コンテナーを特権モードで実行している場合、すべてのカーネル機能を備えていますか、それとも個別に追加する必要がありますか?
91683 次
3 に答える
87
特権モードで実行すると、コンテナーにすべての機能が与えられます。ただし、コンテナーに必要な最小要件を常に与えることをお勧めします。
Docker 実行コマンドのドキュメントでは、次のフラグについて言及しています。
完全なコンテナー機能 (--特権)
--privileged フラグは、コンテナーにすべての機能を付与し、デバイスの cgroup コントローラーによって適用されるすべての制限も解除します。つまり、コンテナーは、ホストが実行できるほぼすべてのことを実行できます。このフラグは、Docker 内で Docker を実行するなど、特別なユースケースを許可するために存在します。
--cap-addフラグを使用して特定の機能を与えることができます。man 7 capabilitiesこれらの機能の詳細については、を参照してください。リテラル名を使用できます--cap-add CAP_FOWNER。
于 2016-04-06T04:36:43.430 に答える
5
これをカバーする RedHat の優れた記事があります。
「ルート」として実行されている docker コンテナーは、ホストのルートよりも権限が低くなりますが、ユース ケース (開発環境と共有運用クラスターとして使用) によっては強化が必要になる場合があります。
于 2016-04-05T17:20:31.597 に答える