一尘不染

特权容器和功能

docker

如果我以特权模式运行容器,它是否具有所有内核功能,还是需要单独添加它们?


阅读 1611

收藏
2020-06-17

共1个答案

一尘不染

实际上,以特权模式运行确实为容器提供了所有功能。但是,最好始终给容器提供所需的最低要求。

如果您查看Docker文档,它们也会引用此标志:

完整的容器功能(特权)

--privileged标志为容器提供了所有功能,并且还解除了设备cgroup控制器强制执行的所有限制。换句话说,容器可以完成主机可以做的几乎所有事情。存在此标志是为了允许特殊用例,例如在Docker中运行Docker。

您可以使用--cap-addflag 赋予特定功能。有关man 7 capabilities更多信息,请参见。可以使用文字名称,例如--cap-add CAP_FOWNER

2020-06-17