实际上,以特权模式运行确实为容器提供了所有功能。但是,最好始终给容器提供所需的最低要求。
如果您查看Docker文档,它们也会引用此标志:
完整的容器功能(特权)
--privileged标志为容器提供了所有功能,并且还解除了设备cgroup控制器强制执行的所有限制。换句话说,容器可以完成主机可以做的几乎所有事情。存在此标志是为了允许特殊用例,例如在Docker中运行Docker。
您可以使用
--cap-addflag 赋予特定功能。有关
man 7capabilities更多信息,请参见。可以使用文字名称,例如
--cap-add CAP_FOWNER。
