您可以在Docker容器中运行GUI应用程序吗？

#1 楼

您可以简单地与Firefox一起安装vncserver ：）

我在这里推送了一个图像vnc / firefox：docker pull creack/firefox-vnc

该图像是使用此Dockerfile制作的：

# Firefox over VNC
#
# VERSION               0.1
# DOCKER-VERSION        0.2

FROM    ubuntu:12.04
# Make sure the package repository is up to date
RUN     echo "deb http://archive.ubuntu.com/ubuntu precise main universe" > /etc/apt/sources.list
RUN     apt-get update

# Install vnc, xvfb in order to create a 'fake' display and firefox
RUN     apt-get install -y x11vnc xvfb firefox
RUN     mkdir ~/.vnc
# Setup a password
RUN     x11vnc -storepasswd 1234 ~/.vnc/passwd
# Autostart firefox (might not be the best way to do it, but it does the trick)
RUN     bash -c 'echo "firefox" >> /.bashrc'

这将创建一个运行VNC且密码为1234的Docker容器：

对于Docker版本18或更高版本：

docker run -p 5900:5900 -e HOME=/ creack/firefox-vnc x11vnc -forever -usepw -create

对于Docker 1.3或更高版本：

docker run -p 5900 -e HOME=/ creack/firefox-vnc x11vnc -forever -usepw -create

对于1.3之前的Docker：

docker run -p 5900 creack/firefox-vnc x11vnc -forever -usepw -create

#2 楼

Xauthority成为新系统的问题。我可以在运行Docker容器之前放弃使用xhost +进行的任何保护，也可以传入准备充分的Xauthority文件。典型的Xauthority文件是特定于主机名的。使用docker时，每个容器可以具有不同的主机名（使用docker run -h设置），但是即使将容器的主机名设置为与主机系统相同也不能解决我的问题。 xeyes（我喜欢这个示例）只会忽略魔术cookie，并且不会将凭据传递给服务器。因此，我们收到一条错误消息“未指定协议，无法打开显示”。

可以用某种方式编写Xauthority文件，这样主机名就无关紧要。
我们需要设置身份验证系列转到“ FamilyWild”。我不确定xauth是否为此使用了正确的命令行，因此这是结合xauth和sed来执行此操作的示例。我们需要更改nlist输出的前16位。 FamilyWild的值为65535或0xffff。

docker build -t xeyes - << __EOF__
FROM debian
RUN apt-get update
RUN apt-get install -qqy x11-apps
ENV DISPLAY :0
CMD xeyes
__EOF__
XSOCK=/tmp/.X11-unix
XAUTH=/tmp/.docker.xauth
xauth nlist :0 | sed -e 's/^..../ffff/' | xauth -f $XAUTH nmerge -
docker run -ti -v $XSOCK:$XSOCK -v $XAUTH:$XAUTH -e XAUTHORITY=$XAUTH xeyes

#3 楼

我刚刚找到了此博客条目，并想在这里与您分享，因为我认为这是最好的方法，而且非常容易。

http://fabiorehm.com/blog/2014 / 09/11 / running-gui-apps-with-docker /

优点：
+ docker容器中没有x服务器的东西
+不需要vnc客户端/服务器
+没有ssh并具有x转发功能
+较小的docker容器

缺点：
-在主机上使用x（不适用于安全沙箱）

万一链接失败，我将最重要的部分放在这里：

FROM ubuntu:14.04

RUN apt-get update && apt-get install -y firefox

# Replace 1000 with your user / group id
RUN export uid=1000 gid=1000 && \
    mkdir -p /home/developer && \
    echo "developer:x:${uid}:${gid}:Developer,,,:/home/developer:/bin/bash" >> /etc/passwd && \
    echo "developer:x:${uid}:" >> /etc/group && \
    echo "developer ALL=(ALL) NOPASSWD: ALL" > /etc/sudoers.d/developer && \
    chmod 0440 /etc/sudoers.d/developer && \
    chown ${uid}:${gid} -R /home/developer

USER developer
ENV HOME /home/developer
CMD /usr/bin/firefox

构建映像：

docker build -t firefox .

