较新版本的docker(我认为1.2及更高版本)具有--cap-add
功能。
这样就可以对功能进行细粒度控制,而无需使用--privileged=true
打开所有功能。
我用Google搜索了它,但找不到功能列表及其含义。有人可以帮忙吗?
有趣的是......我用Google搜索了一个小时,但找不到答案。我在这里问这个问题,并在2秒内找到它。
http://man7.org/linux/man-pages/man7/capabilities.7.html
将这些传递给docker时,您需要删除名称中的CAP_。
即允许安装在码头工人的容器内
docker run --cap_add SYS_ADMIN ...