lxc.apparmor.profile: unconfined
lxc.cgroup.devices.allow: a
lxc.cap.drop:
lxc.cgroup2.devices.allow: c 10:200 rwm
lxc.mount.entry: /dev/net/tun dev/net/tun none bind,create=file

配置释义:

关闭 AppArmor 配置文件,允许容器无限制访问系统资源
lxc.apparmor.profile: unconfined
容器允许访问所有设备
lxc.cgroup.devices.allow: a
空值,表示没有从容器中移除任何特权能力
lxc.cap.drop:
容器允许访问字符设备 10:200(通常与 /dev/net/tun 相关),权限为读(r)、写(w)、创建(m)
lxc.cgroup2.devices.allow: c 10:200 rwm
将宿主机的 /dev/net/tun 映射到容器内的相同路径,允许使用 TUN 接口(通常用于 VPN)
lxc.mount.entry: /dev/net/tun dev/net/tun none bind,create=file

标签: none

评论已关闭