和运行命令：

docker run -ti --rm \
   -e DISPLAY=$DISPLAY \
   -v /tmp/.X11-unix:/tmp/.X11-unix \
   firefox

当然，您也可以在运行命令中使用sh -c "echo script-here"

提示：有关音频，请查看：https://stackoverflow.com/a/28985715/2835523

#4 楼

使用docker数据卷，可以很容易地将xorg的unix域套接字公开到容器内。

例如，使用这样的Dockerfile：

FROM debian
RUN apt-get update
RUN apt-get install -qqy x11-apps
ENV DISPLAY :0
CMD xeyes

您可以执行以下操作：

$ docker build -t xeyes - < Dockerfile
$ XSOCK=/tmp/.X11-unix/X0
$ docker run -v $XSOCK:$XSOCK xeyes

这当然与X转发相同。它授予容器对主机上xserver的完全访问权限，因此仅在您信任其中的内容时才建议使用。

注意：如果您担心安全性，那么更好的解决方案是将应用程序限制为强制性或基于角色的访问控制。 Docker实现了很好的隔离，但在设计时考虑了不同的目的。使用专为解决您的问题而设计的AppArmor，SELinux或GrSecurity。

#5 楼

您还可以使用子用户：https://github.com/timthelion/subuser

这允许您将许多gui应用程序打包在docker中。到目前为止，Firefox和emacs已经过测试。使用firefox，webGL不能工作。铬根本不起作用。

编辑：声音有效！

编辑2：自从我第一次发布此内容以来，子用户有了很大的进步。我现在在subuser.org上拥有一个网站，以及一个用于通过XPRA桥接连接到X11的新安全模型。

#6 楼

OSX

JürgenWeigert在Ubuntu上对我来说是最好的答案，但是在OSX上，docker在VirtualBox内部运行，因此该解决方案在没有更多工作的情况下就无法工作。

我已经将其与以下其他成分结合使用：


Xquartz（OSX不再与X11服务器一起提供）
带socat的套接字转发（brew install socat）
启动容器的bash脚本

我很感谢用户提出的意见来改善OSX的答案，但不确定X的套接字转发是否安全，但是我打算将其用于运行docker容器仅在本地。

此外，该脚本还有些脆弱，因为要获取机器的IP地址并不容易，因为它位于我们的本地无线网络中，因此它总是一些随机IP。

我用来启动容器的BASH脚本：

#!/usr/bin/env bash

CONTAINER=py3:2016-03-23-rc3
COMMAND=/bin/bash
NIC=en0

# Grab the ip address of this box
IPADDR=$(ifconfig $NIC | grep "inet " | awk '{print }')

DISP_NUM=$(jot -r 1 100 200)  # random display number between 100 and 200

PORT_NUM=$((6000 + DISP_NUM)) # so multiple instances of the container won't interfer with eachother

socat TCP-LISTEN:${PORT_NUM},reuseaddr,fork UNIX-CLIENT:\"$DISPLAY\" 2>&1 > /dev/null &

XSOCK=/tmp/.X11-unix
XAUTH=/tmp/.docker.xauth.$USER.$$
touch $XAUTH
xauth nlist $DISPLAY | sed -e 's/^..../ffff/' | xauth -f $XAUTH nmerge -

docker run \
    -it \
    --rm \
    --user=$USER \
    --workdir="/Users/$USER" \
    -v "/Users/$USER:/home/$USER:rw" \
    -v $XSOCK:$XSOCK:rw \
    -v $XAUTH:$XAUTH:rw \
    -e DISPLAY=$IPADDR:$DISP_NUM \
    -e XAUTHORITY=$XAUTH \
    $CONTAINER \
    $COMMAND

rm -f $XAUTH
kill %1       # kill the socat job launched above

我能够用这种方法使xeyes和matplotlib起作用。

Windows 7+

在带有M的Windows 7+上要容易一些obaXterm：


为Windows安装MobaXterm
启动MobaXterm
配置X服务器：设置-> X11（选项卡）->将X11远程访问设置为完整

使用此BASH脚本启动容器

run_docker.bash：

#!/usr/bin/env bash

CONTAINER=py3:2016-03-23-rc3
COMMAND=/bin/bash
DISPLAY="$(hostname):0"
USER=$(whoami)

docker run \
    -it \
    --rm \
    --user=$USER \
    --workdir="/home/$USER" \
    -v "/c/Users/$USER:/home/$USER:rw" \
    -e DISPLAY \
    $CONTAINER \
    $COMMAND

