本文介绍了在CentOS7中如何处理SELinux对挂载目录的默认限制,以及如何在Docker中使用--privileged参数和数据卷进行文件共享,包括读写规则和继承规则的详细说明。
1、概念介绍
如果是CentOS7安全模块会比之前系统版本加强,不安全的会先禁止,所以目录挂载的情况被默认为不安全的行为,在SELinux里面挂载目录被禁止掉了,如果要开启,我们一般使用--privleged=true命令,扩大容器的权限解决挂载目录没有权限的问题,也即使用该参数,container内的root拥有真正的root权限,否则 container内的root只是外部的一个普通用户权限。
Docker挂载主机目录访问如果出现cannot open directory .: Permission denied
解决办法:在挂载目录后多加一个--privileged=true参数即可
卷就是目录或文件,存在于一个或多个容器中,由docker挂载到容器,但不属于联合文件系统,因此能够绕过Union File System提供一些用于持续存储或共享数据的特性。
卷的设计目的就是数据的持久化,完全独立于容器的生存周期,因此Docker不会在容器删除时删除其挂载的数据卷。
容器卷特点:
- 数据卷可在容器之间共享或重用数据
- 卷中的更改可以直接实时生效
- 数据卷中的更改不会包含在镜像的更新中
- 数据卷的生命周期一直持续到没有容器使用它为止
docker run -it --privileged=true -v /tmp/host_data:/tmp/docker_data --name=u1 ubuntu
docker inspect 容器ID
2、容器卷规则
读写规则
默认是可读可写
# 可读可写
docker run -it --privileged=true -v /tmp/host_data:/tmp/docker_data:rw --name=u1 ubuntu
# 限制容器内部,只能读取
docker run -it --privileged=true -v /tmp/host_data:/tmp/docker_data:ro --name=u2 ubuntu
继承规则
只是继承了 逻辑卷的映射规则
# u2 继承 u1的容器卷映射规则
docker run -it --privileged=true --volumes-from u1 --name u2 ubuntu
2904
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
