001
$ cat /etc/subuid
user:100000:50001

В конфигурации lxc их  указал:

Код: [Выделить]

user@localhost ~ $ cat  /home/user/.config/lxc/default.conf
lxc.include = /etc/lxc/default.conf
lxc.id_map = u 0 100000 50001
lxc.id_map = g 0 100000 50001
При попытке создать контейнер или просто получить список доступных вариантов для загрузки получаю ошибку:

Код: [Выделить]

user@localhost ~ $ lxc-create -t download -n alt2 -- -l
unshare: Operation not permitted
read pipe: Permission denied
lxc-create: lxccontainer.c: do_create_container_dir: 978 Failed to chown container dir
lxc-create: tools/lxc_create.c: main: 318 Error creating container alt2

Что я делаю не так?

UPD. Это актуальный обновленный P8 х64, (свеже-установленный осенний стартеркит)

[ruslandh]

В кому файлы контейнера принадлежат?

[ruslandh]

Вернее каталог, где они находятся?

[ASte]

Должны принадлежать пользователю. Создание контейнера запускаю из домашнего каталога user от имени user.
Но контейнер не создается.

[ASte]

попробовал все тоже самое под ubuntu.
там контейнер такая последовательность действий успешно создает...

[ruslandh]

Как я понял, в рассылке вам дали ответ.
https://lists.altlinux.org/pipermail/community/2016-September/686050.html

>Доброй ночи!
>
> Пытаюсь запустить непривилегированный
> lxc-контейнер (root контейнера - обычный
> пользователь хоста).

По умолчанию это не разрешено.  Параметр ядра, который этим управляет,
называется /proc/sys/kernel/userns_restrict; при необходимости ослабить
ограничение вы можете это сделать.

[ASte]

Да. Немного продвинулся. Теперь ошибка такая:

Код: [Выделить]

lxc-create -t download -n p1 -- -l
newuidmap: write to uid_map failed: Operation not permitted
error mapping child
setgid: Invalid argument


[ASte]

В конечном счете, благодаря помощи в списке рассылки,  создать контейнер удалось. Но теперь не получается его стартовать..

Код: [Выделить]

lxc-start  -n u2 --logfile=u21.log
lxc-start: tools/lxc_start.c: main: 344 The container failed to start.
lxc-start: tools/lxc_start.c: main: 346 To get more details, run the container in foreground mode.
lxc-start: tools/lxc_start.c: main: 348 Additional information can be obtained by setting the --logfile and --logpriority options.
bash-3.2$ cat u21.log
lxc-start 20160930132944.079 ERROR    lxc_cgfs - cgroups/cgfs.c:lxc_cgroupfs_create:897 - Could not set clone_children to 1 for cpuset hierarchy in parent cgroup.
lxc-start 20160930132944.079 ERROR    lxc_cgfs - cgroups/cgfs.c:cgroup_rmdir:209 - Read-only file system - cgroup_rmdir: failed to delete /sys/fs/cgroup/hugetlb/