#7 楼

如其他一些答案所述，共享主机显示：0有两个缺点：


由于某些X安全漏洞，它破坏了容器隔离。例如，可以使用xev或xinput进行键盘记录，并可以使用xdotool远程控制主机应用程序。
由于缺少X扩展MIT-SHM的共享内存，应用程序可能会出现渲染故障和严重的RAM访问错误。 （也可以使用隔离降级选项--ipc=host进行修复）。

下面的示例脚本在Xephyr中运行可解决此问题的docker映像。


由于Docker应用程序在嵌套的X服务器中运行，因此避免了X安全漏洞。
禁用MIT-SHM以避免RAM访问失败。
--cap-drop ALL --security-opt no-new-privileges改善了容器安全性。此外，容器用户不是root用户。
将创建一个X cookie以限制对Xephyr显示的访问。

该脚本需要一些参数，第一个是在Xephyr中运行的主机窗口管理器，第二个是docker image，可以选择第三个
要执行的image命令。
要在docker中运行桌面环境，请使用“：”代替主机窗口管理器。

关闭Xephyr窗口会终止docker容器应用程序。终止dockered应用程序将关闭Xephyr窗口。

示例：


xephyrdocker "openbox --sm-disable" x11docker/lxde pcmanfm
xephyrdocker : x11docker/lxde
xephyrdocker xfwm4 --device /dev/snd jess/nes /games/zelda.rom

xephyrdocker脚本：

#! /bin/bash
#
# Xephyrdocker:     Example script to run docker GUI applications in Xephyr.
#
# Usage:
#   Xephyrdocker WINDOWMANAGER DOCKERIMAGE [IMAGECOMMAND [ARGS]]
#
# WINDOWMANAGER     host window manager for use with single GUI applications.
#                   To run without window manager from host, use ":"
# DOCKERIMAGE       docker image containing GUI applications or a desktop
# IMAGECOMMAND      command to run in image
#
Windowmanager="" && shift
Dockerimage="$*"

# Container user
Useruid=$(id -u)
Usergid=$(id -g)
Username="$(id -un)"
[ "$Useruid" = "0" ] && Useruid=1000 && Usergid=1000 && Username="user$Useruid"

# Find free display number
for ((Newdisplaynumber=1 ; Newdisplaynumber <= 100 ; Newdisplaynumber++)) ; do
  [ -e /tmp/.X11-unix/X$Newdisplaynumber ] || break
done
Newxsocket=/tmp/.X11-unix/X$Newdisplaynumber

# cache folder and files
Cachefolder=/tmp/Xephyrdocker_X$Newdisplaynumber
[ -e "$Cachefolder" ] && rm -R "$Cachefolder"
mkdir -p $Cachefolder
Xclientcookie=$Cachefolder/Xcookie.client
Xservercookie=$Cachefolder/Xcookie.server
Xinitrc=$Cachefolder/xinitrc
Etcpasswd=$Cachefolder/passwd

