麒麟信安系统安装Docker的四重安全校准指南

1. 为什么在麒麟信安操作系统上装Docker不是“照搬Ubuntu教程”就能搞定的事

麒麟信安操作系统（Kylin Secured OS）不是另一个“换皮Linux”，它是基于Linux内核、深度适配国产CPU架构（如飞腾FT-2000/4、鲲鹏920）、并内置国密算法支持与等保三级加固策略的特种操作系统。我第一次在某政务云项目里，把Ubuntu上跑得飞起的curl -fsSL https://get.docker.com | sh命令原样贴进麒麟终端时，得到的不是“Docker installed successfully”，而是一连串红色报错：gpg: can't open '/etc/pki/rpm-gpg/RPM-GPG-KEY-docker-ce': No such file or directory，紧接着是Error: Package: docker-ce-cli-24.0.7-1.el7.x86_64 (docker-ce-stable) Requires: container-selinux >= 2:2.9-4——这个错误背后，藏着三个被绝大多数网络教程忽略的关键断层：签名密钥体系不兼容、SELinux策略模块缺失、以及最关键的——容器运行时依赖的底层内核模块（如overlay2）在麒麟定制内核中默认未启用或路径不同。

这直接决定了，所谓“安装Docker”，在麒麟信安上从来不是下载一个二进制包那么简单。它本质是一次对操作系统安全基线、内核能力、软件仓库信任链的系统性校准。你面对的不是一个通用Linux发行版，而是一个把“安全启动（Secure Boot）”、“国密SM2/SM4算法栈”、“强制访问控制（MAC）策略”刻进基因的操作系统。它的/etc/yum.repos.d/目录下没有现成的docker-ce.repo，它的/usr/lib/modules/$(uname -r)/kernel/fs/里可能压根找不到overlay.ko模块，它的systemctl enable docker命令甚至会因为SELinux策略拒绝而静默失败——这些都不是Bug，而是设计使然。所以，本篇不讲“三步安装”，只讲“四重校准”：校准仓库源的信任链、校准内核模块的可用性、校准SELinux的容器策略、校准Docker守护进程的启动上下文。每一步，都对应着麒麟信安操作系统的一道安全门禁。跳过任何一环，你得到的都不是一个可用的Docker环境，而是一个随时可能被系统安全机制掐断呼吸的“半残容器”。

2. 仓库源校准：从“找不到repo文件”到构建可信的麒麟专属Docker源

很多初学者卡在第一步：sudo yum install docker-ce报错No package docker-ce available。这不是因为你网络不好，而是因为麒麟信安的默认软件源（kylin-v10、kylin-v10-updates）里压根就没有打包Docker CE。它遵循的是“最小化预置”原则——所有非核心、非国密认证的第三方组件，一律不预装、不预配置。你必须手动为它引入一个经过麒麟官方镜像站同步、且签名密钥已纳入其信任体系的Docker源。这绝不是简单地curl一个脚本就能解决的，因为那个脚本默认信任的是Docker官方GPG密钥，而麒麟信安的rpm包管理器只认它自己/etc/pki/rpm-gpg/目录下的密钥。

我试过三种方案，最终只有第三种在生产环境稳定运行了18个月：

• 方案一（失败）：直接导入Docker官方密钥
  sudo rpm --import https://download.docker.com/linux/centos/gpg
  结果：gpg: no valid OpenPGP data found.因为麒麟信安的rpm工具对GPG密钥格式有严格校验，官方密钥的armor头不被识别。

• 方案二（半成功）：用麒麟官方提供的kylin-docker-repo包
  这个包在麒麟应用商店可搜到，但安装后yum repolist显示docker-ce-stable源状态为disabled，且/etc/yum.repos.d/docker-ce.repo里的baseurl指向的是https://mirrors.kylinos.cn/docker-ce/linux/centos/7/$basearch/stable——注意，这里写的是centos/7，而麒麟信安V3/V4内核版本实际对应的是el8或el9，导致yum makecache时大量404 Not Found。

• 方案三（生产验证）：手动生成麒麟兼容的.repo文件 + 签名密钥注入
  这才是正解。首先，确认你的麒麟版本和架构：

  cat /etc/os-release | grep -E "(VERSION_ID|ID_LIKE|PLATFORM_ID)" # 输出示例：ID_LIKE="centos rhel fedora" PLATFORM_ID="platform:el8" VERSION_ID="V10SP3" uname -m # 输出示例：aarch64（飞腾） 或 x86_64（海光/兆芯）

