<div dir="ltr"><div class="gmail_extra">Please find my reply inline.</div><div class="gmail_extra"><br></div><div class="gmail_extra">Best regards,</div><div class="gmail_extra">Hongbin</div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Jan 2, 2018 at 2:06 PM, João Paulo Sá da Silva <span dir="ltr"><<a href="mailto:joao-sa-silva@alticelabs.com" target="_blank">joao-sa-silva@alticelabs.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div lang="PT"><div class="gmail-m_-4240353989956782005WordSection1"><p class="gmail-MsoNormal"><span lang="EN-US">Thanks for your answer, Hongbin, it is very appreciated. <u></u><u></u></span></p><p class="gmail-MsoNormal"><span lang="EN-US"><u></u> <u></u></span></p><p class="gmail-MsoNormal"><span lang="EN-US">The use case is to use Virtualized Network Functions in containers instead of virtual machines. The rational for using containers instead of VMs is better VNF density in resource constrained hosts. <u></u><u></u></span></p><p class="gmail-MsoNormal"><span lang="EN-US">The goal is to have several VNFs (DHCP, FW, etc) running on severely resource constrained Openstack compute node.  But without NET_ADMIN cap I can’t even start dnsmasq.</span></p></div></div></blockquote><div>Make sense. Would you help writing a blueprint for this feature: <a href="https://blueprints.launchpad.net/zun">https://blueprints.launchpad.net/zun</a> ? We use blueprint to track all requested features.</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div lang="PT"><div class="gmail-m_-4240353989956782005WordSection1"><p class="gmail-MsoNormal"><span lang="EN-US"><u></u><u></u></span></p><p class="gmail-MsoNormal"><span lang="EN-US"><u></u> <u></u></span></p><p class="gmail-MsoNormal"><span lang="EN-US">Is it possible to use clear container with zun/openstack?</span></p></div></div></blockquote><div>Yes, it is possible. We are adding documentation about that: <a href="https://review.openstack.org/#/c/527611/">https://review.openstack.org/#/c/527611/</a> . </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div lang="PT"><div class="gmail-m_-4240353989956782005WordSection1"><p class="gmail-MsoNormal"><span lang="EN-US"><u></u><u></u></span></p><p class="gmail-MsoNormal"><span lang="EN-US"><u></u> <u></u></span></p><p class="gmail-MsoNormal"><span lang="EN-US">From checking gerrit it seems that this point was already address and dropped? Regarding the security concerns I disagree, if users choose to allow such situation they should be allowed.<u></u><u></u></span></p><p class="gmail-MsoNormal"><span lang="EN-US">It is the user responsibility to recognize the dangers and act accordingly. <u></u><u></u></span></p><p class="gmail-MsoNormal"><span lang="EN-US"><u></u> <u></u></span></p><p class="gmail-MsoNormal"><span lang="EN-US">In Neutron you can go as far as fully disabling  port security, this was implemented again with VNFs in mind.</span></p></div></div></blockquote><div>Make sense as well. IMHO, we should disallow privilege escalation by default, but I am open to introduce a configurable option to allow it. I can see this is necessary for some use cases. Cloud administrators should be reminded the security implication of doing that.</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div lang="PT"><div class="gmail-m_-4240353989956782005WordSection1"><p class="gmail-MsoNormal"><span lang="EN-US"> <u></u><u></u></span></p><p class="gmail-MsoNormal"><span lang="EN-US"><u></u> <u></u></span></p><p class="gmail-MsoNormal"><span lang="EN-US">Kind regards,<u></u><u></u></span></p><p class="gmail-MsoNormal"><span lang="EN-US">João<u></u><u></u></span></p><p class="gmail-MsoNormal"><span lang="EN-US"><u></u> <u></u></span></p><p class="gmail-MsoNormal"><span lang="EN-US"><u></u> <u></u></span></p><p class="gmail-MsoNormal"><span lang="EN-US">>Hi Joao,<u></u><u></u></span></p><p class="gmail-MsoNormal"><span lang="EN-US">><u></u> <u></u></span></p><p class="gmail-MsoNormal"><span lang="EN-US">>Right now, it is impossible to create containers with escalated privileged,<u></u><u></u></span></p><p class="gmail-MsoNormal"><span lang="EN-US">>such as setting privileged mode or adding additional caps. This is<u></u><u></u></span></p><p class="gmail-MsoNormal"><span lang="EN-US">>intentional for security reasons. Basically, what Zun currently provides is<u></u><u></u></span></p><p class="gmail-MsoNormal"><span lang="EN-US">>"serverless" containers, which means Zun is not using VMs to isolate<u></u><u></u></span></p><p class="gmail-MsoNormal"><span lang="EN-US">>containers (for people who wanted strong isolation as VMs, they can choose<u></u><u></u></span></p><p class="gmail-MsoNormal"><span lang="EN-US">>secure container runtime such as Clear Container). Therefore, it is<u></u><u></u></span></p><p class="gmail-MsoNormal"><span lang="EN-US">>insecure to give users control of any kind of privilege escalation.