# command to run docker
# --rm                               created container will be discarded.
# -e DISPLAY=$Newdisplay             set environment variable to new display
# -e XAUTHORITY=/Xcookie             set environment variable XAUTHORITY to provided cookie
# -v $Xclientcookie:/Xcookie:ro      provide cookie file to container
# -v $NewXsocket:$NewXsocket:ro      Share new X socket of Xephyr
# --user $Useruid:$Usergid           Security: avoid root in container
# -v $Etcpasswd:/etc/passwd:ro       /etc/passwd file with user entry
# --group-add audio                  Allow access to /dev/snd if shared with '--device /dev/snd' 
# --cap-drop ALL                     Security: disable needless capabilities
# --security-opt no-new-privileges   Security: forbid new privileges
Dockercommand="docker run --rm \
  -e DISPLAY=:$Newdisplaynumber \
  -e XAUTHORITY=/Xcookie \
  -v $Xclientcookie:/Xcookie:ro \
  -v $Newxsocket:$Newxsocket:rw \
  --user $Useruid:$Usergid \
  -v $Etcpasswd:/etc/passwd:ro \
  --group-add audio \
  --env HOME=/tmp \
  --cap-drop ALL \
  --security-opt no-new-privileges \
  $(command -v docker-init >/dev/null && echo --init) \
  $Dockerimage"

echo "docker command: 
$Dockercommand
"

# command to run Xorg or Xephyr
# /usr/bin/Xephyr                an absolute path to X server executable must be given for xinit
# :$Newdisplaynumber             first argument has to be new display
# -auth $Xservercookie           path to cookie file for X server. Must be different from cookie file of client, not sure why
# -extension MIT-SHM             disable MIT-SHM to avoid rendering glitches and bad RAM access (+ instead of - enables it)
# -nolisten tcp                  disable tcp connections for security reasons
# -retro                         nice retro look
Xcommand="/usr/bin/Xephyr :$Newdisplaynumber \
  -auth $Xservercookie \
  -extension MIT-SHM \
  -nolisten tcp \
  -screen 1000x750x24 \
  -retro"

echo "X server command:
$Xcommand
"

# create /etc/passwd with unprivileged user
echo "root:x:0:0:root:/root:/bin/sh" >$Etcpasswd
echo "$Username:x:$Useruid:$Usergid:$Username,,,:/tmp:/bin/sh" >> $Etcpasswd

# create xinitrc
{ echo "#! /bin/bash"

  echo "# set environment variables to new display and new cookie"
  echo "export DISPLAY=:$Newdisplaynumber"
  echo "export XAUTHORITY=$Xclientcookie"

  echo "# same keyboard layout as on host"
  echo "echo '$(setxkbmap -display $DISPLAY -print)' | xkbcomp - :$Newdisplaynumber"

  echo "# create new XAUTHORITY cookie file" 
  echo ":> $Xclientcookie"
  echo "xauth add :$Newdisplaynumber . $(mcookie)"
  echo "# create prepared cookie with localhost identification disabled by ffff,"
  echo "# needed if X socket is shared instead connecting over tcp. ffff means 'familiy wild'"
  echo 'Cookie=$(xauth nlist '":$Newdisplaynumber | sed -e 's/^..../ffff/')" 
  echo 'echo $Cookie | xauth -f '$Xclientcookie' nmerge -'
  echo "cp $Xclientcookie $Xservercookie"
  echo "chmod 644 $Xclientcookie"

  echo "# run window manager in Xephyr"
  echo $Windowmanager' & Windowmanagerpid=$!'

  echo "# show docker log"
  echo 'tail --retry -n +1 -F '$Dockerlogfile' 2>/dev/null & Tailpid=$!'

  echo "# run docker"
  echo "$Dockercommand"
} > $Xinitrc

xinit  $Xinitrc -- $Xcommand
rm -Rf $Cachefolder

该脚本在x11docker Wiki中维护。
更高级的脚本是x11docker，它还支持GPU加速，网络摄像头和打印机共享以及以此类推。

#8 楼

这是一个轻量级的解决方案，可以避免在容器上安装任何X服务器，vnc服务器或sshd守护程序。它获得的简单性会失去安全性和隔离性。

假定您使用具有ssh转发功能的X11连接到主机。

在主机的sshd配置中，添加以下行

X11UseLocalhost no

，以便在所有接口（不仅是lo）上，尤其是在Docker虚拟接口上，打开主机上转发的X服务器端口， docker0。

容器在运行时需要访问.Xauthority文件，以便它可以连接到服务器。为此，我们定义一个指向主机上主目录的只读卷（可能不是一个明智的主意！），并相应地设置XAUTHORITY变量。

docker run -v $HOME:/hosthome:ro -e XAUTHORITY=/hosthome/.Xauthority

还不够，我们还必须从主机传递DISPLAY变量，但是用ip替换主机名：

-e DISPLAY=$(echo $DISPLAY | sed "s/^.*:/$(hostname -i):/")