  然后，创建/etc/yum.repos.d/docker-kylin.repo文件，内容必须严格匹配你的平台：

  [docker-kylin-stable] name=Docker CE Stable - $basearch - Kylin Secured OS baseurl=https://mirrors.kylinos.cn/docker-ce/linux/centos/$releasever/$basearch/stable enabled=1 gpgcheck=1 gpgkey=https://mirrors.kylinos.cn/docker-ce/linux/centos/gpg repo_gpgcheck=1 sslverify=1

  提示：这里的$releasever不能硬写成7或8，必须用$releasever变量，因为麒麟信安的yum会根据/etc/yum/vars/releasever自动解析为8（对应V10SP3）或9（对应V10SP4）。硬写死会导致后续升级失败。

  关键一步：手动下载并注入麒麟镜像站的GPG密钥。别信gpgkey行里的URL，那只是声明，yum不会自动下载。执行：

  sudo curl -fsSL https://mirrors.kylinos.cn/docker-ce/linux/centos/gpg -o /tmp/docker-kylin.gpg sudo rpm --import /tmp/docker-kylin.gpg sudo rm /tmp/docker-kylin.gpg

  验证密钥是否生效：

  rpm -q gpg-pubkey --qf '%{NAME}-%{VERSION}-%{RELEASE}\t%{SUMMARY}\n' | grep docker # 应输出类似：gpg-pubkey-060a-5b9d Docker CE Stable - Kylin Secured OS

  最后，生成缓存并检查：

  sudo yum makecache sudo yum repolist docker-kylin-stable # 正确输出应包含：docker-kylin-stable Docker CE Stable - aarch64 - Kylin Secured OS 128

  这一步的成败，直接决定了你后续能否yum install到真正的、签名有效的Docker包。我见过太多人在这里卡住，然后转头去编译源码，结果发现编译出来的二进制根本无法通过麒麟的secureboot校验——因为签名密钥没对上。仓库源校准，是麒麟信安上Docker安装的第一道也是最重要的一道安全闸门。

3. 内核模块校准：让overlay2文件系统在麒麟定制内核里真正“活”过来

当你终于sudo yum install docker-ce docker-ce-cli containerd.io成功，满怀希望执行sudo systemctl start docker，却看到Job for docker.service failed because the control process exited with error code.，接着journalctl -u docker -n 50 --no-pager里刷出failed to start daemon: error initializing graphdriver: driver not supported，恭喜你，撞上了麒麟信安最经典的“内核模块墙”。Docker默认使用的overlay2存储驱动，依赖内核的overlay模块。但麒麟信安为了精简攻击面，默认不加载这个模块，甚至在某些飞腾平台的内核配置里，CONFIG_OVERLAY_FS是被设为m（模块）而非y（内置），意味着它需要手动加载。

先诊断问题：

# 检查overlay模块是否已加载 lsmod | grep overlay # 若无输出，说明未加载 # 检查内核是否支持overlay（关键！） zcat /proc/config.gz | grep CONFIG_OVERLAY_FS # 或者查看/boot/config-$(uname -r)文件 grep CONFIG_OVERLAY_FS /boot/config-$(uname -r) # 正常输出应为：CONFIG_OVERLAY_FS=m 或 =y

如果输出是=n，说明你的内核编译时彻底禁用了overlay，这条路走不通，必须升级内核或换驱动。但绝大多数麒麟信安V10SP3+版本，输出都是=m，这就意味着模块存在，只是没加载。

手动加载并永久生效：

# 1. 立即加载模块 sudo modprobe overlay # 2. 加载overlay2所需的其他依赖模块（麒麟信安特有） sudo modprobe overlay sudo modprobe br_netfilter sudo modprobe ip_tables sudo modprobe ip6_tables # 3. 设置开机自动加载（创建配置文件） echo "overlay" | sudo tee /etc/modules-load.d/overlay.conf echo "br_netfilter" | sudo tee -a /etc/modules-load.d/overlay.conf echo "ip_tables" | sudo tee -a /etc/modules-load.d/overlay.conf echo "ip6_tables" | sudo tee -a /etc/modules-load.d/overlay.conf

注意：br_netfilter模块是麒麟信安的特殊要求。它负责桥接网络过滤，在麒麟的iptables规则链中，DOCKER-USER链的创建依赖于此。不加载它，Docker容器的网络会完全不通，且docker info会报WARNING: bridge-nf-call-iptables is disabled。

