安全策略Docker Kubernetes CAP_NET_ADMIN

我有个问题，我不知道为什么要和docker合作， 当我跑步时：

docker run——cap add NET_ADMIN——name pacman-d-p8080:80 pacman

我的程序正在运行。但是当我用minikube和这个部署文件加载我的程序时：deployment.yml

apiVersion: apps/v1
kind: Deployment
metadata:
  name: pacman
spec:
  replicas: 1
  selector:
    matchLabels:
      app: pacman
  template:
    metadata:
      labels:
        app: pacman
    spec:
      containers:
      - name: pacman
        image: docker.io/kelysa/pacman:lastest
        imagePullPolicy: Always
        securityContext:
          capabilities:
            add: ["NET_ADMIN"]
        ports:
        - containerPort: 80
        resources:
            limits:
              cpu: "60"
            requests:
              cpu: 10m

我添加了相同的策略组，我不知道为什么我的程序不起作用。我有这样的错误：

WARN[0000]无法运行iptables:运行bash命令iptables时出错-L:退出状态1。输出：iptables：不支持操作。

WARN[0000]块_网络需要iptables。CAP\u NET\u RAW、CAP\u NET\u ADMIN+功能也是必需的。

如果我在没有--cap add NET_ADMIN的情况下运行docker，我也会遇到同样的问题，所以我添加了NET_ADMIN，它在docker上使用dockerfile，但在我的deployment.yml上不起作用

---

你能帮我吗

因此，据我所知，您正试图从自定义图像内部处理iptables，如错误所述：

LOCK\u网络需要iptables。CAP_NET_RAW，CAP_NET_ADMIN+功能也是必需的。

我刚刚找到一个漂亮的命令，可以查看容器中

的所有功能；当前：：）中国共产党，中国共产党，中国共产党，中国共产党，中国共产党，中国共产党，中国共产党读研究，中国共产党人，中国共产党人，中国共产党人，中国共产党人，中国共产党人，中国共产党人，中国共产党人，中国共产党人，中国共产党人——印刷，中国共产党人——印刷，中国共产党人——印刷，中国共产党人——印刷，中国共产党人——印刷，中国共产党人——印刷——印刷，中国——印刷——印刷——印刷——印刷——印刷，印刷，印刷——印刷——印刷——印刷——印刷，印刷——印刷，印刷——印刷，印刷，印刷，印刷，印刷，印刷，印刷，印刷，印刷，印刷，印刷，印刷，印刷，印刷，印刷，印刷，印刷，印刷，印刷，印刷，印刷，印刷，印刷，印刷，印刷，印刷，印刷，印刷，印刷，印刷，印刷，印刷，印刷，印刷，印刷，印刷，印刷，印刷，印刷，印刷，印刷，印刷，印刷，印刷，印刷，印刷，印刷，印刷，印刷，印刷，印刷，印刷，印刷，印刷，印刷，印刷，印刷，cap\u系统启动、cap\u系统启动、cap\u系统启动、cap\u系统启动、cap\u系统启动、cap\u系统启动、cap\u系统启动、cap\u系统启动、cap\u系统启动、cap\u系统启动、cap\u系统启动、cap\u系统启动、cap\u审计写入、cap\u审计控制、cap\u设置FCAP、cap\u mac\u覆盖、cap\u mac\u管理、cap\u系统日志、cap\u唤醒、cap\u块暂停、cap\u审计读取+eip