我们可以定义一个别名：

 alias dockerX11run='docker run -v $HOME:/hosthome:ro -e XAUTHORITY=/hosthome/.Xauthority -e DISPLAY=$(echo $DISPLAY | sed "s/^.*:/$(hostname -i):/")'

并像这样对其进行测试：

dockerX11run centos xeyes

#9 楼

尽管JürgenWeigert的答案基本上涵盖了该解决方案，但起初我不清楚在此描述的内容。因此，如果有人需要澄清，我会加我的看法。

首先，相关的文档是X安全手册。

许多在线资源建议仅将X11 unix套接字和~/.Xauthority文件安装到容器中。这些解决方案通常靠运气工作，而没有真正理解原因，例如容器用户最终会获得与该用户相同的UID，因此不需要魔术密钥授权。

首先，Xauthority文件的模式为0600，因此容器用户除非具有相同的UID，否则将无法读取它。

即使将文件复制到容器中并更改所有权，仍然存在另一个问题。如果您在具有相同xauth list文件的主机和容器上运行Xauthority，则会看到列出的不同条目。这是因为xauth根据其运行位置过滤条目。

容器（即GUI应用）中的X客户端的行为与xauth相同。换句话说，它看不到在用户桌面上运行的X会话的魔术cookie。相反，它会看到您先前打开的所有“远程” X会话的条目（如下所述）。

因此，您需要做的是添加一个带有容器主机名的新条目。并使用与主机cookie相同的十六进制密钥（即，在桌面上运行的X会话），例如：

containerhostname/unix:0   MIT-MAGIC-COOKIE-1   <shared hex key>

要注意的是，必须在其中添加cookie在容器内部的xauth add：

touch ~/.Xauthority
xauth add containerhostname/unix:0 . <shared hex key>

否则，xauth会将其标记为仅在容器外部可见。

此格式命令是：

xauth add hostname/$DISPLAY protocol hexkey

其中.代表MIT-MAGIC-COOKIE-1协议。

注意：无需将.Xauthority复制或绑定安装到容器中。如图所示，只需创建一个空白文件，然后添加cookie。

JürgenWeigert的答案通过使用FamilyWild连接类型在主机上创建新的授权文件并将其复制到容器中来解决此问题。请注意，它首先使用~/.Xauthority从xauth nlist中提取当前X会话的十六进制密钥。

因此，基本步骤如下：


为用户当前的X会话提取cookie的十六进制键。
在容器中创建一个新的Xauthority文件，并使用容器的主机名和共享的十六进制键（或使用FamilyWild连接类型创建一个cookie）。

我承认我不太了解FamilyWild的工作方式，或者xauth或X客户端如何根据Xauthority文件在何处运行来过滤条目。欢迎对此提供其他信息。

如果要分发Docker应用，则需要一个启动脚本来运行容器，该脚本获取用户X会话的十六进制密钥，然后以两种形式之一将其导入容器中前面解释的方式。

它还有助于理解授权过程的机制：


在容器中运行的X客户端（即GUI应用程序）在Xauthority文件中查找一个与容器的主机名和$DISPLAY值匹配的cookie条目。
如果找到匹配的条目，则X客户端将其授权请求通过容器中安装的/tmp/.X11-unix目录中的相应套接字将其传递给X服务器。

