问题根源分析 #

你遇到的两个错误其实指向同一个核心问题：Docker容器默认没有权限访问主机的FUSE内核设备，而且容器无法独立加载内核模块——因为容器共享主机的内核，所有内核操作都必须在主机层面完成，容器里的modprobe根本找不到主机的内核模块文件，所以必然失败。

分步解决方案 #

1. 先在主机上准备好FUSE环境

首先确保你的主机已经加载了FUSE模块，并且安装了必要的工具：

• 在主机终端执行：

  # 加载fuse内核模块
  sudo modprobe fuse
  # 安装主机端的fuse工具（如果还没装）
  # Ubuntu/Debian系统
  sudo apt-get install -y fuse
  # CentOS/RHEL系统
  sudo yum install -y fuse
  

2. 调整容器运行权限（关键步骤）

容器默认没有访问/dev/fuse设备的权限，也没有操作文件系统的权限，所以运行容器时必须添加对应的权限参数，有两种方式可选：

方式一：精细权限控制（推荐）

使用--cap-add SYS_ADMIN赋予容器系统管理权限，同时挂载主机的/dev/fuse设备：

docker run --rm -it --cap-add SYS_ADMIN --device /dev/fuse your-image-tag

如果你的主机启用了AppArmor（比如Ubuntu默认启用），可能还需要添加--security-opt apparmor:unconfined来解除限制：

docker run --rm -it --cap-add SYS_ADMIN --device /dev/fuse --security-opt apparmor:unconfined your-image-tag

方式二：特权模式（简单但权限过大）

如果只是测试场景，可以直接用--privileged让容器获得主机的所有权限：

docker run --rm -it --privileged your-image-tag

3. 简化你的Dockerfile

不需要在Dockerfile里执行modprobe fuse（完全没用），保持原有的安装步骤即可，最终Dockerfile如下：

FROM golang:1.8
WORKDIR /go/src/app
COPY . .
RUN apt-get update && apt-get install -y fuse && rm -rf /var/lib/apt/lists/*
RUN go-wrapper download
RUN go-wrapper install
CMD ["go-wrapper", "run", "/mnt"]

额外注意事项 #

• 确保容器内的挂载点/mnt存在，如果你的程序不会自动创建，可以在Dockerfile里加一行RUN mkdir -p /mnt
• 如果要用非root用户运行FUSE程序，需要在主机上将该用户加入fuse组（sudo usermod -aG fuse username），同时在容器里也要对应用户有足够的权限

内容的提问来源于stack exchange，提问作者Cydonia7