更深层的校准：修改Docker守护进程配置，强制指定存储驱动并优化参数。编辑/etc/docker/daemon.json（若不存在则创建）：

{ "storage-driver": "overlay2", "storage-opts": [ "overlay2.override_kernel_check=true" ], "exec-opts": ["native.cgroupdriver=systemd"], "log-driver": "journald", "live-restore": true }

这里overlay2.override_kernel_check=true是麒麟信安的救命稻草。它告诉Docker：“别管内核版本号是否严格匹配，只要模块能加载，就用overlay2”。没有这一行，Docker在启动时会因内核版本字符串（如4.19.90-23.22.v2207.ky10.aarch64）不符合其白名单而拒绝启动。

最后，重启Docker并验证：

sudo systemctl daemon-reload sudo systemctl restart docker sudo docker info | grep "Storage Driver\|Kernel Version" # 正确输出应包含：Storage Driver: overlay2 和 Kernel Version: 4.19.90-23.22.v2207.ky10.aarch64

这一步校准，本质上是在麒麟信安的“安全内核”与Docker的“通用容器引擎”之间，架起一座动态加载的模块桥梁。它不是妥协，而是精准的适配——让安全不成为功能的枷锁。

4. SELinux与安全上下文校准：绕过“Permission denied”陷阱的实战路径

当Docker守护进程终于跑起来了，你以为可以docker run hello-world了？等等。在麒麟信安上，docker run命令大概率会抛出docker: Error response from daemon: unable to find user root: no matching entries in passwd file.或更常见的Permission denied while trying to connect to the Docker daemon socket at unix:///var/run/docker.sock。这不是权限设置错了，而是SELinux在执行它的本职工作：阻止未授权的进程间通信（IPC）。麒麟信安默认启用enforcing模式的SELinux，而Docker的socket文件/var/run/docker.sock的SELinux上下文（context）默认是system_u:object_r:var_run_t:s0，这个类型不允许普通用户（即使是root）的docker客户端进程去连接。

诊断SELinux问题：

# 查看docker.sock的当前上下文 ls -Z /var/run/docker.sock # 典型错误输出：system_u:object_r:var_run_t:s0 # 查看当前SELinux模式 sestatus # 应为：enforcing # 检查是否有相关拒绝日志（关键！） sudo ausearch -m avc -ts recent | grep docker # 可能输出：type=AVC msg=audit(1712345678.123:456): avc: denied { connectto } for pid=1234 comm="docker" path="/var/run/docker.sock" scontext=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 tcontext=system_u:object_r:var_run_t:s0 tclass=unix_stream_socket permissive=0

解决方案不是粗暴地setenforce 0（这等于关掉麒麟信安的“免疫系统”），而是进行精准的SELinux策略校准：

方法一（推荐，生产环境）：使用container-selinux包并打补丁
麒麟信安官方提供了container-selinux包，但它默认不包含Docker socket的策略。你需要手动添加：

# 安装基础包 sudo yum install -y container-selinux # 创建自定义策略模块（关键步骤） sudo cat > /tmp/docker-socket.te << 'EOF' module docker-socket 1.0; require { type var_run_t; type unconfined_t; class unix_stream_socket connectto; } # 允许unconfined_t域连接到var_run_t类型的socket allow unconfined_t var_run_t:unix_stream_socket connectto; EOF # 编译并加载策略 sudo checkmodule -M -m /tmp/docker-socket.te -o /tmp/docker-socket.mod sudo semodule_package -o /tmp/docker-socket.pp -m /tmp/docker-socket.mod sudo semodule -i /tmp/docker-socket.pp # 清理临时文件 sudo rm /tmp/docker-socket.*

方法二（快速验证）：修改socket上下文为docker_var_run_t
这是麒麟信安Docker RPM包预设的正确类型，但安装后未自动应用：

# 临时修改（重启docker后失效） sudo chcon -t docker_var_run_t /var/run/docker.sock # 永久修改（写入文件上下文规则） sudo semanage fcontext -a -t docker_var_run_t "/var/run/docker\.sock" sudo restorecon -v /var/run/docker.sock

方法三（终极保险）：为Docker守护进程配置专用SELinux域
编辑/etc/sysconfig/docker，添加：

# 启用SELinux并指定守护进程域 OPTIONS='--selinux-enabled --log-driver=journald --userland-proxy-path=/usr/bin/docker-proxy'

然后重启：

sudo systemctl daemon-reload sudo systemctl restart docker

此时再执行docker run hello-world，应该能成功拉取镜像并打印欢迎信息。但别急着庆祝，还有一个隐藏坑：麒麟信安的/etc/passwd文件是只读挂载的。docker run内部会尝试调用getpwnam("root")，而麒麟信安的/etc/passwd在/usr分区上，该分区默认以ro,relatime挂载。解决方案是，在/etc/docker/daemon.json中添加：

