docker容器中的权限问题
Dcoker容器在使用的过程中,有的时候是需要使用在容器中使用iptables进行启动的,默认的docker run时都是以普通方式启动的,没有使用iptables的权限,那么怎样才能在容器中使用iptables呢?要如何开启权限呢?在docker进行run的时候如何将此容器的权限进行配置呢?主要是使用--privileged或--cap-add、--cap-drop来对容器本身的
·
Dcoker容器在使用的过程中,有的时候是需要使用在容器中使用iptables进行启动的,默认的docker run时都是以普通方式启动的,没有使用iptables的权限,那么怎样才能在容器中使用iptables呢?要如何开启权限呢?
在docker进行run的时候如何将此容器的权限进行配置呢?
主要是使用--privileged或--cap-add、--cap-drop来对容器本身的能力的开放或限制。
例如:
有一个image为aaa的将启动为容器名为bbb的且在容器内需要使用iptables功能,可以使用--privileged=true来进行开启,如:
docker run --privileged=true -d --name bbb aaa
执行以上的命令后,可以进入容器中进行iptables的配置:
docker exec -it dzy/centos /bin/bash
iptables -A INPUT -s 192.168.1.128 -j DROP
iptables -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 DROP all -- * * 192.168.1.128 0.0.0.0/0
但是这样的话就将系统的所有能力都开放给了docker容器,这是一种对宿主机非常不安全的做法,例如:可以直接对宿主机中的设备等进行操作。对于iptables需要的权限进行开放,而对于其它的权限不予开放,那么在启动docker的时候使用如下的命令参数进行限制权限的过度开放:
docker run--cap-add NET_ADMIN --cap-add NET_RAW -d --name bbb aaa
权威|前沿|技术|干货|国内首个API全生命周期开发者社区
更多推荐
0
0- 0
已为社区贡献3条内容
所有评论(0)