我的一张图片需要安装设备。因此,启动时需要cap_sys_admin。但是,一旦不再需要,我想放弃此功能。
是否有某种方法可以在以后阶段放弃这项功能?
答案 0 :(得分:0)
您应该考虑使用卷来执行该操作,而不是要求容器从内部执行操作。
例如,而不是:
docker run --cap-add SYS_ADMIN ...
然后调用mount inside:
mount -t nfs server:/some/path /local/path
相反,您可以使用' local'来创建卷。像这样的司机:
docker volume create -d local -o type=nfs -o device=:/some/path -o o=addr=server,rw my_volume
然后在运行容器时使用它:
docker run -v my_volume:/local/path ...
当容器启动时,主机将处理挂载,因为文件系统可供容器使用。容器不需要添加任何功能。