WARNING: bridge-nf-call-iptables is disabled WARNING: bridge-nf-call-ip6tables is disabled 请添加内核配置参数以启用这些功能。 $ sudo tee -a /etc/sysctl.conf <<-EOF net.bridge.bridge-nf-call-ip6tables = 1 net.bridge.b 流量动态伪装为从系统网卡发出。MASQUERADE 跟传统 SNAT 的好处是它能动态从网卡获 取地址。 外部访问容器实现 容器允许外部访问，可以在 docker run 时候通过 -p 或 -P 参数来启用。 不管用那种办法，其实也是在本地的 iptable 的 nat 表中添加相应的规则。 使用 -P 时： $ iptables -t nat -nL ... Chain DOCKER 据自身需求来为 Docker 容器启用额外的权限。 内核能力机制 217 其它安全特性 除了能力机制之外，还可以利用一些现有的安全机制来增强使用 Docker 的安全性，例如 TOMOYO, AppArmor, SELinux, GRSEC 等。 Docker 当前默认只启用了能力机制。用户可以采用多种方案来加强 Docker 主机的安全，例 如： 在内核中启用 GRSEC 和 PAX，这

动态伪 装为从系统网卡发出。MASQUERADE 跟传统 SNAT 的好处是它能动态从网卡获取地址。 容器允许外部访问，可以在 docker run 时候通过 -p 或 -P 参数来启用。 不管用那种办法，其实也是在本地的 iptable 的 nat 表中添加相应的规则。 使用 -P 时： $ iptables -t nat -nL ... Chain DOCKER (2 Docker 容器启用额外的权限。 内核能力机制 Docker —— 从入门到实践 83 内核能力机制 除了能力机制之外，还可以利用一些现有的安全机制来增强使用 Docker 的安全性，例如 TOMOYO, AppArmor, SELinux, GRSEC 等。 Docker 当前默认只启用了能力机制。用户可以采用多种方案来加强 Docker 主机的安全，例如： 在内核中启用 GRSEC 和 和 PAX，这将增加很多编译和运行时的安全检查；通过地址随机化避免恶意探 测等。并且，启用该特性不需要 Docker 进行任何配置。 使用一些有增强安全特性的容器模板，比如带 AppArmor 的模板和 Redhat 带 SELinux 策略的模板。 这些模板提供了额外的安全特性。 用户可以自定义访问控制机制来定制安全策略。 跟其它添加到 Docker 容器的第三方工具一样（比如网络拓扑