docker 參數(shù)'--privileged' 的作用

歡迎來到藍隊云技術小課堂，每天分享一個技術小知識。

在Docker中，--privileged 參數(shù)給予容器內(nèi)的進程幾乎相同的權(quán)限，就像它們在宿主機上一樣。這意味著容器可以訪問宿主機的所有設備，并且可以執(zhí)行一些通常需要高級權(quán)限的操作，例如加載內(nèi)核模塊。

使用--privileged參數(shù)時，容器內(nèi)的root用戶將擁有與宿主機上的root用戶相同的能力。這包括但不限于：

1.    訪問宿主機的所有設備節(jié)點（如/dev下的設備文件）。

2.    修改或加載內(nèi)核模塊。

3.    掛載文件系統(tǒng)。

4.    訪問宿主機的某些受保護的文件。

這個參數(shù)通常用于需要特殊權(quán)限才能運行的容器，例如那些需要訪問宿主機特定設備或執(zhí)行特定系統(tǒng)調(diào)用的容器。

然而，使用--privileged也會帶來安全風險，因為它允許容器內(nèi)的進程執(zhí)行可能影響宿主機系統(tǒng)的操作。因此，除非絕對必要，否則不建議在生產(chǎn)環(huán)境中使用--privileged。例如：如果需要限制顯卡數(shù)量的使用，--gpus '"device=0,1"' 此時此參數(shù)則不生效了，默認使用了全部顯卡。因為--privileged的優(yōu)先級更高。

在Docker的后續(xù)版本中，推薦使用更細粒度的權(quán)限控制來替代--privileged，例如通過--cap-add參數(shù)添加特定的Linux能力（capabilities），或者使用用戶命名空間（user namespaces）來限制容器內(nèi)用戶權(quán)限。

例如，如果你只需要容器能夠訪問宿主機的某個設備，你可以使用--device參數(shù)來指定設備，而不是給予全部特權(quán)。

使用--privileged參數(shù)的示例命令如下：

docker run --privileged -d my_image

這將啟動一個名為my_image的容器，并給予它特權(quán)。

藍隊云官網(wǎng)上擁有完善的技術支持庫可供參考，大家可自行查閱，更多技術問題，可以直接咨詢。同時，藍隊云整理了運維必備的工具包免費分享給大家使用，需要的朋友可以直接咨詢。

更多技術知識，藍隊云期待與你一起探索。