放弃容器内的特权
我的一个图像需要安装设备。 因此,启动时需要cap_sys_admin。 但是,一旦不再需要,我想放弃这个function。
有什么办法在后期放弃这个能力?
你应该考虑使用一个卷来做这个数量,而不是要求容器从里面做出来。
例如,而不是做:
docker run --cap-add SYS_ADMIN ...
然后在里面调用mount:
mount -t nfs server:/some/path /local/path
相反,您可以使用“本地”驱动程序创build一个卷,如下所示:
docker volume create -d local -o type=nfs -o device=:/some/path -oo=addr=server,rw my_volume
然后在运行容器时使用它:
docker run -v my_volume:/local/path ...
当容器启动时,主机将处理挂载,因为文件系统将可用于容器。 容器不需要添加function。
- Docker Exec -it bashterminal输出格式不正确
- AttributeError:模块'wagtail.wagtailadmin.edit_handlers'没有属性'FieldPanel'
- 部署Debian-python混合应用程序的更好方法
- 在根服务器上拥有自己的IP的Docker容器
- W:文件大小/var/lib/apt/lists/http.debian.net_debian_dists_jessie_main_binary-amd64_Packages.gz不是服务器报告的内容9101219 9117278
- Docker安装debian openjdk-7-jre
- apt-get在基于Debian和Ubuntu的Docker镜像中失败
- Docker守护进程无法在Debian 7上使用AUFS运行
- 更改了docker映像安装目录,但提示错误“无法打开文件夹…没有应用程序注册为处理此文件”错误
- 在Debian 8上启动Docker:找不到套接字
- Tomcat 7在Debian启动时失败,但继续在后台工作