第 25 章 运行特殊容器镜像


您可以运行一些特殊类型的容器镜像。有些容器镜像有名为 runlabels 的内置标签,可让您使用预设置的选项和参数运行这些容器。podman container runlabel <label> 命令,您可以为容器镜像执行定义在 <label> 中的命令。支持的标签包括 installrununinstall

25.1. 打开到主机的权限

特权容器和无特权容器之间存在一些区别:例如,toolbox 容器是一个特权容器。以下是可以从容器对主机公开或可能不公开的特权示例:

  • Privileges:特权容器禁用将容器与主机隔离的安全功能。您可以使用 podman run --privileged <image_name> 命令运行特权容器。例如,您可以删除主机上挂载的 root 用户所拥有的文件和目录。
  • Process tables:您可以使用 podman run --privileged --pid=host <image_name> 命令将主机 PID 命名空间用于容器。然后,您可以在特权容器中使用 ps -e 命令列出所有在主机上运行的进程。您可以将来自主机的进程 ID 传给在特权容器中运行的命令(例如:kill <PID>)。
  • 网络接口 :默认情况下,容器只有一个外部网络接口和一个回环网络接口。您可以使用 podman run --net=host <image_name> 命令直接从容器内部访问主机网络接口。
  • Inter-process communications:主机上的 IPC 工具可从特权容器内访问。您可以运行 ipcs 等命令,来查看主机上活动的消息队列、共享内存段和 semaphore 设置的信息。
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.