起首领会下什么是特权形式:特权形式是允许容器具有宿主机(几乎)所有权限,包罗一些内核特征和设备拜候。

若是让容器运行在 privileged 形式下,会有平安隐患。

Docker 开启 privileged 特权形式

间接在运行号令加上 --privileged,例如:

docker run -itd --privileged centos:latest kubernetes 开启 privileged 特权形式

k8s 特权形式需要利用 SecurityContext 来停止设置装备摆设:

apVersion: v1kind: Podmetadata: name: nginxspec: containers: - name: nginx image: nginx securityContext: privileged: true

若是只需要零丁的权限能够用以下办法:

apiVersion: v1kind: Podmetadata: name: nginxspec: containers: - name: nginx image: nginx securityContext: privileged: true capabilities: add: ["NET_ADMIN"]

强烈成立在消费上不要利用 privileged 特权形式。