在.yml中--cap=NET_ADMIN和add功能之间的区别
我有一个关于能力的问题和问题。
当我运行docker run --cap-add=NET_ADMIN ...时,为什么我的程序工作?
如果我使用文件.yml运行我的程序,它是不起作用的:
containers:
- name: snake
image: docker.io/kelysa/snake:lastest
imagePullPolicy: Always
securityContext:
privileged: true
capabilities:
add: ["NET_ADMIN","NET_RAW"]有什么区别,运行码头与-帽-添加和运行一个吊舱具有相同的能力?
Stack Overflow用户
发布于 2019-10-14 17:00:53
正如戴维·麦子和docs:运行时特权和Linux功能所描述的那样
默认情况下,Docker容器是“非特权”的,不能在Docker容器中运行Docker守护进程。这是因为默认情况下,不允许容器访问任何设备,但“特权”容器可以访问所有设备(参见cgroup设备的文档)。 -加:添加Linux功能,-cap:丢弃Linux功能,-特权=false:将扩展的权限授予容器--设备=[]:允许您在容器内运行设备,而不使用特权标志。 当操作员执行
docker run --privileged时,Docker将启用对主机上所有设备的访问,并在AppArmor或SELinux中设置一些配置,以允许容器与主机上运行在容器外部的进程几乎完全相同地访问主机。 除了特权之外,运营商还可以使用--上限添加和--上限下降来对这些功能进行精细的谷物控制.
您可以找到两种功能:
- 具有默认保留功能列表的Docker。
- 默认情况下未授予并可添加的功能。
这个命令docker run --cap-add=NET_ADMIN将应用额外的linux能力。
根据文件:
为了与网络堆栈交互,他们应该使用-cap=NET_ADMIN来修改网络接口,而不是使用-特权。
Note
为了减少syscall攻击,最好的做法是只授予容器所需的特权。也请参考启用Pod安全策略。
从容器中可以通过以下方法实现:
securityContext:
capabilities:
drop: ["all"]
add: ["NET_BIND"]要查看容器中的应用能力,可以使用:getpcaps process_id or $(pgrep your-proces_name)来列出和探索linux的能力,您可以使用capsh --print
资源
希望能帮上忙。
https://stackoverflow.com/questions/58377469
复制相似问题
腾讯云开发者