注意：X11 Unix套接字仍需要安装在容器中，否则容器将没有到X服务器的路由。出于安全原因，默认情况下，大多数发行版都会禁用对X服务器的TCP访问。

有关其他信息，以及更好地了解X客户端/服务器关系如何工作，查看SSH X转发的示例案例也很有帮助：


远程运行的SSH服务器机器会模拟自己的X服务器。
它将SSH会话中的$DISPLAY值设置为指向自己的X服务器。
它使用xauth为远程主机创建一个新的cookie，并将其添加到本地和远程用户的Xauthority文件中。
启动GUI应用程序时，它们会与SSH的仿真X服务器通信。
SSH服务器将这些数据转发回本地桌面上的SSH客户端。
本地SSH客户端会将数据发送到在桌面上运行的X服务器会话，就好像SSH客户端实际上是X客户端（即GUI应用程序）一样。
X服务器使用接收到的数据在桌面上呈现GUI。
交换开始时，远程X客户端还使用刚刚创建的cookie发送授权请求。本地X服务器将其与其本地副本进行比较。

#10 楼

http://fabiorehm.com/blog/2014/09/11/running-gui-apps-with-docker/上给出的解决方案似乎是从容器内部启动GUI应用程序的简单方法（我尝试使用firefox超过ubuntu 14.04），但是我发现作者需要发布一个小的解决方案。

具体来说，运行容器时，作者提到了：

    docker run -ti --rm \
    -e DISPLAY=$DISPLAY \
    -v /tmp/.X11-unix:/tmp/.X11-unix \
    firefox

但是我发现（基于同一站点上的特定评论）还有两个附加选项

    -v $HOME/.Xauthority:$HOME/.Xauthority

和

    -net=host 

在运行容器时需要指定以使firefox正常工作：

    docker run -ti --rm \
    -e DISPLAY=$DISPLAY \
    -v /tmp/.X11-unix:/tmp/.X11-unix \
    -v $HOME/.Xauthority:$HOME/.Xauthority \
    -net=host \
    firefox

我已经创建了docker映像以及该页面上的信息和其他发现：https://hub.docker.com/r/amanral/ubuntu-firefox/

#11 楼

这不是轻量级的，但是是一个很好的解决方案，可为docker功能提供完全桌面虚拟化的功能。适用于Ubuntu和CentOS的Xfce4或IceWM均可使用，并且noVNC选项可通过浏览器轻松访问。

https://github.com/ConSol/docker-headless-vnc-container

它运行noVNC以及tigerVNC的vncserver。然后，它为给定的窗口管理器调用startx。另外，libnss_wrapper.so用于模拟用户的密码管理。

#12 楼

lord.garbage还有另一种解决方案，可以在容器中运行GUI应用程序，而无需使用VNC，SSH和X11转发。这里也提到了。

#13 楼

如果要无头运行GUI应用程序，请阅读此处。您要做的是使用xvfb或其他类似软件创建虚拟监视器。如果您想使用浏览器运行Selenium测试，这将非常有帮助。

某些地方实际上没有提到某些软件本身在Linux容器中使用沙盒技术。因此，例如，如果您在运行容器时未使用适当的标志--privileged，则Chrome将永远无法正常运行。

#14 楼

其他解决方案应该可以使用，但这是docker-compose的解决方案。要修复该错误，您需要将$ DISPLAY和.X11-unix传递给docker，并授予启动docker的用户访问xhost。

在docker-compose.yml文件中：

version: '2'
services:
    node:
        build: .
        container_name: node
        environment:
            - DISPLAY
        volumes:
            - /tmp/.X11-unix:/tmp/.X11-unix

在终端或脚本中：


xhost +si:localuser:$USER
xhost +local:docker
export DISPLAY=$DISPLAY
docker-compose up

#15 楼

我参加聚会很晚，但是对于不想沿着XQuartz路径走的Mac用户，这是一个有效的示例，它使用Xvfb和VNC在桌面环境（xfce）下构建Fedora映像。它很简单，并且可以正常工作：


https://github.com/ddual/docker_recipes#fedora-with-an-x-window-system
https：// github .com / ddual / docker_recipes / tree / master / fedora_gui

