我看到ansible的docker_container模块支持“功能”参数,以增加对容器内核功能的访问。
但是,似乎无法进一步限制内核功能,例如使用更早的,已弃用的“ caps_drop”功能。
鉴于此,如何限制对内核功能的访问权限而不是默认权限?
查看可识别的代码:
“功能”在lib/ansible/modules/cloud/docker/docker_container.py中定义:
capabilities:
description:
- List of capabilities to add to the container.
但是功能与cap_add相同:
host_config_params = dict(
…
cap_add='capabilities',
关于cap_drop的唯一提及是已弃用的docker模块(lib/ansible/modules/cloud/docker/_docker.py):
cap_drop:
description:
- Drop capabilities for the container.
- Requires docker-py >= 0.5.0.
type: bool
default: 'no'
version_added: "2.0"
答案 0 :(得分:0)
实际上,这在写Docker中的下降功能时是不可能的,但是存在一个已打开的问题(http://github.com/ansible/ansible/issues/29578),应在有人编写补丁后尽快解决,同时我会尽可能建议使用旧模块。