特权容器和功能

如果我以特权模式运行容器，它是否具有所有内核功能，还是需要单独添加它们？

实际上，以特权模式运行确实为容器提供了所有功能。但是，最好始终给容器提供所需的最低要求。

如果您查看Docker文档，它们也会引用此标志：

完整的容器功能（特权）
--privileged标志为容器提供了所有功能，并且还解除了设备cgroup控制器强制执行的所有限制。换句话说，容器可以完成主机可以做的几乎所有事情。存在此标志是为了允许特殊用例，例如在Docker中运行Docker。

您可以使用--cap-addflag 赋予特定功能。有关man 7

capabilities更多信息，请参见。可以使用文字名称，例如--cap-add CAP_FOWNER。