标签: docker containers device
我发现此PR #8826是5年前提交的。
我想知道“将设备添加到正在运行的容器中”功能是否会带来一些不可避免的风险。 据我所知,如果要将设备添加到正在运行的容器中,则需要更改正在运行的容器所属的Device CGroup。如果此设备需要一些驱动程序文件,则我们还需要操作Mount Namespace。
对CGroup和Namespace的操作会带来一些风险吗? 也许是安全风险,破坏隔离风险或一些我不知道的副作用?