article: Running qemu-user-static with Podman

6 months ago · 2e83da7476
2 changed files with 291 additions and 0 deletions
--- a/content/english/blog/qemu-user-static-with-podman/index.md
+++ b/content/english/blog/qemu-user-static-with-podman/index.md
@ -0,0 +1,145 @@
 ---
 title: "Running qemu-user-static with Podman"
 date: 2025-06-10T00:00:00+02:00
 opensource:
 - Podman
 - Qemu
 topics:
 - Containers
 ---
 Recently, I had to run ARM64 containers on a customer's x86 laptop.
 Easy, you might say: just install qemu-user-static on the laptop!
 And you also have a ready-made container on Docker Hub, just in case!
 That's it?
 Not so sure...
 <!--more-->
 ## Current situation
 While it is easy to install **qemu-user-static** on **Fedora**, this is not the case for **CentOS Stream** or **Red Hat Enterprise Linux**.
 You can always retrieve the package from a Fedora repository and install it on these Fedora downstream distributions.
 This works, but it remains an orphaned package that will never be updated.
 What about the image [docker.io/multiarch/qemu-user-static](https://hub.docker.com/r/multiarch/qemu-user-static) that can be found on Docker Hub?
 It hasn't been updated in two years, and the latest version of qemu available is 7.2.
 Considering that version 10 of qemu was released recently, this is a bit messy...
 ## TL;DR
 Two one-liners, one for building the image and one for executing it.
 Build the container image **localhost/qemu-user-static**:
 ```sh
 sudo podman build -f https://red.ht/qemu-user-static -t localhost/qemu-user-static /tmp
 ```
 Run **qemu-user-static**:
 ```sh
 sudo podman run --rm --privileged --security-opt label=filetype:container_file_t --security-opt label=level:s0 --security-opt label=type:spc_t localhost/qemu-user-static
 ```
 That's it!
 You can now run a container image that is in a different hardware architecture than your machine.
 Example:
 ```
 $ arch
 x86_64
 $ podman run -it --rm --platform linux/arm64/v8 docker.io/library/alpine     
 / # arch
 aarch64
 ```
 ## Image building
 I chose to base my image on the official Fedora images (version 42 at the time of writing this article).
 If you have already worked with the **docker.io/multiarch/qemu-user-static** image, you will see that I have modernized it a bit:
 - No more scripts from the **qemu** repo, the **systemd-binfmt** component provides everything you need.
 - No more options to pass during execution, the script unregisters all binaries registered with the **binfmt** subsystem and registers all its `qemu-*-static` binaries instead.
 The result is stripped down:
 ```dockerfile
 FROM quay.io/fedora/fedora:42
 RUN dnf install -y qemu-user-static \
 && dnf clean all
 ADD container-entrypoint /
 ENTRYPOINT ["/container-entrypoint"]
 CMD []
 ```
 The **container-entrypoint** script is also reduced to the bare minimum:
 ```sh
 #!/bin/sh
 set -Eeuo pipefail
 if [ ! -d /proc/sys/fs/binfmt_misc ]; then
    echo "No binfmt support in the kernel."
    echo "  Try: '/sbin/modprobe binfmt_misc' from the host"
    exit 1
 fi
 if [ ! -f /proc/sys/fs/binfmt_misc/register ]; then
    echo "Mounting /proc/sys/fs/binfmt_misc..."
    mount binfmt_misc -t binfmt_misc /proc/sys/fs/binfmt_misc
 fi
 echo "Cleaning up..."
 find /proc/sys/fs/binfmt_misc -type f -name 'qemu-*' -exec sh -c 'echo -1 > {}' \;
 echo "Registering..."
 exec /usr/lib/systemd/systemd-binfmt
 ```
 ## Execution
 Once the image has been built, it must be executed so that the `qemu-*-static` binaries are registered with the **binfmt** system.
 But there is a small subtlety: on a Linux distribution such as Fedora, CentOS Stream, or RHEL, the SELinux system keeps a close eye on things!
 And if something tries to break through the containerization engine's security, SELinux detects it and the action is prohibited.
 And that's exactly what happens when you naively run the previously built image: the `qemu-*-static` binaries have a SELinux label that prevents them from being executed by the containerization engine when it is about to launch PID 1 of the container to be emulated.
 The solution? Launch the container with SELinux options that give the container the correct SELinux labels so that the action is allowed.
 This is the role of the `--security-opt` options:
 - `label=filetype:container_file_t`: the files in the container image are labeled with the SELinux type **container_file_t**.
 - `label=label=level:s0`: the files in the container image are labeled with the SELinux level **s0**.
 As you may have recognized, these two options ensure that the files in our image **localhost/qemu-user-static** have the SELinux label for shared volumes.
 These files can therefore be shared between containers.