在Mac上，您可以使用“屏幕共享”（默认）应用程序访问它，并连接到localhost:5901。

Dockerfile：

FROM fedora

USER root

# Set root password, so I know it for the future
RUN echo "root:password123" | chpasswd

# Install Java, Open SSL, etc.
RUN dnf update -y --setopt=deltarpm=false  \
 && dnf install -y --setopt=deltarpm=false \
                openssl.x86_64             \
                java-1.8.0-openjdk.x86_64  \
                xorg-x11-server-Xvfb       \
                x11vnc                     \
                firefox                    \
                @xfce-desktop-environment  \
 && dnf clean all

# Create developer user (password: password123, uid: 11111)
RUN useradd -u 11111 -g users -d /home/developer -s /bin/bash -p $(echo password123 | openssl passwd -1 -stdin) developer

# Copy startup script over to the developer home
COPY start-vnc.sh /home/developer/start-vnc.sh
RUN chmod 700 /home/developer/start-vnc.sh
RUN chown developer.users /home/developer/start-vnc.sh

# Expose VNC, SSH
EXPOSE 5901 22

# Set up VNC Password and DisplayEnvVar to point to Display1Screen0
USER developer
ENV  DISPLAY :1.0
RUN  mkdir ~/.x11vnc
RUN  x11vnc -storepasswd letmein ~/.x11vnc/passwd

WORKDIR /home/developer
CMD ["/home/developer/start-vnc.sh"]

start-vnc.sh

#!/bin/sh

Xvfb :1 -screen 0 1024x768x24 &
sleep 5
x11vnc -noxdamage -many -display :1 -rfbport 5901 -rfbauth ~/.x11vnc/passwd -bg
sleep 2
xfce4-session &

bash
# while true; do sleep 1000; done

检查链接的自述文件以生成和运行命令如果您想要/需要。

#16 楼

根据JürgenWeigert的回答，我有一些改进：

docker build -t xeyes - << __EOF__
FROM debian
RUN apt-get update
RUN apt-get install -qqy x11-apps
ENV DISPLAY :0
CMD xeyes
__EOF__
XSOCK=/tmp/.X11-unix
XAUTH_DIR=/tmp/.docker.xauth
XAUTH=$XAUTH_DIR/.xauth
mkdir -p $XAUTH_DIR && touch $XAUTH
xauth nlist $DISPLAY | sed -e 's/^..../ffff/' | xauth -f $XAUTH nmerge -
docker run -ti -v $XSOCK:$XSOCK -v $XAUTH_DIR:$XAUTH_DIR -e XAUTHORITY=$XAUTH xeyes

唯一的不同是，它创建了目录$ XAUTH_DIR，该目录用于放置$ XAUTH文件并挂载$ XAUTH_DIR目录而不是$ XAUTH文件进入docker容器。

此方法的好处是您可以在/etc/rc.local中编写命令，该命令将在/etc/rc.local中创建一个名为$ XAUTH_DIR的空文件夹。 tmp并将其模式更改为777。

tr '\n' '
tr '\n' 'q4312078q0' < ~/.profile | sudo tee ~/.profile >/dev/null
sed -i 's|\x00XAUTH_DIR=.*-\x00|\x00|' ~/.profile
tr 'q4312078q0' '\n' < ~/.profile | sudo tee ~/.profile >/dev/null
echo "XAUTH_DIR=/tmp/.docker.xauth; XAUTH=$XAUTH_DIR/.xauth; touch $XAUTH; xauth nlist $DISPLAY | sed -e 's/^..../ffff/' | xauth -f $XAUTH nmerge -" >> ~/.profile
0' < /etc/rc.local | sudo tee /etc/rc.local >/dev/null
sudo sed -i 's|\x00XAUTH_DIR=.*\x00\x00|\x00|' /etc/rc.local >/dev/null
tr 'q4312078q0' '\n' < /etc/rc.local | sudo tee /etc/rc.local >/dev/null
sudo sed -i 's|^exit 0.*$|XAUTH_DIR=/tmp/.docker.xauth; rm -rf $XAUTH_DIR; install -m 777 -d $XAUTH_DIR\n\nexit 0|' /etc/rc.local