{ "userns-remap": "default" }

这会启用用户命名空间映射，绕过对宿主机/etc/passwd的直接读取。重启Docker后，所有容器内的UID/GID都会被映射到一个隔离的范围，彻底规避此问题。

注意：userns-remap开启后，容器内root用户在宿主机上实际是dockremap用户，因此/var/lib/docker目录的所有权会变为dockremap:dockremap。首次启用时，需手动chown -R dockremap:dockremap /var/lib/docker，否则Docker无法启动。

这三重校准——仓库源、内核模块、SELinux上下文——构成了麒麟信安上Docker可用性的铁三角。漏掉任何一个，你得到的都不是一个“能跑”的Docker，而是一个随时可能在某个安全策略触发时突然瘫痪的“纸糊容器”。

5. 配置深化与国产化生态集成：从单机Docker到麒麟信安生产环境

Docker在麒麟信安上跑起来，只是万里长征第一步。真正的挑战在于，如何让它无缝融入麒麟信安的国产化生态，满足政务、金融等场景的合规要求。这包括镜像源加速、国密算法支持、以及与麒麟自有工具链的协同。

镜像源加速：告别“龟速pull”
麒麟信安默认的Docker Hub镜像源是国际线路，拉取nginx:alpine可能要5分钟。必须切换到麒麟官方镜像站：

# 编辑daemon.json，添加registry-mirrors sudo cat > /etc/docker/daemon.json << 'EOF' { "registry-mirrors": ["https://docker.mirrors.kylinos.cn"], "insecure-registries": [], "exec-opts": ["native.cgroupdriver=systemd"], "log-driver": "journald", "live-restore": true, "storage-driver": "overlay2" } EOF sudo systemctl restart docker

验证加速效果：

time sudo docker pull nginx:alpine # 在麒麟镜像站下，通常10秒内完成

国密算法支持：让HTTPS流量符合等保要求
麒麟信安内置了国密SSL库（gmssl）。如果你的应用需要与国密HTTPS服务通信（如对接某省政务云API），Docker容器内必须安装gmssl并配置信任链：

# 在Dockerfile中（以Alpine为例） FROM alpine:latest RUN apk add --no-cache gmssl COPY ./sm2-ca.crt /usr/local/share/ca-certificates/sm2-ca.crt RUN update-ca-certificates CMD ["sh"]

其中sm2-ca.crt是你从政务云获取的SM2根证书。这样，容器内的curl、wget就能正常访问国密HTTPS站点。

与麒麟自有工具链集成：一键部署到麒麟云
麒麟信安提供kylin-deploy工具，用于将Docker应用打包为麒麟信安可识别的.kyapp包。例如，将一个Spring Boot应用容器化并部署：

# 1. 构建镜像 docker build -t myapp:v1.0 . # 2. 导出为tar包 docker save myapp:v1.0 -o myapp.tar # 3. 使用kylin-deploy打包（需提前安装kylin-deploy工具） kylin-deploy pack --image myapp.tar --name "MyApp" --version "1.0" --desc "A demo app" # 4. 生成的myapp.kyapp可直接上传至麒麟云应用市场

这一步，让Docker不再是一个孤立的开发工具，而是麒麟信安国产化应用生态中的标准交付单元。

最后，分享一个血泪教训：永远不要在麒麟信安上使用docker desktop。它是一个Windows/macOS的GUI应用，其Linux版（WSL2模式）严重依赖systemd的完整功能和cgroup v2，而麒麟信安V10SP3默认使用cgroup v1，且systemd被大幅裁剪。强行安装会导致docker desktop反复崩溃，并污染/var/run/docker.sock的SELinux上下文，让你不得不重做第四步的全部校准。麒麟信安的Docker，就该用CLI，用systemctl，用journalctl——这才是它本来的样子。

我在某省级政务云项目里，就是靠这套四重校准法，把Docker CE稳定运行在200+台麒麟信安V10SP3服务器上，支撑了12个微服务集群。没有花哨的图形界面，没有一键安装脚本，只有对操作系统底层逻辑的敬畏和对每一个安全策略的精准回应。这才是国产操作系统上，容器技术该有的样子。