<u></u><u></u></span></p><p class="gmail-MsoNormal"><span lang="EN-US">>However, if you want this feature, I would love to learn more about the use<u></u><u></u></span></p><p class="gmail-MsoNormal">>cases.<u></u><u></u></p><p class="gmail-MsoNormal">><u></u> <u></u></p><p class="gmail-MsoNormal">>Best regards,<u></u><u></u></p><p class="gmail-MsoNormal"><span lang="EN-US">>Hongbin<u></u><u></u></span></p><p class="gmail-MsoNormal"><span lang="EN-US">><u></u> <u></u></span></p><p class="gmail-MsoNormal"><span lang="EN-US">>On Tue, Jan 2, 2018 at 10:20 AM, João Paulo Sá da Silva <<u></u><u></u></span></p><p class="gmail-MsoNormal"><span lang="EN-US">>joao-sa-silva at <a href="http://alticelabs.com" target="_blank">alticelabs.com</a>> wrote:<u></u><u></u></span></p><p class="gmail-MsoNormal"><span lang="EN-US">><u></u> <u></u></span></p><p class="gmail-MsoNormal"><span lang="EN-US">>> Hello!<u></u><u></u></span></p><p class="gmail-MsoNormal"><span lang="EN-US">>><u></u> <u></u></span></p><p class="gmail-MsoNormal"><span lang="EN-US">>> Is it possible to create containers in privileged mode or to add caps as<u></u><u></u></span></p><p class="gmail-MsoNormal"><span lang="EN-US">>> NET_ADMIN?<u></u><u></u></span></p><p class="gmail-MsoNormal"><span lang="EN-US">>><u></u> <u></u></span></p><p class="gmail-MsoNormal"><span lang="EN-US">>><u></u> <u></u></span></p><p class="gmail-MsoNormal"><span lang="EN-US">>><u></u> <u></u></span></p><p class="gmail-MsoNormal"><span lang="EN-US">>> Kind regards,<u></u><u></u></span></p><p class="gmail-MsoNormal"><span lang="EN-US">>><u></u> <u></u></span></p><p class="gmail-MsoNormal"><span lang="EN-US">>> João<u></u><u></u></span></p><p class="gmail-MsoNormal"><span lang="EN-US">>><u></u> <u></u></span></p><p class="gmail-MsoNormal"><span lang="EN-US">>><u></u> <u></u></span></p><p class="gmail-MsoNormal"><span lang="EN-US">>><u></u> <u></u></span></p><p class="gmail-MsoNormal"><span lang="EN-US">>> ______________________________<wbr>______________________________<wbr>______________<u></u><u></u></span></p><p class="gmail-MsoNormal"><span lang="EN-US">>> OpenStack Development Mailing List (not for usage questions)<u></u><u></u></span></p><p class="gmail-MsoNormal"><span lang="EN-US">>> Unsubscribe: OpenStack-dev-request at <a href="http://lists.openstack.org?subject:unsubscribe" target="_blank">lists.openstack.org?subject:<wbr>unsubscribe</a><u></u><u></u></span></p><p class="gmail-MsoNormal"><span lang="EN-US">>> <a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" target="_blank">http://lists.openstack.org/<wbr>cgi-bin/mailman/listinfo/<wbr>openstack-dev</a><u></u><u></u></span></p><p class="gmail-MsoNormal"><span lang="EN-US">>><u></u> <u></u></span></p><p class="gmail-MsoNormal"><span lang="EN-US">>><u></u> <u></u></span></p><p class="gmail-MsoNormal"><span lang="EN-US">-------------- next part --------------<u></u><u></u></span></p><p class="gmail-MsoNormal"><span lang="EN-US">An HTML attachment was scrubbed...<u></u><u></u></span></p><p class="gmail-MsoNormal"><span lang="EN-US">URL: <<a href="http://lists.openstack.org/pipermail/openstack-dev/attachments/20180102/e1ecb71a/attachment.html" target="_blank">http://lists.openstack.org/<wbr>pipermail/openstack-dev/<wbr>attachments/20180102/e1ecb71a/<wbr>attachment.html</a>><u></u><u></u></span></p><p class="gmail-MsoNormal"><span lang="EN-US"><u></u> <u></u></span></p></div></div><br>______________________________<wbr>______________________________<wbr>______________<br>
OpenStack Development Mailing List (not for usage questions)<br>
Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe" rel="noreferrer" target="_blank">OpenStack-dev-request@lists.<wbr>openstack.org?subject:<wbr>unsubscribe</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" rel="noreferrer" target="_blank">http://lists.openstack.org/<wbr>cgi-bin/mailman/listinfo/<wbr>openstack-dev</a><br>
<br></blockquote></div><br></div></div>