 The options `--security-opt label=type:spc_t` and `--privileged` allow the container to run as root, mount the pseudo file system **binfmt_misc**, and register the `qemu-*-static` binaries.
 The complete command line is:
 ```sh
 sudo podman run --rm --privileged --security-opt label=filetype:container_file_t --security-opt label=level:s0 --security-opt label=type:spc_t localhost/qemu-user-static
 ```
 If you forget these security options, when you try to run a container in a different architecture, podman will terminate without error but without executing anything...
 With a bit of luck, you will then see the following error message in your logs:
 ```
 [10051.131634] audit: type=1400 audit(1749488918.807:3124): avc:  denied  { read execute } for  pid=32544 comm="dumb-init" path="/usr/bin/qemu-x86_64-static" dev="overlay" ino=434591 scontext=system_u:system_r:container_t:s0:c53,c117 tcontext=system_u:object_r:container_file_t:s0:c1022,c1023 tclass=file permissive=0
 [10051.131656] audit: type=1701 audit(1749488918.807:3125): auid=10018 uid=1000 gid=1000 ses=1 subj=system_u:system_r:container_t:s0:c53,c117 pid=32544 comm="dumb-init" exe="/usr/bin/qemu-x86_64-static" sig=11 res=1
 ```
 Although it may seem cryptic at first glance, the message says it all: you are trying to execute (`{ read execute }`) a binary (`/usr/bin/qemu-x86_64-static`) that has the label `system_u:object_r:container_file_t:s0:c1022,c1023` from a process that has the label `system_u:system_r:container_t:s0:c53,c117` (note the difference at the end of the label!) and this access is denied (`avc: denied`).
 ## Conclusion
 This issue has been a thorn in my side for the past few weeks, and I'm glad I finally found a solution!
 I hope you find it as useful as I did.
--- a/content/french/blog/qemu-user-static-with-podman/index.md
+++ b/content/french/blog/qemu-user-static-with-podman/index.md
@ -0,0 +1,146 @@
 ---
 title: "Faire fonctionner qemu-user-static avec Podman"
 date: 2025-06-10T00:00:00+02:00
 opensource:
 - Podman
 - Qemu
 topics:
 - Containers
 ---
 Récemment, j'ai eu à faire tourner des conteneurs ARM64 sur le laptop x86 d'un client.
 Facile me direz-vous : tu n'as qu'à installer qemu-user-static sur le laptop !
 Et t'as aussi un conteneur tout prêt sur Docker Hub, au cas où !
 La messe est dite ?
 Pas si sûr...
 <!--more-->
 ## État des lieux
 En effet, s'il est facile d'installer **qemu-user-static** sur **Fedora**, ce n'est pas le cas de **CentOS Stream** ou **Red Hat Enterprise Linux**.
 On peut toujours récupérer le paquet d'un repository Fedora et l'installer sur ces downstream de Fedora.
 Ça marche mais ça reste un paquet orphelin qui ne sera jamais mis à jour...
 Et l'image [docker.io/multiarch/qemu-user-static](https://hub.docker.com/r/multiarch/qemu-user-static) que l'on peut trouver sur le Docker Hub ?
 Elle n'a pas été mise à jour depuis 2 ans et la dernière version disponible de qemu est la 7.2.
 Quand on sait que la version 10 de qemu a été publiée récemment, ça fait désordre...
 ## TL;DR
 Deux one-liners, un pour la construction de l'image et un pour son exécution.
 Construire l'image de conteneur **localhost/qemu-user-static** :
 ```sh
 sudo podman build -f https://red.ht/qemu-user-static -t localhost/qemu-user-static /tmp
 ```
 Exécuter **qemu-user-static** :
 ```sh
 sudo podman run --rm --privileged --security-opt label=filetype:container_file_t --security-opt label=level:s0 --security-opt label=type:spc_t localhost/qemu-user-static
 ```
 Ça y est !
 Vous pouvez maintenant exécuter une image de conteneur qui est dans une architecture matérielle différente de celle de votre machine.
 Exemple :
 ```
 $ arch
 x86_64
 $ podman run -it --rm --platform linux/arm64/v8 docker.io/library/alpine     
 / # arch
 aarch64
 ```
 ## Construction de l'image
 J'ai choisi de baser mon image sur les images officielles Fedora (version 42 lors de l'écriture de cet article).
 Si vous avez déjà travaillé avec l'image **docker.io/multiarch/qemu-user-static**, vous verrez que j'ai un peu modernisé tout ça :
 - Plus de script en provenance du repo **qemu**, le composant **systemd-binfmt** fournit tout le nécessaire.
 - Plus d'option à passer lors de l'exécution, le script désenregistre tous les binaires enregistrés auprès de sous-système **binfmt** et enregistre tous ses binaires `qemu-*-static` à la place.
