我的一张图片需要安装设备。因此,启动时需要 cap_sys_admin。但是,一旦不再需要此功能,我想放弃它。
有没有办法在后期放弃这个能力?
问问题
138 次
1 回答
0
您应该考虑使用体积来完成数量,而不是要求容器从内部完成。
例如,不要这样做:
docker run --cap-add SYS_ADMIN ...
然后在里面调用 mount :
mount -t nfs server:/some/path /local/path
相反,您可以使用“本地”驱动程序创建卷,如下所示:
docker volume create -d local -o type=nfs -o device=:/some/path -o o=addr=server,rw my_volume
然后在可以运行容器时使用它:
docker run -v my_volume:/local/path ...
当容器启动时,主机将处理挂载,因为文件系统将对容器可用。容器不需要添加任何功能。
于 2017-06-22T22:35:22.830 回答