Intro
本文介绍kata-container并解决其在Privileged + dev mapping 场景下的问题。
Privileged + device mapping
在试验中,发现当容器启动参数加上privileged和设备映射时,会失败。
经过调查,发现kataContainer的确对Privileged的支持不是太好。原因也很明确,因为与其增加安全性的设计理念是相背的。
在技术细节方面,主要是kata不能支持透传所有的/dev, 而Privileged模式默认会透传所有的/dev,当容器发现有一些设备不存在时,就会启动失败。
具体的讨论细节和故事参考这里,解决思路就是增加一个filter list,以指定具体想透传哪些设备。