在Docker容器中使用iptables时的最小权限的开启方法
在Docker容器中使用iptables时的最小权限的开启方法
Dcoker容器在使用的过程中,有的时候是需要使用在容器中使用iptables进行启动的,默认的docker run时都是以普通方式启动的,没有使用iptables的权限,那么怎样才能在容器中使用iptables呢?要如何开启权限呢?
那么在docker进行run的时候如何将此容器的权限进行配置呢?主要是使用--privileged或--cap-add、--cap-drop来对容器本身的能力的开放或限制。以下将举例来进行说明:
例如:
有一个image为aaa的将启动为容器名为bbb的且在容器内需要使用iptables功能,可以使用--privileged=true来进行开启,如:
~$ docker run --privileged=true -d -p 4489:4489/tcp --name bbb aaa
执行以上的命令后,可以进入容器中进行iptables的配置:
~$ docker exec -it cg_openvpn /bin/bash ~#iptables -A INPUT -s 192.168.1.156 -j DROP /# iptables -nvL Chain INPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 DROP all -- * * 192.168.1.156 0.0.0.0/0
但是这样的话就将系统的所有能力都开放给了docker容器,这是一种对宿主机非常不安全的做法,例如:可以直接对宿主机中的设备等进行操作。对于iptables需要的权限进行开放,而对于其它的权限不予开放,那么在启动docker的时候使用如下的命令参数进行限制权限的过度开放:
~$ docker run--cap-add NET_ADMIN --cap-add NET_RAW -d -p 4489:4489/tcp --name bbb aaa
感谢阅读,希望能帮助到大家,谢谢大家对本站的支持!
-
我想构建一个具有根权限的jenkins docker容器,这样我就可以获得安装gradle的功能。 我使用这个命令在8080端口上运行jenkins,但我还想添加gradle作为环境变量: 或者我需要创建什么dockerfile,写什么,这样jenkins也可以在8080开始运行
-
我创建了一个Dockerfile 作为父图像。 稍后,Dockerfile通过创建一个没有sudo权限的新组和用户 在执行应用程序之前,我切换到这个新的 问题:此设置是否可以在构建映像并运行容器后再次获得root权限(例如)?
-
我的Dockerfile配置: 报错信息: 我已经尝试过以下几种方法: Dockerfile配置中添加RUN chmod -R 777 /yice Dockerfile配置添加 USER root,它会报: 找不Chrome,然后因为ghcr.io/puppeteer/puppeteer:latest镜像切换的用户名为pptruser,所以我手动在代码里给puppeteer配置executable
-
问题内容: 我编写了一个Dockerfile和docker-compose.yml来构建一个自定义映像,该映像结合了beakerx和cling,内容如下。 和 的一些日志是 但是当我跑步时,我得到了错误。因此,我进入了docker镜像。 为什么一见钟情,为什么会有很多问号?当我以root身份运行或返回原始用户时,它是正确的。 我尝试手动运行start-notebook.sh,第一次失败,然后第二次
-
如果这是可能的,怎么做? 我希望这些更改只修改容器内的规则,不影响任何其他容器,也不影响主机。
-
本文向大家介绍Docker 限制容器的 Block IO使用,包括了Docker 限制容器的 Block IO使用的使用技巧和注意事项,需要的朋友参考一下 前面学习了如何限制容器对内存和CPU的使用,本节我们来看 Block IO。 Block IO 是另一种可以限制容器使用的资源。Block IO 指的是磁盘的读写,docker 可通过设置权重、限制 bps 和 iops 的方式控制容器读写磁盘