快捷導(dǎo)航

在Docker容器中使用iptables時(shí)的最小權(quán)限的開(kāi)啟方法

更新時(shí)間：2017年01月19日 10:47:35 投稿：lqh

這篇文章主要介紹了在Docker容器中使用iptables時(shí)的最小權(quán)限的開(kāi)啟方法的相關(guān)資料,需要的朋友可以參考下

在Docker容器中使用iptables時(shí)的最小權(quán)限的開(kāi)啟方法

Dcoker容器在使用的過(guò)程中，有的時(shí)候是需要使用在容器中使用iptables進(jìn)行啟動(dòng)的，默認(rèn)的docker run時(shí)都是以普通方式啟動(dòng)的，沒(méi)有使用iptables的權(quán)限，那么怎樣才能在容器中使用iptables呢？要如何開(kāi)啟權(quán)限呢？

那么在docker進(jìn)行run的時(shí)候如何將此容器的權(quán)限進(jìn)行配置呢？主要是使用--privileged或--cap-add、--cap-drop來(lái)對(duì)容器本身的能力的開(kāi)放或限制。以下將舉例來(lái)進(jìn)行說(shuō)明：

例如：

有一個(gè)image為aaa的將啟動(dòng)為容器名為bbb的且在容器內(nèi)需要使用iptables功能，可以使用--privileged=true來(lái)進(jìn)行開(kāi)啟，如：

~$ docker run --privileged=true -d -p 4489:4489/tcp --name bbb aaa

執(zhí)行以上的命令后，可以進(jìn)入容器中進(jìn)行iptables的配置：

~$ docker exec -it cg_openvpn /bin/bash
～#iptables -A INPUT -s 192.168.1.156 -j DROP
/# iptables -nvL               
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target   prot opt in   out   source        destination     
  0   0 DROP    all -- *   *    192.168.1.156    0.0.0.0/0

但是這樣的話就將系統(tǒng)的所有能力都開(kāi)放給了docker容器，這是一種對(duì)宿主機(jī)非常不安全的做法，例如：可以直接對(duì)宿主機(jī)中的設(shè)備等進(jìn)行操作。對(duì)于iptables需要的權(quán)限進(jìn)行開(kāi)放，而對(duì)于其它的權(quán)限不予開(kāi)放，那么在啟動(dòng)docker的時(shí)候使用如下的命令參數(shù)進(jìn)行限制權(quán)限的過(guò)度開(kāi)放：

~$ docker run--cap-add NET_ADMIN --cap-add NET_RAW -d -p 4489:4489/tcp --name bbb aaa

感謝閱讀，希望能幫助到大家，謝謝大家對(duì)本站的支持！

您可能感興趣的文章:

相關(guān)文章

解決Mac下 docker 無(wú)法 ping 通宿主機(jī)的問(wèn)題
這篇文章主要介紹了解決Mac下 docker 無(wú)法 ping 通宿主機(jī)的問(wèn)題，具有很好的參考價(jià)值，希望對(duì)大家有所幫助。一起跟隨小編過(guò)來(lái)看看吧
2020-11-11
遠(yuǎn)程docker服務(wù)器攜帶證書(shū)連接的實(shí)現(xiàn)方法
本文主要介紹了遠(yuǎn)程docker服務(wù)器攜帶證書(shū)連接的實(shí)現(xiàn)方法，文中通過(guò)示例代碼介紹的非常詳細(xì)，具有一定的參考價(jià)值，感興趣的小伙伴們可以參考一下
2021-11-11
在docker下刪除兩個(gè)id相同的鏡像的操作
這篇文章主要介紹了在docker下刪除兩個(gè)id相同的鏡像的操作，具有很好的參考價(jià)值，希望對(duì)大家有所幫助。一起跟隨小編過(guò)來(lái)看看吧
2020-11-11
docker常用命令總結(jié)之安裝、鏡像、容器基本操作
這篇文章主要介紹了docker常用命令總結(jié)之安裝、鏡像、容器基本操作,需要的朋友可以參考下
2017-05-05
詳解ASP.NET Core Docker部署
這篇文章主要介紹了詳解ASP.NET Core Docker部署。詳細(xì)介紹了如何在Docker容器中運(yùn)行ASP.NET Core應(yīng)用程序。有興趣的可以了解一下。
2016-12-12
Docker安裝方法與Docker四種網(wǎng)絡(luò)模式詳解
今天小編就為大家分享一篇關(guān)于Docker安裝方法與Docker四種網(wǎng)絡(luò)模式的詳解，小編覺(jué)得內(nèi)容挺不錯(cuò)的，現(xiàn)在分享給大家，具有很好的參考價(jià)值，需要的朋友一起跟隨小編來(lái)看看吧
2018-09-09
docker容器如何指定utf-8編碼
這篇文章主要介紹了docker容器如何指定utf-8編碼問(wèn)題,具有很好的參考價(jià)值,希望對(duì)大家有所幫助,如有錯(cuò)誤或未考慮完全的地方,望不吝賜教
2024-06-06
Docker刪除某個(gè)鏡像的實(shí)現(xiàn)方法
在使用 Docker 時(shí),經(jīng)常需要?jiǎng)h除不再需要的鏡像、容器和卷,以釋放存儲(chǔ)空間,本文主要介紹了Docker刪除某個(gè)鏡像的實(shí)現(xiàn)方法,具有一定的參考價(jià)值,感興趣的可以了解一下
2024-02-02
對(duì)Docker-java項(xiàng)目進(jìn)行jvm調(diào)優(yōu)-內(nèi)存方式
本文詳細(xì)介紹了如何進(jìn)入Docker容器并分析Java進(jìn)程的內(nèi)存使用情況,通過(guò)使用jps和jstat工具,可以查看java進(jìn)程列表及內(nèi)存池容量,討論了設(shè)置JVM參數(shù)-Xmx和-Xms相等的重要性,以避免堆內(nèi)存的頻繁調(diào)整,此外,還探討了FullGC觸發(fā)條件和元空間的配置
2024-09-09
docker-compose 詳解及示例代碼
這篇文章主要介紹了docker-compose 詳解的相關(guān)資料,并附簡(jiǎn)單實(shí)例，需要的朋友可以參考下
2016-10-10