docker 參數(shù)'--privileged' 的作用

歡迎來(lái)到藍(lán)隊(duì)云技術(shù)小課堂，每天分享一個(gè)技術(shù)小知識(shí)。

在Docker中，--privileged 參數(shù)給予容器內(nèi)的進(jìn)程幾乎相同的權(quán)限，就像它們?cè)谒拗鳈C(jī)上一樣。這意味著容器可以訪問(wèn)宿主機(jī)的所有設(shè)備，并且可以執(zhí)行一些通常需要高級(jí)權(quán)限的操作，例如加載內(nèi)核模塊。

使用--privileged參數(shù)時(shí)，容器內(nèi)的root用戶將擁有與宿主機(jī)上的root用戶相同的能力。這包括但不限于：

1.    訪問(wèn)宿主機(jī)的所有設(shè)備節(jié)點(diǎn)（如/dev下的設(shè)備文件）。

2.    修改或加載內(nèi)核模塊。

3.    掛載文件系統(tǒng)。

4.    訪問(wèn)宿主機(jī)的某些受保護(hù)的文件。

這個(gè)參數(shù)通常用于需要特殊權(quán)限才能運(yùn)行的容器，例如那些需要訪問(wèn)宿主機(jī)特定設(shè)備或執(zhí)行特定系統(tǒng)調(diào)用的容器。

然而，使用--privileged也會(huì)帶來(lái)安全風(fēng)險(xiǎn)，因?yàn)樗试S容器內(nèi)的進(jìn)程執(zhí)行可能影響宿主機(jī)系統(tǒng)的操作。因此，除非絕對(duì)必要，否則不建議在生產(chǎn)環(huán)境中使用--privileged。例如：如果需要限制顯卡數(shù)量的使用，--gpus '"device=0,1"' 此時(shí)此參數(shù)則不生效了，默認(rèn)使用了全部顯卡。因?yàn)?-privileged的優(yōu)先級(jí)更高。

在Docker的后續(xù)版本中，推薦使用更細(xì)粒度的權(quán)限控制來(lái)替代--privileged，例如通過(guò)--cap-add參數(shù)添加特定的Linux能力（capabilities），或者使用用戶命名空間（user namespaces）來(lái)限制容器內(nèi)用戶權(quán)限。

例如，如果你只需要容器能夠訪問(wèn)宿主機(jī)的某個(gè)設(shè)備，你可以使用--device參數(shù)來(lái)指定設(shè)備，而不是給予全部特權(quán)。

使用--privileged參數(shù)的示例命令如下：

docker run --privileged -d my_image

這將啟動(dòng)一個(gè)名為my_image的容器，并給予它特權(quán)。

藍(lán)隊(duì)云官網(wǎng)上擁有完善的技術(shù)支持庫(kù)可供參考，大家可自行查閱，更多技術(shù)問(wèn)題，可以直接咨詢。同時(shí)，藍(lán)隊(duì)云整理了運(yùn)維必備的工具包免費(fèi)分享給大家使用，需要的朋友可以直接咨詢。

更多技術(shù)知識(shí)，藍(lán)隊(duì)云期待與你一起探索。