 Le résultat est dépouillé :
 ```dockerfile
 FROM quay.io/fedora/fedora:42
 RUN dnf install -y qemu-user-static \
 && dnf clean all
 ADD container-entrypoint /
 ENTRYPOINT ["/container-entrypoint"]
 CMD []
 ```
 Le script **container-entrypoint** est lui aussi réduit à son strict nécessaire :
 ```sh
 #!/bin/sh
 set -Eeuo pipefail
 if [ ! -d /proc/sys/fs/binfmt_misc ]; then
    echo "No binfmt support in the kernel."
    echo "  Try: '/sbin/modprobe binfmt_misc' from the host"
    exit 1
 fi
 if [ ! -f /proc/sys/fs/binfmt_misc/register ]; then
    echo "Mounting /proc/sys/fs/binfmt_misc..."
    mount binfmt_misc -t binfmt_misc /proc/sys/fs/binfmt_misc
 fi
 echo "Cleaning up..."
 find /proc/sys/fs/binfmt_misc -type f -name 'qemu-*' -exec sh -c 'echo -1 > {}' \;
 echo "Registering..."
 exec /usr/lib/systemd/systemd-binfmt
 ```
 ## Exécution
 Une fois l'image construite, il faut l'exécuter pour que les binaires `qemu-*-static` soient enregistrés auprès du système **binfmt**.
 Mais il y a une petite subtilité : sur une distribution Linux type Fedora, CentOS Stream ou RHEL, le système SELinux veille au grain !
 Et si quelque chose tente de percer l'étanchéité du moteur de conteneurisation, SELinux le détecte et l'action est interdite.
 Et c'est exactement ce qui se produit quand on exécute naïvement l'image construite précédemment : les binaires `qemu-*-static` ont une étiquette SELinux qui interdit leur exécution par le moteur de conteneurisation au moment où il s'apprête à lancer le PID 1 du conteneur à émuler.
 La solution ? Lancer le conteneur avec les options SELinux qui donne au conteneur les bonnes étiquettes SELinux afin que l'action soit autorisée.
 C'est le rôle des options `--security-opt` :
 - `label=filetype:container_file_t`: les fichiers de l'image de conteneur sont étiquetés avec le type SELinux **container_file_t**.
 - `label=label=level:s0`: les fichiers de l'image de conteneur sont étiquetés avec le niveau SELinux **s0**.
 Ces deux options, vous l'avez peut-être reconnu, font que les fichiers de notre image **localhost/qemu-user-static** ont l'étiquette SELinux des volumes partagés.
 Le partage de ces fichiers est donc autorisé entre les conteneurs.
 Les options `--security-opt label=type:spc_t` et `--privileged` permettent au conteneur de s'exécuter en root, de pouvoir procéder au montage du pseudo système de fichier **binfmt_misc** et d'enregistrer les binaires `qemu-*-static`.
 La ligne de commande complète est :
 ```sh
 sudo podman run --rm --privileged --security-opt label=filetype:container_file_t --security-opt label=level:s0 --security-opt label=type:spc_t localhost/qemu-user-static
 ```
 Si vous oubliez ces options de sécurité, lorsque vous voudrez exécuter un conteneur dans une architecture différente, podman se terminera sans erreur mais sans rien exécuter...
 Avec un peu de chance, vous repèrerez alors dans vos logs le message d'erreur suivant :
 ```
 [10051.131634] audit: type=1400 audit(1749488918.807:3124): avc:  denied  { read execute } for  pid=32544 comm="dumb-init" path="/usr/bin/qemu-x86_64-static" dev="overlay" ino=434591 scontext=system_u:system_r:container_t:s0:c53,c117 tcontext=system_u:object_r:container_file_t:s0:c1022,c1023 tclass=file permissive=0
 [10051.131656] audit: type=1701 audit(1749488918.807:3125): auid=10018 uid=1000 gid=1000 ses=1 subj=system_u:system_r:container_t:s0:c53,c117 pid=32544 comm="dumb-init" exe="/usr/bin/qemu-x86_64-static" sig=11 res=1
 ```
 Même si ça peut sembler cryptique au premier abord, le message dit l'essentiel : tu essayes d'éxécuter (`{ read execute }`) un binaire (`/usr/bin/qemu-x86_64-static`) qui a l'étiquette `system_u:object_r:container_file_t:s0:c1022,c1023` depuis un processus qui a l'étiquette `system_u:system_r:container_t:s0:c53,c117` (notez la différence sur la fin de l'étiquette !) et cet accès est refusé (`avc: denied`).
 ## Conclusion
 Ce sujet a été le caillou dans ma chaussure durant ces dernières semaines, je suis content d'être parvenu à trouver une solution !
 Et j'espère que la dite solution vous sera autant utile à vous qu'elle l'a été pour moi.