相关文章推荐
坚强的铁板烧  ·  nginx ...·  4 周前    · 
老实的弓箭  ·  五、docker容器的网络访问 - yaowx ·  4 周前    · 
聪明伶俐的大熊猫  ·  局域网内部署 Docker ...·  4 周前    · 
英姿勃勃的鸡蛋面  ·  前端知识讲座笔记(sourcemap、doc ...·  3 周前    · 
乐观的甘蔗  ·  Alpine Docker ...·  1 周前    · 
深沉的火柴  ·  Hibernate ...·  1 年前    · 
酒量大的消防车  ·  前端-CSS-更改标签样式-长宽字体-背景- ...·  1 年前    · 
失恋的橡皮擦  ·  XAML 命名空间和命名空间映射 - ...·  1 年前    · 
开朗的烤土司  ·  当一个共享库被动态链接时,它的全局变量和静态 ...·  1 年前    · 
Code  ›  --cap-add=NET_ADMIN和在.yml中添加能力的区别
容器 docker命令 docker
https://www.qiniu.com/qfans/qnso-58377469
唠叨的火车
2 年前
七牛云社区 牛问答 --cap-add=NET_ADMIN和在.yml中添加能力的区别

--cap-add=NET_ADMIN和在.yml中添加能力的区别

9 人关注

我有一个关于能力的问题和难题。

为什么我的程序在运行 docker run --cap-add=NET_ADMIN ... 时还能工作?

如果我用.yml文件运行我的程序,它就不工作了,该文件是。 

      containers:
      - name: snake
        image: docker.io/kelysa/snake:lastest
        imagePullPolicy: Always
        securityContext:
          privileged: true
          capabilities:
            add: ["NET_ADMIN","NET_RAW"]

使用-cap-add运行docker和使用相同功能运行pod的区别是什么?
2 个评论
David Maze
"不工作 "是什么意思? 通常情况下,Docker和Kubernetes都会为你管理网络环境,需要这种能力是非常不寻常的;这表明该工具在非Docker环境中运行可能更好。
Chris Stryczynski
你有没有可能找到这个原因呢?
linux
docker
kubernetes
kubectl
Julie
Julie
发布于 2019-10-14
1 个回答
Mark
Mark
发布于 2019-10-15
已采纳
0 人赞同

如描述的那样 大卫-马泽 并根据docker docs:运行时的权限和Linux的能力

默认情况下,Docker容器是 "非特权 "的,例如,不能在Docker容器内运行Docker守护程序。这是因为默认情况下,容器不允许访问任何设备,但 "特权 "容器可以访问所有设备(见cgroups设备的文档)。 

--cap-add: Add Linux capabilities,
--cap-drop: Drop Linux capabilities,
--privileged=false: Give extended privileges to this container
--device=[]: Allows you to run devices inside the container without the --privileged flag.
  
当操作者执行docker run --privileged时,Docker将启用对主机上所有设备的访问,以及在AppArmor或SELinux中设置一些配置,允许容器几乎与主机上运行的外部容器的进程一样,对主机进行访问。

  
除了--特权,操作者还可以使用--cap-add和--cap-drop对能力进行细粒度控制。


你可以发现有两种能力。


  • Docker with default list of capabilities that are kept.
    • 

  • capabilities which are not granted by default and may be added.
    • 

    这个命令docker run --cap-add=NET_ADMIN将应用额外的Linux能力。
    

    按照文件规定。
    
  
    对于与网络堆栈的交互,他们应该使用--cap-add=NET_ADMIN来修改网络接口,而不是使用--privileged。
    

    Note:
    

    为了减少系统调用攻击,好的做法是只给容器必要的权限。  也请参考启用Pod安全策略.
    

    从容器中,它可以通过使用来实现。
    

    securityContext:
  capabilities:
    drop: ["all"]
    add: ["NET_BIND"]

    要查看你的容器内的应用能力,你可以使用。
 替换代码4】要列出并探索Linux的功能,你可以使用capsh --print
    

    Resources:
    

  • Linux capibilities, 
    • 

  • docker labs,  
    • 

  • capsh 
    •
     
    推荐文章
    坚强的铁板烧  ·  nginx 启动是时志中出现这个signal process started_nginx signal process started
    4 周前
    老实的弓箭  ·  五、docker容器的网络访问 - yaowx
    4 周前
    聪明伶俐的大熊猫  ·  局域网内部署 Docker Registry - sparkdev
    4 周前
    英姿勃勃的鸡蛋面  ·  前端知识讲座笔记(sourcemap、docker、jmeter、loadrunner、mediasoup)_loadrunner docker
    3 周前
    乐观的甘蔗  ·  Alpine Docker 如何进入容器内部_docker进入容器内部 aipline
    1 周前
    深沉的火柴  ·  Hibernate JPA递归查询-腾讯云开发者社区-腾讯云
    1 年前
    酒量大的消防车  ·  前端-CSS-更改标签样式-长宽字体-背景-边框-显示方式-定位-透明度-扩展点-02 - suwanbin - 博客园
    1 年前
    失恋的橡皮擦  ·  XAML 命名空间和命名空间映射 - WPF .NET Framework | Microsoft Learn
    1 年前
    开朗的烤土司  ·  当一个共享库被动态链接时,它的全局变量和静态变量会发生什么变化?
    1 年前
    今天看啥   ·   Py中国   ·   codingpro   ·   小百科   ·   link之家   ·   卧龙AI搜索
    删除内容请联系邮箱 2879853325@qq.com
    Code - 代码工具平台
    © 2024 ~ 沪ICP备11025650号