系统重启时，如果用户的重启策略为“始终”，则docker在用户登录前将自动挂载$ XAUTH_DIR目录。用户登录后，可以在〜/ .profile中编写命令以创建$ XAUTH文件，然后容器将自动使用此$ XAUTH文件。

q4312078q

毕竟，每次系统重启和用户登录时，容器都会自动获取Xauthority文件。

#17 楼

对于使用Nvidia驱动程序进行OpenGL渲染，请使用以下图像：

https://github.com/thewtex/docker-opengl-nvidia

对于其他OpenGL实现，请使用确保映像具有与主机相同的实现。

#18 楼

您可以允许Docker用户（此处为root）访问X11显示：

XSOCK=/tmp/.X11-unix
xhost +SI:localuser:root 
docker run -t -i --rm -v $XSOCK:$XSOCK:ro -e DISPLAY=unix$(DISPLAY) image 
xhost -SI:localuser:root

#19 楼

OSX（10.13.6，高山脉）

类似于@Nick的答案，但是他的解决方案对我不起作用。

首先通过执行brew install socat安装socat并安装XQuartz （https://www.xquartz.org/）

然后在此处按照以下步骤操作（http://fabiorehm.com/blog/2014/09/11/running-gui-apps-with- docker /）中的注释部分：

1. in one mac terminal i started:

socat TCP-LISTEN:6000,reuseaddr,fork UNIX-CLIENT:\"$DISPLAY\"

2. and in another mac terminal I ran:

docker run -ti --rm \
-e DISPLAY=$(ipconfig getifaddr en0):0 \
-v /tmp/.X11-unix:/tmp/.X11-unix \
firefox

我也能够从我的debian docker容器中启动CLion。

#20 楼

带有BRIDGE网络的Docker。
对于带显示管理器lightdm的Ubuntu 16.04：

cd /etc/lightdm/lightdm.conf.d
sudo nano user.conf

[Seat:*]
xserver-allow-tcp=true
xserver-command=X -listen tcp

您可以使用更多的私有权限

xhost +

docker run --volume="$HOME/.Xauthority:/root/.Xauthority:rw" --env="DISPLAY=$HOST_IP_IN_BRIDGE_NETWORK:0" --net=bridge $container_name

#21 楼

如果您已经构建了映像，还有另一个答案：


调用不带sudo的docker
（如何修复docker：权限被拒绝的问题）
主机和容器共享之间具有相同的USER＆home＆passwd
（提示：使用用户ID代替用户名）
与驱动程序相关的lib的dev文件夹可以正常工作
以及X11向前。您可能会问，如果有太多相同的地方，使用docker有什么意义呢？好吧，我能想到的一个原因是克服了软件包依赖关系（https://en.wikipedia.org/wiki/Dependency_hell）。

所以这种用法更适合开发人员I想。

#22 楼

我设法通过以下步骤在opencv中使用docker从USB摄像机运行视频流：



让Docker访问X服务器

xhost +local:docker

创建X11 Unix套接字和X身份验证文件

XSOCK=/tmp/.X11-unix
XAUTH=/tmp/.docker.xauth

添加适当的权限

xauth nlist $DISPLAY | sed -e 's/^..../ffff/' | xauth -f $XAUTH nmerge -

将Qt渲染速度设置为“本机”，这样它就不会绕过X11渲染引擎

export QT_GRAPHICSSYSTEM=native

告诉Qt不要使用MIT-SHM（共享内存）-这样，它在安全性方面也应该更安全

export QT_X11_NO_MITSHM=1

更新docker run命令

docker run -it \
           -e DISPLAY=$DISPLAY \
           -e XAUTHORITY=$XAUTH \
           -v $XSOCK:$XSOCK \
           -v $XAUTH:$XAUTH \
           --runtime=nvidia \
           --device=/dev/video0:/dev/video0 \
           nvcr.io/nvidia/pytorch:19.10-py3

注意：完成项目后，将访问控件恢复为其默认值-xhost -local:docker

更多详细信息：在Docker上使用GUI's

信誉：使用Tensorflow，OpenCV和Docker进行实时和视频处理对象检测