我正在尝试在 docker 上运行一些游戏服务器,如 fivem txAdmin 、 samp 、 mta 、 minecraft 等,docker mask/mount 默认的目录中哪些目录是需要以读写方式挂载才能在容器中运行游戏服务器的?另外,我将一些目录从主机绑定到容器,当我在容器上执行“ df -h ”时,我可以看到卷在主机上的挂载路径。例如: /vol 是从主机上的 /zfspool/dataset 挂载的。我想隐藏或更改“ /zfspool/dataset ”,如何向容器隐藏/屏蔽此信息?另一件事是:如果我在容器中执行“ free -m ”,我会得到主机的总内存,而容器的 RAM 限制为 1gb,有没有办法将其隐藏/更正为 1gb? CPU 也是一样。
我还有一个问题:这些容器将由不受信任的用户控制和访问,到目前为止,我正在使用 ZFS 限制卷大小,以“容器”用户身份运行容器内的进程,使用“容器”命名空间重新映射,限制 RAM 和 CPU 的使用以及内存交换,PID 限制设置为 512,其他一切都设置为默认值。为了使主机更安全,我还需要采取哪些步骤/配置?并限制容器不必要的权限/访问?